Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych

Zawarta w Warszawie, dnia 15.03.2023 r. pomiędzy:

(Firma "Kwiaciarnia Róża", Kwiaciarnia Róża Sp. z o.o., ul. Kwiatowa 1, 00-001 Warszawa Jan Kowalski, 1234567890, 1011121314, 0000123456), zwana dalej „Administratorem”,

a

(Firma "Serwerowo Sp. z o.o.", Serwerowo Sp. z o.o., ul. Informatyczna 10, 20-002 Warszawa Anna Nowak, 9876543210, 1413121110, 0000654321), zwana dalej „Przetwarzającym”, zwane dalej „Stronami”.

Mając na uwadze, że:

I. Administratorem jest (Kwiaciarnia Róża Sp. z o.o.).

II. Przetwarzającym jest (Serwerowo Sp. z o.o.).

III. Strony zawarły umowę (Umowa o hosting, 10.03.2023 i Serwerowo Sp. z o.o.), zwaną dalej „Umową”, w związku z wykonaniem której Administrator powierzy Przetwarzającemu przetwarzanie posiadanych danych osobowych w zakresie wskazanym w Umowie.

IV. Celem niniejszej Umowy jest określenie warunków, jakim będzie podlegać proces przetwarzania powierzonych danych osobowych dokonywany przez Przetwarzającego w imieniu Administratora.

V. Strony wspólnie ustalają, że przetwarzanie danych osobowych w ramach Umowy będzie się odbywać zgodnie z zasadami określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO”.

Przetwarzający w wyniku przeprowadzonej przez Administratora weryfikacji uzyskał pozytywną ocenę w zakresie zgodności przetwarzania danych osobowych z zasadami wynikającymi z RODO.

Strony postanowiły zawrzeć Umowę o następującej treści:

§1

Powierzenie przetwarzania danych osobowych

1. Administrator powierza Przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania, na zasadach i w celu określonym w Umowie.

2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową.

3. Przetwarzający oświadcza, że stosuje środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.

§2

Zakres i cel przetwarzania danych

1. Przetwarzanie dotyczyć będzie następujących kategorii danych osobowych:

1.1. Dane zwykłe: (poniższe dane wymienione zostają przykładowo)

a) Imię i Nazwisko,

b) Adres e-mail,

c) Numer zamówienia,

d) Adres zamieszkania,

e) Adres dostawy,

f) Numer telefonu,

g) Adres IP,

h) Data urodzenia,

i) PESEL,

j) NIP,

k) Numer faktury,

l) Nazwa firmy,

m) Dane kontaktowe firmy,

n) Przedmiot działalności firmy

1.2. Szczególne kategorie danych osobowych: (wskazać, o ile ma to zastosowanie; poniższe dane wymienione zostają przykładowo)

a) Dane o stanie zdrowia (w przypadku dostawy kwiatów do szpitala),

b) Dane o wyznaniu (w przypadku zamówień na wieńce pogrzebowe),

c) Dane o poglądach politycznych (w przypadku zamówień na wieńce okolicznościowe)

2. Przetwarzanie dotyczyć będzie następujących kategorii osób: (poniższe kategorie wymienione zostają przykładowo)

a) Klienci indywidualni,

b) Klienci firmowi,

c) Dostawcy,

d) Pracownicy

3. Przetwarzanie odbywać się będzie w następującym celu: (poniższy opis podany zostaje przykładowo)

a) (Realizacja zamówień),

b) Wysyłka newslettera

§3

Dalsze powierzenie przetwarzania danych osobowych

1. Przetwarzający pod warunkiem uzyskania uprzedniej szczegółowej zgody lub braku sprzeciwu Administratora, na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych, może powierzyć konkretne operacje przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu.

2. Przetwarzający nie może przekazać dalszemu podmiotowi przetwarzającemu całości operacji przetwarzania wynikających z Umowy.

3. Załącznik nr 1, stanowiący integralną cześć Umowy, określa listę dalszych podmiotów przetwarzających zgłoszonych przez Przetwarzającego i zaakceptowanych przez Administratora (postanowienie ma zastosowanie, wyłącznie gdy na chwilę zawarcia umowy przetwarzający zgłosi administratorowi dalsze podmioty przetwarzające).

4. Administrator w każdym czasie, posiadając uzasadnione podstawy, może zgłosić udokumentowany sprzeciw wobec przetwarzania danych osobowych przez dalsze podmioty przetwarzające, określone w załączniku nr 1 do Umowy, o którym mowa powyżej. W takim przypadku Przetwarzający jest zobowiązany niezwłocznie zakończyć powierzanie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, których sprzeciw dotyczy.

5. Powierzenie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, które nie zostały określone w załączniku nr 1 do Umowy, o którym mowa powyżej, wymaga ich uprzedniego zgłoszenia Administratorowi w celu umożliwienia zgłoszenia sprzeciwu. W przypadku udokumentowanego, uzasadnionego sprzeciwu Administratora Przetwarzający nie ma prawa dokonać powierzenia przetwarzania danych osobowych dalszemu podmiotowi przetwarzającemu.

6. Przetwarzający ma obowiązek zobowiązać dalszy podmiot przetwarzający, aby ten przestrzegał wszystkich obowiązków, jakie zostały nałożone na Przetwarzającego w Umowie.

§4

Obowiązki Przetwarzającego

1. Przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych poleceń lub instrukcji Administratora i zgodnie z nimi.

2. Przetwarzający oświadcza, że nie dokonuje transferu danych osobowych do państw trzecich lub organizacji międzynarodowych, tj. poza obszar Unii Europejskiej/Europejski Obszar Gospodarczy. W sytuacji gdy Przetwarzający poweźmie zamiar lub będzie zobowiązany do dokonania transferu do państwa trzeciego lub organizacji międzynarodowej, tj. poza obszar Unii Europejskiej/Europejski Obszar Gospodarczy, jest zobowiązany poinformować o tym fakcie Administratora w celu umożliwienia podjęcia Administratorowi niezbędnych działań gwarantujących zgodność przetwarzania z prawem bądź podjęcia decyzji o zakończeniu współpracy w zakresie powierzenia przetwarzania danych osobowych.

3. Przetwarzający podczas przetwarzania powierzonych danych osobowych jest zobowiązany do ich zabezpieczenia poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, określonych w art. 32 RODO.

4. Przetwarzający jest zobowiązany dołożyć należytej staranności przy wykonywaniu operacji przetwarzania powierzonych danych osobowych.

5. Przetwarzający jest zobowiązany nadać upoważnienia do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe.

6. Przetwarzający jest zobowiązany do zachowania w tajemnicy powierzonych danych osobowych, dotyczy to również osób, które Przetwarzający upoważnił do przetwarzania powierzonych danych osobowych.

7. Przetwarzający jest zobowiązany do udokumentowanego poinformowania Administratora o wątpliwościach zgodności z prawem wydanych poleceń lub instrukcji, pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

8. Przetwarzający jest zobowiązany do ograniczenia dostępu do powierzonych danych osobowych wyłącznie do osób, których dostęp jest konieczny do realizacji Umowy i posiadających odpowiednie upoważnienie.

9. Przetwarzający jest zobowiązany do współdziałania z Administratorem przy wykonywaniu ciążących na nim obowiązków określonych w art. 32–36 RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszenia organowi nadzorczemu, zawiadamianie osób, których dane osobowe dotyczą, o naruszeniu ochrony danych osobowych, ocena skutków dla ochrony danych osobowych i uprzednie konsultacje z organem nadzorczemu).

10. Przetwarzający jest zobowiązany do udzielenia pomocy Administratorowi przy wykonywaniu obowiązku odpowiadania na żądania osoby, której dane osobowe dotyczą, w zakresie jej praw określonych w rozdziale III RODO.

11. Przetwarzający jest zobowiązany powiadomić Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych w terminie 24 godzin, licząc od chwili możliwości zaistnienia naruszenia.

12. Przetwarzający jest zobowiązany do przeszkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie ochrony danych osobowych.

13. Przetwarzający jest zobowiązany do niezwłocznego poinformowania Administratora o jakimkolwiek prowadzonym postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym powierzonych do przetwarzania danych osobowych, a także o wszelkich planowanych inspekcjach i kontrolach dotyczących przetwarzania powierzonych danych osobowych, o ile posiada we wskazanym zakresie wiedzę.

14. Przetwarzający po zakończeniu świadczenia usług dotyczących przetwarzania powierzonych danych osobowych nie ma prawa dalszego ich przetwarzania. Przetwarzający zwraca/usuwa Administratorowi powierzone dane osobowe (należy wybrać, czy podmiot przetwarzający jest zobowiązany zwrócić, czy usunąć dane osobowe) oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

§5

Obowiązki Administratora

Administrator jest zobowiązany do współdziałania z Przetwarzającym w realizacji Umowy, w szczególności jest zobowiązany do składania wyjaśnień w razie zaistnienia wątpliwości Przetwarzającego co do zgodności z prawem udzielanych poleceń lub instrukcji.

§6

Prawo kontroli

1. Administrator ma prawo dokonać kontroli w zakresie tego, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.

2. Administrator informuje Przetwarzającego o terminie planowanej kontroli.

3. Administrator będzie realizować kontrolę w siedzibie Przetwarzającego.

4. Administrator bądź osoby przez niego upoważnione mają prawo wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe, oraz prawo wglądu do dokumentacji dotyczącej przetwarzania powierzonych danych osobowych.

5. Przetwarzający na żądanie Administratora udziela informacji dotyczących operacji przetwarzania powierzonych danych osobowych.

6. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie uzgodnionym z Administratorem.

§7

Odpowiedzialność Przetwarzającego

1. Przetwarzający ponosi odpowiedzialność za przetwarzanie powierzonych danych osobowych niezgodnie z Umową.

2. Przetwarzający jest odpowiedzialny wobec Administratora za nieprzestrzeganie przez dalszy podmiot przetwarzający zasad przetwarzania powierzonych danych osobowych wynikających z Umowy.

§8

Czas obowiązywania Umowy

Umowa obowiązuje w okresie obowiązywania Umowy Ramowej.

§9

Rozwiązanie Umowy

Administrator jest uprawniony rozwiązać Umowę ze skutkiem natychmiastowym w sytuacji, gdy Przetwarzający przetwarza powierzone dane osobowe w sposób niezgodny z Umową, w szczególności gdy Przetwarzający nie usunął uchybień stwierdzonych podczas kontroli w terminie uzgodnionym z Administratorem oraz gdy Przetwarzający powierzył przetwarzanie danych osobowych dalszemu podmiotowi przetwarzającemu bez uzyskania zgody Administratora.

§ 10

Postanowienia końcowe

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.

2. W sprawach nieuregulowanych Umową zastosowanie będą miały przepisy RODO oraz przepisy prawa polskiego.

3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla Administratora/Przetwarzającego (w zależności od postanowień stron).

Kwiaciarnia Róża Sp. z o.o. Serwerowo Sp. z o.o. Administrator Przetwarzający

Załącznik nr 1 – Lista zgłoszonych i zaakceptowanych przez Administratora dalszych podmiotów przetwarzających (o ile ma zastosowanie zgodnie z § 3 ust. 3 wzoru umowy).