Umowa powierzenia danych osobowych na usługi hostingowe poczty elektronicznej

UMOWA

powierzenia danych osobowych na usługi hostingowe poczty elektronicznej

 

zawarta w dniu 20.07.2023 r. w Warszawie pomiędzy:

 

Cyber Solutions Sp. z o.o.

zwanym w dalszej części umowy Administratorem,

 

a

 

Hosting Masters S.A.

zwanym w dalszej części umowy Procesorem.

 

Celem niniejszej umowy jest uregulowanie zasad powierzania danych w związku z usługami hostingowymi poczty elektronicznej.

 

§1

Definicje

 

1. Administrator danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

2. Ogólne rozporządzenie o ochronie danych osobowych lub RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

3. Przepisy o ochronie danych osobowych - ustawa, ogólne rozporządzenie o ochronie danych osobowych oraz przepisy wykonawcze.

4. Ustawa - Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).

 

§2

Oświadczenia stron

 

1. Administrator oświadcza, że jest administratorem danych osobowych powierzanych w rozumieniu i na zasadach określonych w przepisach RODO, które przetwarza zgodnie z obowiązującymi przepisami prawa.

2. Procesor oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami o ochronie danych osobowych, a także informacjami wskazanymi w załączniku nr 1 do niniejszej umowy¹.

3. Procesor oświadcza, że będzie przetwarzać powierzone dane osobowe na podstawie zawartej umowy powierzenia, a także udokumentowanych poleceń Administratora wydanych w oparciu o niniejszą umowę, chyba że obowiązek przetwarzania nakładają na niego przepisy prawa. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny.

4. Procesor powiadamia Administratora, jeżeli w jego opinii polecenie wydane przez Administratora narusza przepisy o ochronie danych osobowych lub obowiązujące przepisy Unii.

 

¹ W załączniku wskazano przykładowe pytania do Procesora. Administrator powinien te pytania dobrać indywidualnie. Załącznik nr 1 powinien zostać przesłany Procesorowi wcześniej, aby mógł się z nim zapoznać i go uzupełnić.

 

§3

Powierzenie danych osobowych

 

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu objętym niniejszą umową.

2. Procesor może przetwarzać dane osobowe przekazane przez Administratora tylko i wyłącznie w zakresie i w celu określonych w niniejszej umowie.

3. Powierzenie obejmuje dane osobowe:

• użytkowników w zakresie Jan Kowalski, Anna Nowak, [email protected].

• przetwarzane w ramach usługi serwera pocztowego, w szczególności dane nadawców i odbiorców korespondencji (Piotr Wiśniewski, Maria Zielińska, [email protected]) oraz dane zawarte w wiadomościach oraz załącznikach do nich (m.in. Tomasz Malinowski, Katarzyna Wójcik, Specjalista ds. marketingu, Cyber Solutions Sp. z o.o., 123-456-789, [email protected], ul. Kwiatowa 1, 00-000 Warszawa, 98765432109, 1000 PLN brutto, 1234567890, 1234567890, brak informacji o stanie zdrowia, żonaty, dwoje dzieci).

4. Administrator w ramach powierzenia zleca Procesorowi przetwarzanie danych w ramach usługi hostingowej, bez uprawnienia do ich przetwarzania w jakimkolwiek innym celu.

5. Powierzenie uprawnia do przechowywania danych oraz tworzenia i odzyskiwania ich kopii zapasowej. Nie daje Procesorowi prawa do zapoznawania się z treścią korespondencji, jej przekazywania, upubliczniania, dalszego przechowywania lub usuwania.

6. Procesor zgodnie z art. 28 ust. 3h RODO udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie, a także art. 32-36 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

 

§4

Zobowiązania i uprawnienia Procesora

 

1. Procesor zobowiązuje się przed przystąpieniem do przetwarzania powierzonych przez administratora danych wdrożyć i utrzymywać przez czas przetwarzania wszelkie środki i zabezpieczenia związane z przetwarzaniem danych, zgodnie z wymaganiami ustawy oraz rozporządzenia, w szczególności zapewni odpowiednie zabezpieczenia techniczne i informatyczne systemów służących do przetwarzania powierzonych na mocy niniejszej umowy danych osobowych zgodnie z art. 24 i 32 RODO.

2. Procesor nie może powierzać przetwarzania powierzonych przez Administratora danych innym podmiotom, bez uprzedniej pisemnej zgody Administratora danych.

3. Procesor oświadcza, że przeszkolił osoby zatrudnione przy przetwarzaniu danych z przepisów o ochronie danych osobowych i nadał im odpowiednie upoważnienia, a także zobligował je do zachowania danych oraz sposobów ich zabezpieczeń w poufności.

4. W przypadku naruszenia ochrony danych osobowych, Procesor bez zbędnej zwłoki w miarę możliwości, ale nie później niż w terminie 24 godzin po stwierdzeniu naruszenia, zgłasza je Administratorowi na adres e-mail [email protected]. Zgłoszenie musi co najmniej opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Zawierać Adam Nowak i Jan Kowalski oraz 555-123-456 osoby nadzorującej zgodność procesów przetwarzania z przepisami. Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych. Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Procesor wspiera Administratora w realizowaniu obowiązków wynikających z art. 33 i 34 RODO.

5. Procesor niezwłocznie poinformuje Administratora o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przez organ nadzorczy lub organy ścigania.

6. W przypadku otrzymania od osoby, której dane dotyczą żądania na podstawie art. 15-22 RODO, Procesor przekazuje je niezwłocznie Administratorowi, a także wspiera Administratora w realizowaniu praw osób, których dane dotyczą.

7. Procesor udostępnia administratorowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z niniejszej umowy oraz przepisów o ochronie danych osobowych, w tym umożliwia Administratorowi lub wyznaczonym przez niego audytorom przeprowadzenie audytów czynności przetwarzania objętych niniejszą umową i uczestniczy w tych audytach.

8. Administrator powiadomi Procesora o planowanym audycie co najmniej 7 dni przed planowaną datą jego rozpoczęcia.

9. Procesor nie jest uprawniony do przekazywania powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek takiego przekazania wynika ze szczególnego wymogu na mocy polskich przepisów prawa lub prawa Unii.

 

§5

Postanowienia końcowe

 

1. Umowa zostaje zawarta na czas trwania umowy o świadczenie usług hostingu. Administrator może rozwiązać umowę we wcześniejszym terminie i zażądać niezwłocznego zwrotu powierzonych danych, w przypadku stwierdzenia niewywiązywania się przez Procesora z obowiązków wynikających z niniejszej umowy lub przepisów powszechnie obowiązującego prawa.

2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy oraz powiązanych z nią aktów wykonawczych.

3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

 

[PODPIS]

w imieniu Administratora danych

 

[PODPIS]

w imieniu Procesora

 

Załączniki:

nr 1 - Pytania dla Procesora

 

Załącznik nr 1

 

Pytania dla Procesora:

 

1. Czy osoby wykonujące operacje na danych osobowych otrzymały od Procesora upoważnienia do przetwarzania danych, w których został określony zakres przetwarzanych przez te osoby danych?

Odpowiedź: Tak

 

2. Czy zostały opracowane procedury nadawania uprawnień do przetwarzania danych osobowych?

Odpowiedź: Tak

 

3. Czy pracownicy, współpracownicy oraz podwykonawcy Procesora są obligowani do zachowania poufności? W jaki sposób?

Odpowiedź: Tak, poprzez podpisanie klauzuli o poufności w umowie o pracę/współpracę.

 

4. Czy Procesor prowadzi rejestr czynności oraz rejestr kategorii czynności przetwarzania danych, o których mowa w art. 30 RODO? Jeżeli nie, proszę uzasadnić przyczynę.

Odpowiedź: Tak

 

5. Czy Procesor opracował i wdrożył dokumentację ochrony danych osobowych, do której przestrzegania są zobligowane wszystkie osoby upoważnione?

Odpowiedź: Tak

 

6. Czy dokumentacja podlega okresowym przeglądom i aktualizacjom? Jeżeli tak, jak często?

Odpowiedź: Tak, co roku.

 

7. Czy Procesor jest w stanie wykazać zgodność przetwarzania danych z przepisami o ochronie danych osobowych? Jeżeli tak, w jaki sposób?

Odpowiedź: Tak, poprzez prowadzoną dokumentację i audyty.

 

8. Czy osoby upoważnione przechodzą wstępne i okresowe szkolenia w zakresie ochrony danych osobowych oraz wewnętrznych procedur ochrony danych? Jeżeli tak, w jaki sposób jest to dokumentowane?

Odpowiedź: Tak, szkolenia są dokumentowane poprzez listy obecności i certyfikaty.

 

9. Czy Procesor wyznaczył inspektora ochrony danych? Jeżeli nie, proszę opisać kto odpowiada za nadzorowanie zgodności przetwarzania z przepisami.

Odpowiedź: Tak, Anna Nowak

 

10. Czy w ciągu dwóch ostatnich lat u Procesora był przeprowadzany zewnętrzny audyt zgodności z przepisami o ochronie danych osobowych?

Odpowiedź: Tak

 

11. Czy Procesor przeprowadza wewnętrzne audyty zgodności z przepisami o ochronie danych osobowych? Jak często?

Odpowiedź: Tak, co pół roku.

 

12. Czy Procesor sprawdza swoich podwykonawców w zakresie zapewnienia należytej staranności przy przetwarzaniu powierzonych im danych? W jaki sposób?

Odpowiedź: Tak, poprzez audyty i weryfikację dokumentacji.

 

13. Proszę wskazać jakie środki ochrony fizycznej zostały zastosowane w budynku, pomieszczeniach oraz archiwach.

Odpowiedź: Kontrola dostępu, monitoring, system alarmowy.

 

14. Proszę wskazać środki ochrony zastosowane do ochrony danych przetwarzanych w formie elektronicznej, które są wykorzystywane przez Procesora.

Odpowiedź: Szyfrowanie, firewalle, antywirusy.

 

15. Czy każdy użytkownik otrzymuje imienny identyfikator do systemów informatycznych?

Odpowiedź: Tak

 

16. Czy Procesor zapewnił procedury zarządzania dostępami oraz hasłami do systemów informatycznych służących do przetwarzania danych osobowych? Proszę opisać.

Odpowiedź: Tak, silne hasła, dwuskładnikowe uwierzytelnianie.

 

17. Czy zostały wprowadzone zasady przesyłania danych osobowych przez użytkowników drogą elektroniczną? Proszę opisać.

Odpowiedź: Tak, szyfrowanie wiadomości e-mail.

 

18. Czy Procesor zapewnił środki niezbędne do niszczenia nośników danych osobowych (papierowe oraz elektroniczne), a także procedury ich niszczenia? Proszę opisać.

Odpowiedź: Tak, niszczarki dokumentów, demagnetyzacja dysków twardych.

 

19. Czy tworzone kopie zapasowe są przechowywane w innej lokalizacji niż serwer, na którym znajduje się system?

Odpowiedź: Tak

 

20. Czy stosuje się szyfrowanie powierzonych przetwarzanych danych?

Odpowiedź: Tak

 

21. Czy zapewniono zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia ochrony danych osobowych? Jaki jest czas przywrócenia danych z kopii zapasowej?

Odpowiedź: Tak, 24 godziny.

 

22. Jaki przyjęto zakres oraz częstotliwość tworzenia kopii zapasowych? Proszę określić procedurę tworzenia kopii.

Odpowiedź: Pełne kopie zapasowe tworzone są codziennie.

 

23. Czy Procesor jest w stanie wspierać Administratora w realizowaniu praw osób, których dane dotyczą, jeżeli wpłynie takie żądanie?

Odpowiedź: Tak

 

24. Czy powierzone dane będą przetwarzane jedynie na terenie EOG?

Odpowiedź: Tak