Umowa powierzenia przetwarzania danych osobowych
zawarta dnia ____________ pomiędzy:

mKomornik Spółka z o.o. adres siedziby: ul. Tomasza Zana 11 20-601 Lublin, adres do doręczeń: ul. Tomasza Zana 11 20-601 Lublin wpisaną do rejestru przedsiębiorców pod numerem KRS: 0000878041, NIP: 7123412761, REGON: 387903044 reprezentowaną przez:
_____________________________________________________________________________
zwana w dalszej części umowy „Administratorem ”

oraz
_____________________________________________________________________________
(dane podmiotu który umowę zawiera, w szczególności: firma spółki, siedziba, adres, oznaczenie sądu rejestrowego, w którym przechowywana jest dokumentacja spółki oraz numer pod którym spółka jest wpisana do rejestru; NIP, wysokość kapitału zakładowego i kapitału wpłaconego – art. 206 lub 374 ksh. W przypadku podmiotów prowadzących dzi ałalność gospodarczą imię nazwisko adres zamieszkania osoby fizyczne, PESEL, firma pod jaką działalność jest prowadzona oraz adres głównego miejsca wykonywania działalności )
zwana w dalszej części umowy „Procesorem ”, reprezentowana przez:
_____________________________________________________________________________

§ 1
Przedmiot umowy

  •  Administrator powierza Procesorowi, w trybie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135, zwana dalej ,,Ustawą ”) oraz w trybie art. 28 ust. 3. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dziennik Urzędowy Unii Europejskiej L 119/1, 4.5.2016 PL, zwana dalej „RODO” ) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie, a Procesor zobowiązuje się do ich przetwarzania zgodnie z Umową Powierzenia.
  • Administrator oświadcza, że jest Administratorem danych, które powierza Procesorowi do przetwarzania.
  • Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie określonym w niniejszej umowie.

§ 2
Rodzaj danych osobowych, kategorie osób, których dane dotyczą

  • Procesor będzie przetwarzał, powierzone na podstawie niniejszej umowy, dane osobowe następujących kategorii osób, których dane dotyczą: np. Pracowników, ________________________, ________________________.
  • Zakres powierzonych Procesorowi do przetwarzania danych osobowych obejmuje:
    • dane identyfikacyjne (imię, nazwisko, adres e-mail)
    • dane analityczne
    • _______________

§ 3
Czas przetwarzania danych

Procesor będzie przetwarzał, powierzone na podstawie umowy dane osobowe, o których mowa w § 2, przez okres obowiązywania umowy w celach związanych z obsługą Systemu.

§ 4
Charakter przetwarzania danych osobowych

  • Procesor będzie przetwarzał, powierzone na podstawie umowy dane osobowe, o których mowa w § 2, w formie papierowej oraz elektronicznej przy wykorzystaniu systemów informatycznych.
  • Przetwarzanie danych będzie polegało na wykonywaniu takich operacji jak: zbieranie, utrwalanie, porządkowanie, przechowywanie, wykorzystywanie (do celów wskazanych w przedmiotowej umowie), ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy lub na polecenie Administratora, usuwanie.

§ 5
Cel przetwarzania

Procesor będzie przetwarzał, powierzone na podstawie umowy dane osobowe w związku z obsługą Systemu.

§ 6
Prawa i Obowiązki Stron

  • Administrator ma:
    • prawo do dokonywania kontroli warunków przetwarzania danych osobowych;
    • obowiązek okresowego sprawdzania merytorycznej poprawności powierzanych danych osobowych,
  • Procesor:
    • przetwarza powierzone dane osobowe wyłącznie na udokumentowane polecenie administratora;
    • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    • podejmuje wszelkie środki wymagane na mocy art. 36 – 39a Ustawy i przepisów wykonawczych oraz art. 32 RODO tj. zapewnia środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych co do powierzonych danych, w tym między innymi w stosownym przypadku zapewnia:
      • pseudonimizację i szyfrowanie danych osobowych;
      • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
      • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
      • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
    • współpracuje z Administratorem w zakresie wypełnienia przez niego obowiązków informacyjnych i innych uprawnień osoby, której dane dotyczą, o których mowa w rozdziale III RODO. W szczególności, jeżeli otrzyma wniosek od Podmiotu Danych związany z przetwarzaniem Danych osobowych, Procesor prześle taki wniosek do Administratora, w celu dalszego przetwarzania przez Administratora;
    • wpiera Administratora przy realizacji jego obowiązku w zakresie udzielania odpowiedzi na wnioski o skorzystanie z praw Podmiotu danych określonych wprzepisach dotyczących ochrony danych, w tym prawa Podmiotu danych do: (i) dostępu do jego Danych osobowych, (ii) sprostowania jego Danych osobowych; (iii) usunięcia jego Danych osobowych; (iv) ograniczenie przetwarzania jego Danych osobowych lub całkowitego sprzeciwu wobec przetwarzania jego Danych osobowych; oraz (v) prawa do otrzymywania Danych osobowych w ustrukturyzowanym, powszechnie używanym i możliwym do odczytu komputerowego formacie (możliwość przenoszenia danych). Procesor otrzymuje rekompensatę z tytułu takiej pomocy, której wysokość ustalana jest przed udzieleniem takiej pomocy.
    • współpracuje z Administratorem w zakresie wypełnienia przez niego obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, szacowaniu ryzyka w związku z przetwarzaniem danych osobowych, a także w pozostałym zakresie, koniecznym do ochrony powierzonych danych osobowych;
    • udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach prawa (ustawy i RODO oraz aktów wykonawczych);
    • umożliwia Administratorowi bądź osobie przez niego upoważnionej do przeprowadzania audytów, w tym inspekcji, i współpracy w tym zakresie;
    • po zakończeniu obowiązywania przedmiotowej umowy ma obowiązek, w zależności od decyzji Administratora, usunąć lub zwrócić mu wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że przepisy prawa powszechnie obowiązującego nakazują przechowywanie danych osobowych.

§ 7
Naruszenie danych osobowych

  • Procesor powiadamia Administratora niezwłocznie (jednak nie później niż w czasie 24 godzin) po powzięciu wiadomości o naruszeniu związanego z przetwarzaniem Danych osobowych („naruszenie danych osobowych”). Administrator jest odpowiedzialny za powiadomienie o naruszeniu Danych osobowych właściwy organ nadzoru.
  • W powiadomieniu Administratora należy przynajmniej opisać (i) charakter naruszenia Danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę zainteresowanych Podmiotów danych oraz kategorie i przybliżoną liczbę Danych osobowych, których dotyczy naruszenie; (ii) prawdopodobne negatywne skutki jakie może spowodować naruszenie Danych osobowych; (iii) środki podjęte lub proponowane przez Procesora w celu wyeliminowania naruszenia Danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie ich ewentualnych negatywnych skutków.
  • W przypadku, gdy Administrator jest zobowiązany do poinformowania Podmiotów danych o naruszeniu ich Danych osobowych, Procesor współpracuje w tym zakresie z Administratorem, w tym udziela Administratorowi, jeśli jest w posiadaniu takich danych, niezbędnych informacji kontaktowych do zainteresowanych Podmiotów danych. Administrator ponosi wszelkie koszty związane z komunikacją z Podmiotem danych, którego Danych osobowych dotyczy naruszenie. Jeżeli naruszenie danych osobowych jest spowodowane przez okoliczności, za które odpowiedzialny jest Procesor, to on ponosi koszty komunikacji z Podmiotem danych, którego Danych osobowych dotyczy naruszenie.

§ 8
Umowa podpowierzenia danych osobowych

  • Procesor może skorzystać z usług innego podmiotu przetwarzającego dane osobowe (podwykonawcy), jeżeli przetwarzanie danych osobowych przez ten podmiot pozostaje w granicach celu i zakresie przetwarzania danych określonych w przedmiotowej umowie oraz po uzyskaniu uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora. W obu przypadkach (zgoda ogólna lub szczegółowa) Procesor jest zobowiązany podać dokładne dane innego podmiotu przetwarzającego (podwykonawcy).
  • W przypadku ogólnej pisemnej zgody Administratora, Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających (podwykonawców). Administrator ma możliwość wyrażenia sprzeciwu wobec takich zmian.
  • W przypadku skorzystania przez Procesora z usług innego podmiotu przetwarzającego dane osobowe (podwykonawcy), nawet w celu wykonania w imieniu Administratora tylko konkretnych czynności przetwarzania, inny podmiot przetwarzający (podwykonawcę) ma takie obowiązki jak Procesor, określone w przedmiotowej umowie m.in. w § 6 ust. 2, w szczególności ma obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
  • W przypadku skorzystania przez Procesora z usług innego podmiotu przetwarzającego dane osobowe (podwykonawcy), nawet w celu wykonania w imieniu Administratora tylko konkretnych czynności przetwarzania, inny podmiot przetwarzający (podwykonawcę) ma takie obowiązki jak Procesor, określone w przedmiotowej umowie m.in. w § 6 ust. 2, w szczególności ma obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

§ 9
Odpowiedzialność Procesora

Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

§ 10
Zasady zachowania poufności

  • Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
  • Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
  • Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

_______________________

za Administratora

_______________________

za Procesora