Niniejsza Umowa ma na celu powierzenie Podmiotowi Przetwarzającemu przetwarzania Danych Osobowych w imieniu Administratora, zgodnie z Umową oraz z przepisami regulującymi przetwarzanie danych osobowych.
Umowa zawierana jest pomiędzy Klientem w rozumieniu Regulaminu usługi EasyDocs, zwanym dalej „Administratorem” a Proxy Partners Sp. z o.o. z siedzibą w Warszawie (02-777), ul. Leonida Teligi 5/8, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000573461, REGON: 362415195, NIP: 5213704874, kapitał zakładowy: 5 000,00 złotych, zwaną dalej „Podmiotem Przetwarzającym”,
Administrator i Podmiot Przetwarzający będą dalej zwani łącznie „Stronami”, a każdy z osobna „Stroną”.
ZWAŻYWSZY ŻE:
A) Administrator jest administratorem danych osobowych (w rozumieniu RODO, jak zdefiniowano w punkcie 1.1 poniżej) wskazanych w Załączniku 1 (Dane Osobowe) do Umowy („Dane Osobowe”).
(B) Administrator zamierza powierzyć Podmiotowi Przetwarzającemu przetwarzanie Danych Osobowych, a Podmiot Przetwarzający zamierza przyjąć powierzone mu Dane Osobowe do przetwarzania w imieniu Administratora, zgodnie z Umową oraz z przepisami regulującymi przetwarzanie danych osobowych, wiążącymi Podmiot Przetwarzający i Administratora.
1.1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie Danych Osobowych w imieniu Administratora, na zasadach określonych w Umowie oraz we właściwych przepisach regulujących przetwarzanie danych osobowych, w szczególności w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”).
1.2. Rodzaj Danych Osobowych, kategorie osób, których dotyczą Dane Osobowe, jak również przedmiot, czas trwania, charakter i cel przetwarzania Danych Osobowych są wskazane w Załączniku 1 (Dane Osobowe) do Umowy.
1.3. Strony zobowiązują się wykonywać obowiązki wynikające z Umowy z należytą starannością, w celu prawidłowego zabezpieczenia interesów Stron oraz osób, których dotyczą Dane Osobowe, w zakresie przetwarzania Danych Osobowych.
2.1. Podmiot Przetwarzający oświadcza, że:
(a)wdrożył odpowiednie środki techniczne i organizacyjne, w szczególności określone w art. 32 RODO, aby przetwarzanie Danych Osobowych odbywało się zgodnie z obowiązującymi przepisami, w sposób zapewniający ochronę praw osób, których dotyczą Dane Osobowe; oraz
(b) dysponuje środkami, doświadczeniem, wiedzą oraz odpowiednio wyszkolonym personelem, umożliwiającymi prawidłowe przetwarzanie Danych Osobowych w zakresie i w celu określonych w Umowie.
Ogólne zasady przetwarzania
3.1. z zastrzeżeniem punktu 3.2 poniżej, przetwarzanie Danych Osobowych przez Podmiot Przetwarzający może następować wyłącznie w przypadkach wynikających z Umowy lub na podstawie odrębnych zleceń Administratora, wyrażonych w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej).
3.2. Podmiot Przetwarzający ma prawo przetwarzać Dane Osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. w takim przypadku Podmiot Przetwarzający jest zobowiązany poinformować Administratora o stosującym się do niego obowiązku prawnym co najmniej na 24 (dwadzieścia cztery) godziny przed rozpoczęciem przetwarzania, chyba że wiążące go przepisy zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny.
3.3. Przetwarzanie Danych Osobowych przez Podmiot Przetwarzający jest ograniczone do celu i zakresu wskazanych w Załączniku 1 (Dane Osobowe) do Umowy.
3.4. Podmiot Przetwarzający prowadzi rejestr czynności przetwarzania Danych Osobowych, zawierający informacje wymagane przez obowiązujące przepisy, chyba że zgodnie z obowiązującymi przepisami nie ma obowiązku prowadzenia takiego rejestru.
3.5. Podmiot Przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO, chyba że zgodnie z obowiązującymi przepisami nie ma obowiązku prowadzenia takiego rejestru.
3.6. Wszelkie zlecane przez Administratora operacje przetwarzania Danych Osobowych Podmiot Przetwarzający wykonuje niezwłocznie, w szczególności, jeśli chodzi o usunięcie Danych Osobowych na żądanie osoby, której dotyczą.
3.7. Biorąc pod uwagę charakter przetwarzania Danych Osobowych, Podmiot Przetwarzający ma obowiązek współdziałania z Administratorem w celu wywiązania się z obowiązku odpowiadania na żądania osoby, której dotyczą Dane Osobowe, w zakresie wykonywania jej praw określonych w obowiązujących przepisach, wdrażając odpowiednie środki techniczne i organizacyjne.
Upoważnienia do przetwarzania
3.8. Podmiot Przetwarzający zapewni, że osoby, które będą zaangażowane w operacje przetwarzania Danych Osobowych w ramach jego organizacji przed rozpoczęciem przetwarzania Danych Osobowych:
(a) otrzymają pisemne upoważnienia do przetwarzania Danych Osobowych;
(b)będą zaznajomione z obowiązującymi przepisami o ochronie danych osobowych (z uwzględnieniem ich ewentualnych zmian) oraz z odpowiedzialnością za ich nieprzestrzeganie, w tym zostaną odpowiednio przeszkolone z zakresu ochrony danych osobowych;
(c) będą dokonywały operacji przetwarzania Danych Osobowych wyłącznie na polecenie Administratora, z zastrzeżeniem punktu 3.2 powyżej; oraz
(d)zobowiążą się do zachowania w tajemnicy Danych Osobowych oraz stosowanych przez Podmiot Przetwarzający sposobów ich zabezpieczenia, o ile taki obowiązek nie wynika dla nich z odpowiednich przepisów.
3.9. Podmiot Przetwarzający prowadzi ewidencję udzielonych upoważnień do przetwarzania Danych Osobowych, o których mowa w punkcie 3.8 lit. (a) powyżej.
Korzystanie z podwykonawców
3.10. Administrator niniejszym wyraża zgodę na korzystanie przez Podmiot Przetwarzający z podwykonawców przy przetwarzaniu Danych Osobowych (dalsze powierzenie przetwarzania), pod warunkiem, że przed powierzeniem podwykonawcy przetwarzania Danych Osobowych Podmiot Przetwarzający:
(a)zawrze z podwykonawcą umowę powierzenia przetwarzania Danych Osobowych na warunkach nie gorszych niż warunki Umowy;
(b)upewni się, że podwykonawca zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom obowiązujących przepisów.
3.11. Jeżeli podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych Osobowych, Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków podwykonawcy.
Środki zabezpieczające
4.1. Podmiot Przetwarzający stosuje środki techniczne i organizacyjne, w szczególności określone w art. 32 RODO, odpowiednie do zagrożeń oraz charakteru, zakresu, kontekstu i celu przetwarzania Danych Osobowych, zapewniające bezpieczeństwo Danych Osobowych, w szczególności przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem.
4.2. Podmiot Przetwarzający stale monitoruje stan stosowanych zabezpieczeń Danych Osobowych oraz występujących zagrożeń bezpieczeństwa, i w razie potrzeby aktualizuje stosowane środki techniczne i organizacyjne, tak, żeby zapewnić odpowiedni poziom ochrony Danych Osobowych.
Współpraca w zakresie bezpieczeństwa
4.3. Podmiot Przetwarzający, uwzględniając charakter przetwarzania Danych Osobowych oraz dostępne mu informacje, ma obowiązek współdziałania z Administratorem w wywiązaniu się z obowiązków określonych w art. 32–36 RODO.
4.4. Podmiot Przetwarzający pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO, a także udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz niniejszej Umowie.
4.5. Podmiot Przetwarzający niezwłocznie, przed podjęciem jakichkolwiek działań, zawiadamia Administratora o każdym przypadku:
(a) wystąpienia jakiegokolwiek organu z żądaniem udostępnienia Danych Osobowych, chyba że zakaz ujawnienia tej informacji wynika z obowiązujących przepisów;
(b) wystąpienia przez osobę, której dotyczą Dane Osobowe, z żądaniem dotyczącym przetwarzania Danych Osobowych lub ich treści.
4.6. Podmiot Przetwarzający niezwłocznie – w każdym wypadku nie później niż w ciągu 48 (czterdziestu ośmiu) godzin od wykrycia – informuje Administratora o wszelkich wykrytych naruszeniach bezpieczeństwa Danych Osobowych, przekazując Administratorowi wszelkie dostępne Podmiotowi Przetwarzającemu informacje na temat naruszenia, w szczególności:
(a) charakter naruszenia ochrony Danych Osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dotyczą Dane Osobowe, oraz kategorie i przybliżoną liczbę wpisów, których dotyczy naruszenie;
(b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
(c) możliwe konsekwencje naruszenia ochrony Danych Osobowych; oraz
(d) środki zastosowane lub proponowane przez Podmiot Przetwarzający w celu zaradzenia naruszeniu ochrony Danych Osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
4.7. Podmiot Przetwarzający współdziała z Administratorem przy ustalaniu szczegółów związanych ze zgłoszonym Administratorowi naruszeniem, w szczególności przyczyn i skutków jego wystąpienia oraz wdraża zalecane przez Administratora środki mające na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia Danych Osobowych oraz środki naprawcze.
4.8. Podmiot Przetwarzający niezwłocznie informuje Administratora, jeśli jego zdaniem wydane mu przez Administratora polecenie dotyczące przetwarzania Danych Osobowych stanowi naruszenie obowiązujących przepisów.
5.1. Podmiot Przetwarzający ma obowiązek współpracować z Administratorem lub upoważnionym przez Administratora audytorem w czasie przeprowadzanej kontroli, w sposób umożliwiający Administratorowi weryfikację prawidłowej realizacji obowiązków Podmiotu Przetwarzającego.
5.2. Kontrola, o której mowa w punkcie 5.1 powyżej może być przeprowadzona wyłącznie po zawiadomieniu Podmiotu Przetwarzającego z co najmniej 7-dniowym wyprzedzeniem w zwyczajowych godzinach pracy Podmiotu Przetwarzającego, w terminie ustalonym między Stronami. Administrator zobowiązuje się, że w przypadku przeprowadzania kontroli osoba ze strony Administratora (w tym ewentualnie zewnętrzny audytor wyznaczony przez Administratora), która będzie ją przeprowadzać, w celu ochrony informacji poufnych oraz tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego, zawrze przed rozpoczęciem kontroli z Podmiotem Przetwarzającym stosowną umowę o zachowaniu w poufności informacji poufnych Podmiotu Przetwarzającego na wzorze przez niego przedstawionym.
6.1. Umowa wchodzi w życie z dniem złożenia oświadczenia woli przez Administratora o jej zawarciu i zostaje zawarta na czas określony do dnia rozwiązania lub wygaśnięcia ostatniej z umów łączących Strony, z których wynika konieczność przetwarzania Danych Osobowych przez Podmiot Przetwarzający.
6.2. Po zakończeniu świadczenia usług związanych z przetwarzaniem Podmiot Przetwarzający, usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie oraz usuwa wszelkie nośniki tych danych (w tym pliki), chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
7.1. Podmiot Przetwarzający odpowiada w szczególności za szkody spowodowane przetwarzaniem Danych Osobowych, (i) jeśli nie dopełnił obowiązków określonych w Umowie lub przepisach prawa powszechnie obowiązującego lub (ii) gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
Całość porozumienia
8.1. Umowa stanowi całość porozumienia pomiędzy Stronami i zastępuje w całości uprzednie lub równoczesne uzgodnienia poczynione przez Strony (w formie pisemnej lub ustnej) w przedmiocie regulowanym postanowieniami niniejszej Umowy.
Załączniki
8.2. Załączniki do Umowy stanowią jej integralną część i powinny być interpretowane łącznie z głównym tekstem Umowy.
Prawo właściwe
Rozwiązywanie sporów
8.4. Wszelkie spory między Stronami będą rozwiązywane na zasadzie polubownych negocjacji. w przypadku nieosiągnięcia przez Strony porozumienia w terminie 30 (trzydziestu) dni od daty zakomunikowania zagadnienia spornego drugiej Stronie, spór zostanie przekazany do rozstrzygnięcia sądowi powszechnemu właściwemu dla siedziby Podmiotu Przetwarzającego.
Zmiany Umowy
8.5. Wszelkie zmiany Umowy wymagają formy dokumentowej.