Umowa powierzenia przetwarzania danych osobowych

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

OSOBOWYCH

zawarta w Warszawie w dniu 25.05.2023 r. pomiędzy:

Jan Kowalski

ul. Polna 12, 00-001 Warszawa

NIP: 1234567890 REGON: 123456789 KRS: 0000000001

zwanym dalej „Administratorem”,

a

Firma "Księgowość Sp. z o.o."

ul. Kwiatowa 2, 01-002 Warszawa

NIP: 0987654321 REGON: 987654321 KRS: 0000000002

zwanym dalej „Procesorem”.

Administrator oraz Procesor w dalszej części niniejszej umowy są zwani łącznie „Stronami”, z osobna zaś – „Stroną”.

PREAMBUŁA

Zważywszy, że:

a) Administrator oraz Procesor są stronami umowy nr KS/2023/05/01 z dnia 10.05.2023, zwaną dalej: „umową główną”, na mocy której Procesor realizuje kompleksową obsługę księgową Administratora w zakresie prowadzonej przez niego działalności gospodarczej;

b) w związku z wykonywaniem umową główną Procesor przetwarza dane osobowe pracowników i osób, z którymi Administrator współpracuje na podstawie umów cywilnoprawnych, zwanych dalej: „osobami, których dane dotyczą”;

c) Administrator pełni funkcję administratora danych osób, których dane dotyczą;

d) Strony mają na względzie dbałość o legalność przetwarzania danych osobowych, jak również ochronę praw i wolność osób, których dane dotyczą, zgodnie z art. 28 ust. 1-4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE seria „L” z 2016 r. Nr 119, poz. 1 z dnia 04 maja 2016 r.), zwanym dalej RODO, Strony postanowiły zawrzeć niniejszą umowę o powierzenie przetwarzania danych osobowych:

§1

Przedmiot umowy. Charakter i cel przetwarzania danych osobowych

1. Działając zgodnie z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE seria „L” z 2016 r. Nr 119, poz. 1 z dnia 04 maja 2016 r.), zwanym dalej RODO, Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i w celu należytego świadczenia przez Procesor kompleksowej obsługi księgowej Procesora na podstawie umowy nr KS/2023/05/01 zawartej pomiędzy Stronami w dniu 10.05.2023, zwanej dalej „umową główną”.

2. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe, o których mowa w § 1 ust. 1, wyłącznie celem realizacji świadczeń objętych umową główną i realizacji niniejszej umowy.

3. Przetwarzanie przez Procesora powierzonych danych osobowych nastąpi przy wykorzystaniu systemów informatycznych i będzie obejmować przetwarzanie danych o charakterze wykonywania takich operacji jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.

§2

Oświadczenia Administratora

Administrator oświadcza, że:

a) przetwarza powierzane na podstawie niniejszej umowy dane osobowe zgodnie z obowiązującymi przepisami prawa, w szczególności zgodnie z RODO;

b) nie wyraża zgody powierzenie przez Procesora dalszego przetwarzania danych, o którym mowa w art. 28 ust. 2 i ust. 4 RODO;

c) zawiera niniejszą umowę, gdyż zgodnie z obowiązującą u Procesora polityką ochrony danych osobowych, której kopia stanowi załącznik nr 1 do niniejszej umowy, Procesor zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (zgodnie z definicją w § 3 ust. 1 niniejszej umowy).

§3

Przedmiot przetwarzania danych osobowych. Rodzaj danych osobowych i kategorie osób, których dane dotyczą

1. Przedmiotem przetwarzania danych osobowych na podstawie niniejszej umowy są dane osobowe dane osobowe pracowników i osób, z którymi Administrator współpracuje na podstawie umów cywilnoprawnych, zwanych dalej: „osobami, których dane dotyczą”.

2. Rodzaj danych osobowych i kategorie osób, których dane dotyczą, powierzonych Procesorowi do przetwarzania, są następujące:

a) Imię i nazwisko osoby, której dane dotyczą;

b) Adres osoby, której dane dotyczą;

c) NIP osoby, której dane dotyczą;

d) PESEL osoby, której dane dotyczą;

e) Numer telefonu.

§4

Oświadczenia i obowiązki Procesora

1. Procesor oświadcza i zapewnia, że:

a) będzie przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) osoby upoważnione przez Procesora do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32 RODO;

d) umożliwia Administratorowi przestrzega warunków, o których mowa w art. 28 ust. 2 i 4 RODO;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie danych osobowych;

h) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

2. W związku z obowiązkiem określonym w ust. 1 pkt b) Procesor dopuści do przetwarzania danych osobowych wyłącznie osoby, które:

a) zostały upoważnione do przetwarzania danych osobowych, na podstawie pisemnego upoważnienia wydanego im przez Procesora;

b) złożyły w formie pisemnej oświadczenie o zachowaniu w poufności powierzonych im danych osobowych.

3. W związku z obowiązkiem określonym w ust. 1 pkt h) Procesor niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO, innych przepisów Unii Europejskiej lub prawa polskiego o ochronie danych.

4. Procesor zobowiązuje się do przetwarzania przekazanych mu przez Administratora danych osobowych w sposób zabezpieczający je przed udostępnieniem ich osobom do tego nieuprawnionym. Procesor zobowiązany jest do zapobiegania zbieraniu przez osoby do tego nieuprawnione danych osobowych przekazanych Procesorowi przez Administratora oraz zapobiegania ich niezgodnemu z prawem przetwarzaniu, nieuprawnionej ich zmianie, uszkodzeniu lub zniszczeniu.

5. Procesor oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami obowiązującego prawa.

§5

Prawa i obowiązki Administratora

1. Administrator ma prawo kontroli realizacji przez Procesora obowiązków, o których mowa w § 5 niniejszej umowy. Kontrola może zostać przez Administratora przeprowadzona w każdym czasie i w każdej formie. Kontrola będzie odbywać się zgodnie z obowiązującymi przepisami prawa.

2. Administrator udziela Procesorowi na jego żądanie niezbędnych informacji w celu wykonywania niniejszej umowy zgodnie z obowiązującymi przepisami prawa, w tym w szczególności zgodnie z RODO i innymi przepisami dotyczącymi ochrony danych osobowych. Udzielone informacje nie mogą prowadzić do naruszenia tajemnicy przedsiębiorstwa.

§6

Czas trwania przetwarzania danych osobowych

1. Czas trwania przetwarzania danych jest zgodny z okresem obowiązywania umowy głównej i nie będzie dłuższy niż 2 lata.

2. Przedłużenie czasu trwania przetwarzania danych, o którym mowa w ustępie poprzedzającym, wymaga zmiany niniejszej umowy – zgodnie z § 10 ust. 2 niniejszej umowy.

§7

Odpowiedzialność Procesora

1. Niezależnie od innych postanowień niniejszej umowy, Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe w pełnej zgodności z obowiązującymi przepisami prawa, w tym w szczególności zgodnie z RODO

2. O ile bezwzględnie obowiązujące przepisy prawa nie stanowią inaczej, Procesor odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem przez Procesor powierzonych danych osobowych, w tym za szkody wyrządzone osobom, których dane dotyczą.

3. Jeżeli Administrator poniesie jakąkolwiek szkodę w związku z niewykonaniem lub nienależytym wykonywaniem przez Procesora postanowień niniejszej umowy lub naruszeniem RODO albo innych przepisów obowiązującego prawa, Procesor zobowiązuje się do jej naprawienia Administratorowi w pełnej wysokości, w szczególności zwracając Administratorowi kwoty wypłaconych odszkodowań lub uiszczonych grzywien bądź administracyjnych kar pieniężnych, jak również wyrównując koszty wykonania jakichkolwiek innych nałożonych lub odnoszących się do Administratora obowiązków bądź sankcji. Na żądanie Administratora Procesor wyłoży w całości lub w części kwoty konieczne do pokrycia kosztów, o których mowa w zdaniu poprzedzającym, przed ich poniesieniem przez Administratora.

4. W razie niewykonania lub nienależytego wykonania któregokolwiek z obowiązków określonych w § 4 ust. 1 pkt a) – f), ust. 2 pkt a) – b), ust. 3, ust. 4 lub ust. 5 niniejszego paragrafu, Procesor zapłaci Administratorowi karę umowną w wysokości 10 000 zł (słownie: dziesięć tysięcy złotych) za każdy przypadek naruszenia. Kary umowne podlegają sumowaniu. Zapłata kary umownych nie pozbawia Administratora prawa dochodzenia odszkodowania uzupełniającego, przenoszącego wysokość zastrzeżonych kar, w szczególności zgodnie z ust. 2 i ust. 3 niniejszego paragrafu.

§8

Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy obowiązującego prawa.

2. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

3. Intencją Stron jest, aby wszelkie podejmowane przez nie czynności w zakresie danych osobowych odbywały się w całkowitej zgodności z obowiązującymi przepisami prawa, w tym w szczególności zgodnie z RODO W tym celu Strony postanawiają, że wszystkie ich prawa i obowiązki określone w niniejszej umowie powinny być interpretowane w świetle obowiązujących regulacji prawnych dotyczących danych osobowych oraz ich wykładni dokonywanej przez kompetentne do tego organy władzy publicznej.

4. W przypadku stwierdzenia, że którekolwiek z postanowień niniejszej umowy było w momencie jej zawarcia z mocy prawa nieważne lub bezskuteczne, okoliczność ta nie będzie miała wpływu na ważność, skuteczność lub możliwość wyegzekwowania pozostałych jej postanowień. W sytuacji, o której mowa w zdaniu poprzedzającym, Strony zobowiązują się zawrzeć aneks do niniejszej umowy, w którym sformułują postanowienia zastępcze, których cel będzie równoważny lub maksymalnie zbliżony do celu postanowień nieważnych lub bezskutecznych. W przypadku nieosiągnięcia porozumienia co do treści postanowień zastępczych zastosowanie będą miały odpowiednie przepisy prawa. Wszelkie natomiast zmiany bezwzględnie obowiązujących przepisów prawa odnoszące się do niniejszej umowy, które wejdą po jej zawarciu, wiążą Strony bezpośrednio i ex lege, bez obowiązku dokonywania aneksu do niniejszej umowy.

5. Wszelkie spory cywilne pomiędzy Stronami rozstrzygane będą przez sąd wyznaczony zgodnie z klauzulą prorogacyjną zawartą w umowie głównej.

6. Niniejszą umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Załączniki:

1. kopia polityki ochrony danych osobowych obowiązującej u Procesora;

2. Regulamin świadczenia usług.