Umowa o współadministrowanie danymi osobowymi

UMOWA

O WSPÓŁADMINISTROWANIE

("Umowa")

zawarta dnia 15.03.2023 r. w Warszawie, pomiędzy:

Cybernetyka Sp. z o.o. z siedzibą w Warszawie, adresul. Nowogrodzka 1, 00-511 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego RejestruSądowego pod numerem KRS 0000123456, której sądem rejestrowym jestSąd Rejonowy dla m. st. Warszawy w Warszawie, NIP 123-456-78-90, REGON 123456789,której kapitał zakładowy wynosi 100 000,00 zł, reprezentowana przez:Jan Kowalski(dalej "Administrator Wykonawczy")

a

Innowacje Tech Sp. z o.o. z siedzibą w Krakowie, adresul. Floriańska 12, 31-021 Kraków, wpisaną do rejestru przedsiębiorców Krajowego RejestruSądowego pod numerem KRS 0000654321, której sądem rejestrowym jestSąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, NIP 987-654-32-10, REGON 987654321,której kapitał zakładowy wynosi 50 000,00 zł, reprezentowana przez:Anna Nowak(dalej "Współadministrator B")

a

Data Solutions Sp. z o.o. z siedzibą w Gdańsku, adresul. Długa 23, 80-827 Gdańsk, wpisaną do rejestru przedsiębiorców Krajowego RejestruSądowego pod numerem KRS 0000987654, której sądem rejestrowym jestSąd Rejonowy Gdańsk-Północ w Gdańsku, NIP 543-210-98-76, REGON 543210987,której kapitał zakładowy wynosi 25 000,00 zł, reprezentowana przez:Piotr Wiśniewski(dalej "Współadministrator C")

każda zwana także "Stroną" oraz łącznie zwanymi "Współadministratorami" lub"Stronami"

Mając na uwadze, że:

A. Strony wspólnie ustalają cele oraz sposoby przetwarzania w związku ze wspólnądziałalnością rozwoju oprogramowania, na zasadziewspóładministrowania w rozumieniu art. 26 Rozporządzenia Parlamentu Europejskiegoi Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznychw związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływutakich danych oraz uchylenia dyrektywy 95/46/WE ("RODO").

B. Jako współadministratorzy danych osobowych, Strony obowiązane są na mocy RODO dospełnienia szeregu obowiązków związanych z przetwarzaniem danych osobowych,w szczególności związanych z wykonywaniem przez osobę, której dane dotyczą,przysługujących jej praw, oraz realizacji obowiązków w odniesieniu do podawaniainformacji, o których mowa art. 13 i 14 RODO.

C. Celem niniejszej Umowy jest wspólne uzgodnienie odpowiedniego zakresu obowiązkówWspóładministratorów oraz relacji pomiędzy Współadministratoramioraz Współadministratorami a podmiotami, których dane dotyczą, w tym określeniezakresu i sposobu obsługi przez Współadministratorów żądań osób, których danedotyczą.

Strony postanowiły zawrzeć Umowę o następującej treści:

§ 1 Opis Współadministrowania

1.1. Przedmiot. CN/2023/03/WA Na warunkach określonych niniejszą Umową Stronyokreślają odpowiedni zakres swojej odpowiedzialności dotyczącej wypełnianiaobowiązków wynikających z RODO.

1.2. Cel i sposób. CS/2023/03/WA Cel i sposób przetwarzania przez Współadministratorówdanych osobowych (w skrócie zwanych też "danymi") wynika z umowy o współpracy/wynika z niniejszej Umowy. W szczególności Strony ustaliły, że:Wspólnym celem przetwarzania jest: realizacja projektu "System CRM"Dane przetwarzane są w następujący sposób:zgodnie z dokumentacją techniczną projektu.

1.3. Rodzaj danych. Przetwarzanie przez Współadministratorów obejmować będzie rodzajedanych osobowych wskazanych w Załączniku Nr 1 - Rodzaj przetwarzanych danychosobowych LUB imię, nazwisko, adres email, numer telefonu:

1.4. Kategorie osób. Przetwarzanie danych osobowych przez Współadministratorów będziedotyczyć następujących kategorii osób:pracowników stron, klientów, kontrahentów.

§ 2 Obowiązki Współadministratorów

2.1. Obowiązki względem osób. Obowiązki względem osób, których dane dotyczą,obejmujące współprzetwarzanie, to jest obowiązek informacyjny i realizacja prawjednostki ("Prawa jednostki"), wykonywane będą przez AdministratoraWykonawczego. Jeśli osoba objęta współadministrowaniem skieruje swoje żądanie doinnego Współadministratora, ten przekaże je niezwłocznie (w ciągu 24 godzinlub 1 dnia roboczego, ale nie później niż w ciągu 3 dni roboczych)Administratorowi Wykonawczemu, a niezależnie rozpocznie czynności w celurealizacji żądania, jeżeli taka potrzeba wynika z żądania.

2.2. Strony ustalają rolę i zakres w realizowaniu obowiązków wynikających z RODOw niniejszy sposób:

(1) Działanie zgodnie z zasadami. DZ/2023/03/WA Współadministratorzy oświadczają,że przetwarzają dane osobowe zgodnie z zasadami określonymi w art. 5 RODO.

(2) Zasada rozliczalności. ZR/2023/03/WA Administrator Wykonawczy przechowujewszelką dokumentację dotyczącą współadministrowania, dla potrzeb spełnieniawymogu rozliczalności.

(3) Zgodność przetwarzania z prawem. ZP/2023/03/WA Współadministratorzyoświadczają, że przetwarzają dane osobowe wyłącznie w przypadkach, gdyi w takim zakresie, w jakim zachodzi jednak z podstaw przetwarzania wskazanaw art. 6 lub 9 RODO.

(4) Przetwarzanie danych osobowych poza EOG. Współadministratorzy nieprzekazują danych osobowych poza EOG.

(5) Projektowanie prywatności. PP/2023/03/WA Planując dokonanie zmianw sposobie przetwarzania danych osobowych, Strony mają obowiązek zastosowaćsię do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1RODO, i mają obowiązek z wyprzedzeniem informować Strony o planowanychzmianach w taki sposób i w takich terminach, aby zapewnić Stronom realnąmożliwość reagowania, jeżeli planowane przez Stronę zmiany w opiniiprzynajmniej jednej ze Stron grożą uzgodnionemu poziomowi bezpieczeństwadanych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób,wskutek przetwarzania danych osobowych przez Stronę planującą zmianę.

(6) Minimalizacja. MI/2023/03/WA Strony zobowiązują się do ograniczenia dostępudo danych osobowych wyłącznie do osób, których dostęp do danych osobowychjest potrzebny dla realizacji Umowy.

(7) Tajemnica. TA/2023/03/WA Do przetwarzania danych osobowych mogą byćdopuszczone wyłącznie osoby, które mają imienne upoważnienie nadane przezWspóładministratora oraz zaciągnęły zobowiązanie do zachowania danychosobowych w tajemnicy.

(8) RCPD. RC/2023/03/WA Każdy Współadministrator zobowiązuje się doprowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych,w tym Rejestru Czynności Przetwarzania Danych ("RCPD") (wymóg art. 30RODO). Współadministratorzy jednocześnie oświadczają, że każdy z nichprowadzi RCPD, aktualizuje jego zawartość i że za niego odpowiada zgodnie zwymogami RODO. Strona udostępnia na żądanie drugiej Strony prowadzonyRCPD w zakresie czynności przetwarzania danych osobowych objętychwspóładministrowaniem.

(9) Bezpieczeństwo. BE/2023/03/WA Każdy ze Współadministratorów zapewnia ochronędanych osobowych i podejmuje środki ochrony danych osobowych, o którychmowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.

(10) Wyznaczenie Inspektora Ochrony Danych. IO/2023/03/WA Współadministratorzywyznaczyli jednego Inspektora Ochrony Danych ("IOD")./ AdministratorWykonawczy wyznaczył Inspektora Ochrony Danych ("IOD"). Maria Zielińska, [email protected]. Innowacje Tech Sp. z o.o. przeprowadziłudokumentowaną analizę, z której wynika, że nie ma obowiązku powoływać IOD,natomiast powołał specjalistę ds. ochrony danych osobowych ("SOD"). Tomasz Malinowski, [email protected] Stronyprzekazały sobie dane IOD i SOD./ Każdy ze Współadministratorów wyznaczyłswojego Inspektora Ochrony Danych ("IOD")/ specjalistę ds. ochrony danychosobowych ("SOD"). Strony przekazały sobie dane IOD i SOD.

(11) Szkolenia. Współadministratorzy zapewniają, że osoby dopuszczone doprzetwarzania danych osobowych zostały uprzednio przeszkolone z zasadi przepisów o ochronie danych osobowych oraz konsekwencji ich naruszenia,w tym w szczególności z procedury zabezpieczenia danych osobowych orazswoich rolach w tym zakresie.

(12) Ujawnienie informacji o współadministrowaniu. UJ/2023/03/WAWspóładministratorzy informują osoby, których dane dotyczą,o współadministrowaniu oraz o zasadniczej treści wspólnych uzgodnieńokreślonych w niniejszej Umowie, a w szczególności o relacji pomiędzyStronami, relacji pomiędzy Stronami a osobami, których dane dotycząoraz o zakresie obowiązków każdej ze Stron. Ujawnienie informacjio współadministrowaniu oraz o zasadniczej treści wspólnych uzgodnień powinnonastąpić przy pozyskaniu danych osobowych na potrzeby współadministrowania.Informacja o zasadniczej treści wspólnych uzgodnień Współadministratorówmoże stanowić część obowiązku informacyjnego realizowanego zgodnie i napodstawie art. 13 i art. 14 oraz art. 26 RODO. Informacja o zasadniczej treściwspólnych uzgodnień Współadministratorów wraz z informacją o przetwarzaniudanych osobowych stanowi Załącznik nr 2.

(13) Zgłoszenie naruszenia ochrony danych osobowych. ZN/2023/03/WA Stronyuzgadniają, że w przypadku naruszenia ochrony danych osobowych,Administrator Wykonawczy jest odpowiedzialny za zgłoszenie naruszeniaorganowi nadzorczemu. Strony zobowiązują się do współpracy w zakresiewypełniania obowiązków związanych z naruszeniem ochrony danych osobowych,zgodnie z dalszymi postanowieniami Umowy.

(14) Zawiadamianie osoby o naruszeniu ochrony Danych. ZO/2023/03/WA Jeżelinaruszenie ochrony danych osobowych może powodować wysokie ryzykonaruszenia praw lub wolności osób fizycznych, Administrator Wykonawczyodpowiedzialny za zgłoszenie naruszenia organowi nadzorczemu, bez zbędnejzwłoki zawiadamia osobę, której dane osobowych dotyczą o takim naruszeniu.Strony zobowiązują się do współpracy w zakresie wypełniania obowiązkówzwiązanych z naruszeniem ochrony danych osobowych, zgodnie z dalszymipostanowieniami Umowy.

§ 3 Powierzenie Przetwarzania

3.1. Powierzenie. PO/2023/03/WA Każda ze Stron może powierzyć przetwarzanie danychosobowych ("Powierzenie") innemu podmiotowi przetwarzającemu("Przetwarzający"), w drodze pisemnej umowy powierzenia przetwarzania danychosobowych ("Umowa Powierzenia"). W takiej sytuacji Strona powierzająca maobowiązek dopilnować realizacji obowiązków związanych z powierzeniemprzetwarzania danych osobowych wynikających z RODO oraz poinformować Stronyo tożsamości Przetwarzającego.

3.2. Lista Przetwarzających zaakceptowanych przez Współadministratorów stanowiZałącznik nr 3 - Lista Zaakceptowanych Przetwarzających.

3.3. Sprzeciw. SP/2023/03/WA Każda ze Stron może z uzasadnionych przyczyn zgłosićudokumentowany sprzeciw względem powierzenia danych osobowych konkretnemuPrzetwarzającemu. W razie zgłoszenia sprzeciwu Strona powierzająca nie ma prawapowierzyć przetwarzania danych osobowych Przetwarzającemu objętemu sprzeciwem.Strony mogą zgłosić sprzeciw także względem wcześniej zaakceptowanegoPrzetwarzającego. Wtedy Strona powierzająca musi niezwłocznie zakończyćPowierzenie objęte sprzeciwem. Wątpliwości co do zasadności sprzeciwui ewentualnych negatywnych konsekwencji Strona powierzająca zgłosi Stroniesprzeciwiającej się w czasie umożliwiającym zapewnienie ciągłości przetwarzaniai uzgodnienie rozwiązań alternatywnych.

§ 4 Bezpieczeństwo danych osobowych

4.1. Analiza ryzyka przetwarzania danych osobowych. AR/2023/03/WA Każdy zeWspóładministratorów przeprowadził własną analizę ryzyka przetwarzania danychosobowych i stosuje się do jej wyników co do organizacyjnych i technicznych środkówochrony danych osobowych odpowiadających ustalonemu ryzyku naruszenia prawi wolności osób, których dane osobowe dotyczą. Strony aktualizują swoją analizęryzyka przetwarzania danych osobowych stosownie do potrzeb i wymogów RODO iinformują pozostałe Strony o wynikach aktualizacji.

4.2. Środki ochrony danych. Strony potwierdzają, że poziom zabezpieczeń danychosobowych stosowany przez każdą ze Stron odpowiada ryzyku ustalonemu w wynikuanalizy ryzyka, o której mowa w poprzednim ustępie. W szczególności każda Stronaoceniła, poinformowała Strony i zobowiązuje się do aktualizowania informacjio zasadności i stosowanych technicznych i organizacyjnych środkach ochrony danychosobowych w zakresie:

4.2.1. pseudonimizacji i szyfrowania danych osobowych;4.2.2. zdolności do ciągłego zapewnienia poufności, integralności, dostępnościi odporności systemów i usług przetwarzania danych osobowych;4.2.3. zdolności do szybkiego przywrócenia dostępu do danych osobowych w przypadkuincydentu fizycznego lub technicznego;