Aneks do umowy o powierzeniu przetwarzania danych osobowych

ANEKS NR 1

 

do umowy 2023/05/UM/001 z dnia 15 maja 2023 r.

 

Zawarty w dni 20 października 2023 r. w Warszawie pomiędzy:

 

Cyber Solutions Sp. z o.o. z siedzibą w Warszawie, przy ul. Marszałkowskiej 123, wpisanym do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 000123456, o nr NIP 5213245678, nr REGON 123456789 oraz kapitale zakładowym wynoszącym 50 000 zł, reprezentowanym przez:

 

1. Jan Kowalski - Prezes Zarządu

 

zwaną w dalszej części Umowy Zleceniodawcą lub Stroną,

 

a

 

Accountancy Experts Sp. z o.o. z siedzibą w Krakowie, przy ul. Floriańskiej 45, wpisanym do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 000654321, o nr NIP 7894561230, nr REGON 987654321 oraz kapitale zakładowym wynoszącym 25 000 zł, reprezentowanym przez:

 

1. Anna Nowak - Prezes Zarządu

 

zwaną w dalszej części Umowy Zleceniobiorcą lub Stroną,

o następującej treści:

 

§1

Dodaje się do umowy 2023/05/UM/001 z dnia 15 maja 2023 r. § 5 w następującym brzmieniu:

1. Zleceniodawca oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej "Rozporządzenie" lub "RODO") w stosunku do danych powierzonych Zleceniobiorcy.

2. Zleceniobiorca może przetwarzać dane osobowe wyłącznie w celu prowadzenia ksiąg rachunkowych oraz obsługi kadrowo - płacowej, a także wykonania pozostałych operacji przetwarzania danych osobowych wskazanych w niniejszej Umowie, nieobjętych wprost przedmiotem usług.

3. Zleceniobiorca może przetwarzać dane osobowe następujących kategorii osób: pracowników, klientów, kontrahentów i kandydatów do pracy, które Zleceniodawca przetwarza jako administrator.

4. Zleceniobiorca może przetwarzać następujące dane osobowe: dane identyfikacyjne (np. imię, nazwisko, PESEL). Na powyższych danych będą wykonywane następujące operacje: gromadzenie, przetwarzanie, przechowywanie.

5. Zleceniodawca oświadcza, że charakter danych osobowych powierzanych niniejszą Umową, obejmuje / nie obejmuje [wybrać właściwe] szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO oraz danych dotyczące wyroków skazujących i naruszeń prawa w rozumieniu art. 10 RODO.

6. Zleceniodawca ma prawo do kontroli sposobu wykonywania niniejszej Umowy przez Zleceniobiorcę odnośnie zobowiązań, o których mowa w niniejszej Umowie. Warunkiem przeprowadzenia kontroli jest zawiadomienie Zleceniobiorcy w terminie nie krótszym niż 7 dni przed planowanym terminem jej przeprowadzenia.

7. Zleceniobiorca udostępni Zleceniodawcy wszelkie informacje niezbędne do wykazania spełnienia nałożonych na niego niniejszą Umową zobowiązań.

8. Zleceniobiorca umożliwia Zleceniodawcy lub audytorowi przez niego upoważnionemu przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

9. Uprawnienia określone w powyższych ustępach niniejszego paragrafu przysługują Zleceniodawcy odpowiednio w stosunku do Podwykonawców, o których mowa w pkt 17 niniejszej Umowy, w przypadku powierzenia Zleceniobiorcę przetwarzania danych Podwykonawcom, zgodnie z pkt 17.

10. W związku z obowiązkiem określonym w ustępach powyżej, Zleceniobiorca niezwłocznie informuje Zleceniodawcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia lub innych przepisów powszechnie obowiązujących, które dotyczą ochrony danych osobowych.

11. Zleceniobiorca zobowiązuje się do wdrożenia ze skutkiem na dzień 21 listopada 2023 r. odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa przetwarzania danych uwzględniający stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

12. Środki, o których mowa w ustępie poprzednim, to między innymi w stosownych przypadkach:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, ocenianie i mierzenie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

13. Biorąc pod uwagę charakter przetwarzania danych, Zleceniobiorca zobowiązuje się od dnia stosowania Rozporządzenia do pomocy Zleceniodawcy, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiedzi na żądania osoby, której dane dotyczą, w szczególności w zakresie wykonywania jej praw określonych w Rozdziale III Rozporządzenia.

14. Biorąc pod uwagę charakter przetwarzania danych oraz posiadane informacje, Zleceniobiorca zobowiązuje się do pomocy Zleceniodawcy w zakresie wywiązywania się z obowiązków wymienionych w art. 32-36 w Sekcji 1 i art. 37-39 Sekcji 2 Rozdziału IV Rozporządzenia, tj. w szczególności dotyczących wdrażania odpowiednich środków technicznych i organizacyjnych, zgłaszania naruszenia ochrony danych osobowych przez Zleceniodawcę organowi nadzorczemu oraz osobie, której dane dotyczą, co oznacza udzielenie Zleceniodawcy na każde jego żądanie i we wskazanym przez niego terminie, wszelkich wyjaśnień i innych form wsparcia, w tym informacji o stanie faktycznym, które pomogą Zleceniodawcy w spełnieniu jego obowiązków wynikających z RODO, o których mowa.

15. Zleceniobiorca zobowiązuje się do prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych osobowych (dalej "Rejestr") dokonywanych w imieniu Zleceniodawcy.

16. Rejestr zawiera następujące informacje:

a) imię i nazwisko / nazwę i adres Zleceniobiorcy oraz Zleceniodawcy, a także ich przedstawicieli, jeżeli ma to zastosowanie zgodnie z RODO oraz inspektora ochrony danych, jeśli został wyznaczony;

b) kategorie przetwarzań dokonywanych w imieniu Zleceniodawcy;

c) ogólny opis środków technicznych i organizacyjnych mających na celu zabezpieczenie powierzonych danych osobowych;

d) informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz nazwy tych państw lub podmiotów, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń.

17. Zleceniodawca wyraża zgodę, aby Zleceniobiorca powierzył dalej przetwarzanie danych osobowych (dalej "Podpowierzenie") i wykonywanie zadań wynikających z Umowy podmiotowi trzeciemu (dalej "Podwykonawca"), pod warunkiem, że:

a) Zleceniobiorca powiadomi uprzednio Zleceniodawcę, pisemnie lub w formie elektronicznej, o swoim zamiarze Podpowierzenia;

b) Zleceniodawca zachowuje prawo sprzeciwu wobec zamiaru Podpowierzenia lub zmiany jego warunków przez Zleceniobiorcę;

c) zakres i cel Podpowierzenia nie będzie szerszy niż wynikający z Umowy;

d) przedmiot i cel przetwarzania, czas i miejsce przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa Zleceniodawcy zostaną zachowane w umowie Podpowierzenia odpowiednio do warunków, opisanych w niniejszej Umowie;

e) Podpowierzenie będzie niezbędne dla realizacji celów związanych z procesami lub projektami wynikającymi z Umowy;

f) Podpowierzenie nie naruszy interesów Zleceniodawcy;

g) umowa Podpowierzenia zostanie zawarta z Podwykonawcą na piśmie, zgodnie z obowiązującymi przepisami dotyczącymi powierzania przetwarzania danych osobowych z zastrzeżeniem, że wszelkie obowiązki Zleceniobiorcy, wynikające z niniejszej Umowy, Zleceniobiorca zastosuje odpowiednio do Podwykonawcy w umowie Podpowierzenia;

h) Podwykonawca spełnia obowiązki wynikające z Rozporządzenia, nakładane bezpośrednio na podmiot przetwarzający w rozumieniu Rozporządzenia, w tym w szczególności obowiązek prowadzenia rejestru czynności przetwarzania oraz wdrożenia środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych, o których mowa w Rozporządzeniu.

18. Zleceniobiorca w umowie Podpowierzenia zobowiąże Podwykonawców do przestrzegania przy przetwarzaniu powierzonych danych obowiązków dotyczących ochrony danych na poziomie, co najmniej określonym w niniejszej Umowie oraz Rozporządzeniu.

19. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków określonych w niniejszej Umowie lub RODO, pełna odpowiedzialność wobec Zleceniodawcy za wypełnienie tych obowiązków spoczywa na Zleceniobiorcy.

20. Zleceniobiorca oświadcza, że każda osoba (np. pracownik, osoba świadcząca czynności na podstawie umowy zlecenia, inne osoby pracujące na rzecz Zleceniobiorcy), która zostanie dopuszczona do przetwarzania powierzonych przez Zleceniodawcę danych osobowych zostanie zobowiązana do zachowania tych danych w tajemnicy. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych. Do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia zobowiązany jest także Zleceniobiorca, a samo zobowiązanie obejmuje podmioty, wymienione w niniejszym ustępie permanentnie, tj. także po zakończeniu obowiązywania niniejszej Umowy. Postanowienia dotyczące zachowania tajemnicy, o której mowa w niniejszym ustępie, Zleceniobiorca ma obowiązek stosować odpowiednio także wobec swoich Podwykonawców i osób dopuszczonych przez Podwykonawców do przetwarzania danych osobowych.

21. Zleceniobiorca oświadcza, że każda osoba mająca dostęp do danych osobowych będzie je przetwarzała wyłącznie na polecenie Zleceniodawcy, chyba że obowiązek taki wynika z przepisów prawa.

22. Zleceniobiorca po zakończeniu realizacji usług, o których mowa w pkt 1 zobowiązany jest do niezwłocznego zwrotu powierzonych mu danych oraz do usunięcia wszystkich ich istniejących kopii, sporządzonych na potrzeby realizacji umowy, bądź na wyraźne żądanie Zleceniobiorcy - dokonać usunięcia powierzonych danych osobowych, zamiast ich zwrotu, chyba, że przepisy prawa nakazują przechowywanie danych osobowych. Na każde życzenie Zleceniodawcy, Zleceniobiorca ma obowiązek przedstawić w terminie 3 dni pisemny protokół potwierdzający fakt usunięcia danych osobowych. Sposób zakończenia przetwarzania danych osobowych po sfinalizowaniu realizacji usług na rzecz Zleceniodawcy, opisany w niniejszym ustępie, Zleceniobiorca powinien wskazać odpowiednio swoim Podwykonawcom, w przypadku Podpowierzenia. Okres przetwarzania danych osobowych w imieniu Zleceniodawcy przez Zleceniobiorcę (oraz odpowiednio - Podwykonawców) trwa do dnia zrealizowania obowiązku zwrotu lub usunięcia danych, o którym mowa w zdaniu pierwszym.

23. Zleceniobiorca oświadcza, że w razie stwierdzenia naruszenia ochrony danych osobowych bezzwłocznie, jednak nie później niż w terminie 72 godzin od wykrycia naruszenia, poinformuje o tym Zleceniodawcę.

24. Zgłoszenie, o któr