Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSafe Sp. z o.o.

 

Umowa powierzeniaprzetwarzania danych osobowych

zawarta dnia 24.05.2023 pomiędzy:

(zwana dalej „Umową”)

 

CyberSafe Sp. z o.o. ul. Kwiatowa 12, 00-001 Warszawa

zwanym(-ną) w dalszej części Umowy „Podmiotem przetwarzającym”,reprezentowanym(-ną) przez:Jan Kowalski

 

a

 

Firma Księgowa "Rachunek" Sp. z o.o. ul. Słoneczna 2, 10-002 Gdańsk

zwanym(-ną) w dalszej części Umowy „Administratorem danych” lub „Administratorem”,reprezentowanym(-ną) przez:Anna Nowak

 

Strona 1 z 11

 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSafe Sp. z o.o.

 

§1

 

1.1 POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator danych powierza Podmiotowi przetwarzającemu dane osobowe doprzetwarzania w trybie art. 28 ogólnego rozporządzenia Parlamentu Europejskiegoi Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznychw związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływutakich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L Nr 119, str. 1)(zwanego w dalszej części Umowy „Rozporządzeniem”), na zasadach, w zakresiei w celu określonych w niniejszej Umowie.

2. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych mu danychosobowych zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisamiprawa powszechnie obowiązującego, chroniącymi prawa osób, których dane dotyczą.

§2

1.2 ZAKRES I CEL PRZETWARZANIA DANYCH

1. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie Umowy tzw.dane osobowe „zwykłe” oraz dane osobowe szczególnych kategorii, o których mowa wart. 9 RODO, dotyczące pracowników, współpracowników, członków ich rodzin orazkontrahentów Administratora w zakresie: imię, nazwisko, płeć, data urodzenia, data zatrudnienia,obywatelstwo, PESEL, adres zamieszkania, adres korespondencyjny, adres e-mail, kraj przynależności podatkowej, numer telefonu,NIP, informacje na temat wykształcenia i doświadczenia zawodowego, dane nt.członków rodziny pracowników i współpracowników, dane dotyczące wynagrodzenia,dane dotyczące stanu zdrowia pracowników i współpracowników, w tymzaświadczenia lekarskie, zwolnienia lekarskie, zaświadczenia sanitarno-epidemiologiczne, dokumentacja BHP.

2. Dane osobowe powierzone przez Administratora danych będą przetwarzane przezPodmiot przetwarzający wyłącznie w celu umowy z dnia 10.01.2023 w zakresie obsługikadrowo-płacowej oraz rozliczeniowej.

3. Podmiot przetwarzający jest upoważniony do wykonywania następujących czynnościprzetwarzania powierzonych danych: utrwalanie, organizowanie, porządkowanie,przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie,wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innegorodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lubniszczenie – które są w minimalnym zakresie niezbędne dorealizacji celu, o którym mowa w ust. 2 powyżej.

Strona 2 z 11

 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSafe Sp. z o.o.

 

§3

1.3 OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

1. Podmiot przetwarzający przy przetwarzaniu powierzonych danych osobowychzobowiązuje się do ich zabezpieczenia przez stosowanie odpowiednich środkówtechnicznych i organizacyjnych, odpowiadających stanowi wiedzy technicznej,zapewniających zgodność z Rozporządzeniem, w tym adekwatny stopieńbezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, którychdane dotyczą. Lista środków technicznych i organizacyjnych stosowanych przezPodmiot przetwarzający stanowi załącznik nr 1 do Umowy.

2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przyprzetwarzaniu powierzonych danych osobowych.

3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzaniadanych osobowych wszystkim osobom, które będą przetwarzały powierzone daneosobowe, przy czym będą to jedynie osoby, które mają odpowiednie przeszkoleniez zakresu ochrony danych osobowych i są niezbędne do realizacji celu niniejszejUmowy.

4. Podmiot przetwarzający zapewnia, że osoby, które upoważnia do przetwarzaniadanych osobowych w celu realizacji niniejszej Umowy, zobowiążą się do zachowaniatajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowaniatajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, zarówno w trakciezatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiotprzetwarzający zapewnia ponadto, że osoby, o których mowa w niniejszym ustępie,będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej.

5. Dla prawidłowej realizacji ust. 4 Podmiot Przetwarzający dokonuje okresowejweryfikacji listy osób, którym udzielono dostępu do danych przetwarzanych w imieniuAdministratora.

6. Podmiot przetwarzający po zakończeniu świadczenia usług związanychz przetwarzaniem niezwłocznie usuwa/zwraca Administratorowi wszelkie daneosobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawopaństwa członkowskiego nakazują przechowywanie danych osobowych.

7. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresiewywiązywać się z obowiązku odpowiadania na żądania osób, których dane dotyczą,orazz obowiązków określonych w art. 32–36 Rozporządzenia. Podmiot przetwarzający –w razie wpływu do niego żądania w zakresie realizacji praw osób, których dotycząpowierzone dane – informuje o tym Administratora w terminie 24 godzin odotrzymania wiadomości. Udzielając informacji,Podmiot przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakimzakresie jest w stanie przyczynić się do realizacji żądania.

8. W przypadku stwierdzenia jakiegokolwiek naruszenia ochrony danych osobowychPodmiot przetwarzający lub podwykonawca Podmiotu przetwarzającego zgłasza jeAdministratorowi w ciągu 72 godzin.

§4

1.4 PRAWO KONTROLI

1. Zgodnie z art. 28 ust. 3 lit. h Rozporządzenia Administrator danych ma prawo kontroli,mającej na celu weryfikację, czy Podmiot przetwarzający spełnia obowiązki wynikającez niniejszej Umowy.

2. Administrator danych będzie realizować prawo kontroli w godzinach pracy Podmiotuprzetwarzającego i z minimum 48 godzin uprzedzeniem.

3. Prawo do przeprowadzenia kontroli obejmuje: wstęp do pomieszczeń, w którychznajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danychosobowych; żądanie złożenia pisemnych lub ustnych wyjaśnień od osóbupoważnionych do przetwarzania powierzonych danych osobowych; wgląd dowszelkich dokumentówi wszelkich danych mających bezpośredni związek z celem kontroli; przeprowadzanieoględzin urządzeń, nośników oraz systemów informatycznych służących doprzetwarzania powierzonych danych.

4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonychpodczas kontroli w terminie wskazanym przez Administratora danych, nie dłuższym niż30 dni.

5. Powyżej określone zasady kontroli Podmiotu Przetwarzającego mają zastosowanie doprzeprowadzanych przez Administratora kontroli podwykonawców Podmiotuprzetwarzającego, o których mowa w § 6 ust. 1 Umowy.

§5

1.5 RAPORTOWANIE

1. Na wniosek Administratora Podmiot przetwarzający udostępnia wszelkie informacjeniezbędne do realizacji lub wykazania spełnienia obowiązków wynikającychz Rozporządzenia.

2. Informacji, o których mowa w ust. 1, udziela się w terminie 14 dni od dnia doręczenia wniosku, z zastrzeżeniemust. 3.

3. Jeżeli wniosek, o którym mowa w ust. 1, dotyczy realizacji obowiązku zgłoszenianaruszenia ochrony danych osobowych lub usunięcia jego skutków, Podmiotprzetwarzający udziela informacji w najbliższym możliwym terminie, nie później niżw ciągu 72 godzin od doręczenia wniosku.

Strona 4 z 11

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSafe Sp. z o.o.

 

§6

1.6 DALSZE POWIERZENIE DANYCH DO PRZETWARZANIA

1. Administrator wyraża zgodę na powierzenie danych osobowych objętych niniejsząUmową do dalszego przetwarzania przez podwykonawców Podmiotuprzetwarzającego, w celu wykonania niniejszej Umowy, przy czym podwykonawcyPodmiotu przetwarzającego powinni spełniać te same gwarancje i obowiązki, jakiezostały nałożone na Podmiot przetwarzający niniejszą Umową. Lista takich podmiotów(podprocesorów) stanowi załącznik nr 2 do Umowy.

2. W przypadku zmiany lub dodania innych podwykonawców biorących udziałw przetwarzaniu danych powierzonych przez Administratora Podmiot przetwarzającyinformuje o zamierzonych zmianach, dając Administratorowi możliwość wyrażeniasprzeciwu wobec takich zmian w terminie 30 dni od przekazania informacjio zamierzonych zmianach.

3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie naudokumentowane polecenie Administratora danych, chyba że taki obowiązek nakładana Podmiot przetwarzający prawo Unii Europejskiej lub prawo państwaczłonkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przedrozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratoradanych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiejinformacji z uwagi na ważny interes publiczny.

4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora zaniewywiązanie się z obowiązków spoczywających na podwykonawcy, wynikającychz niniejszej Umowy.

§7

1.7 ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystaniedanych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienieosobom nieupoważnionym powierzonych do przetwarzania danych osobowych.

Strona 5 z 11

 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSafe Sp. z o.o.

 

2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowaniaAdministratora danych o jakimkolwiek postępowaniu, w szczególnościadministracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiotprzetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzjiadministracyjnej lub jakimkolwiek orzeczeniu dotyczących przetwarzania tych danych,skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ilesą wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzaniaw Podmiocie przetwarzającym tych danych osobowych, w szczególnościprowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowychpowierzonych przez Administratora danych.

§8

1.8 CZAS OBOWIĄZYWANIA UMOWY

1. Niniejsza Umowa obowiązuje od dnia jej zawarcia przez czas nieokreślony/określony od01.06.2023 do 31.12.2024.

2. Każda ze stron może wypowiedzieć niniejszą Umowę z zachowaniem 30 dni okresuwypowiedzenia.

§9

1.9 ROZWIĄZANIE UMOWY

1. Administrator danych może rozwiązać niniejszą Umowę ze skutkiemnatychmiastowym, gdy Podmiot przetwarzający:a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli   nie usunie ich w wyznaczonym terminie,b) przetwarza dane osobowe w sposób niezgodny z Umową,c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody   Administratora danych.

§ 10

1.10 ZASADY ZACHOWANIA POUFNOŚCI

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkichinformacji, danych, materiałów, dokumentów i danych osobowych otrzymanych odAdministratora danych i od współpracujących z nim osób, a także danych uzyskanychw jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnejlub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowaniaw tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane aniudostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanieUmowy, chyba że konieczność ujawnienia posiadanych informacji wynikaz obowiązujących przepisów prawa lub Umowy.

§ 11

1.11 POSTANOWIENIA KOŃCOWE

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej zestron.

2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnegooraz Rozporządzenia.

3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będziesąd właściwy Administratora danych.

_______________________                                         ____________________Administrator danych                                          Podmiot przetwarzający

Załączniki:1. załącznik nr 1 – Wykaz środków technicznych i organizacyjnych stosowanych przez   Podmiot przetwarzający;2. załącznik nr 2 – Wykaz podwykonawców Podmiotu przetwarzającego   (podprocesorów).

Strona 6 z 11

 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Szablon przygotowany przez CyberSafe Sp. z o.o.

 

Załącznik nr 1Wykaz środków organizacyjnych i technicznych stosowanych przez Podmiot przetwarzający

PYTANIE                                                                    ODPOWIEDŹ

Czy podmiot przetwarzający posiada                                      Tak

opracowaną i zatwierdzoną politykę                                        

ochrony danych osobowych?                                          

Czy podmiot przetwarzający jest w stanie wykazać          Takprzestrzeganie danych osobowych,m.in. przez przedstawienie obowiązującychw jego organizacji procedur i dokumentacjiochrony danych osobowych?Czy podmiot przetwarzający zapewnia, że nowo           Takzatrudniony pracownik przed podjęciem czynnościzwiązanych z przetwarzaniem danych osobowychzostanie odpowiednio przeszkolony w tym zakresiei zapoznany z obowiązującymi przepisami prawa?Czy podmiot przetwarzający dba o bieżące              Takdoskonalenie wiedzy swoich pracowników dziękicyklicznym szkoleniom oraz innym działaniommającym na celu uświadamianie pracownikóww zakresie zagadnień dotyczących ochrony danychosobowych?Czy pracownicy podmiotu przetwarzającego, którzy    Takuczestniczą w operacjach przetwarzania danychosobowych, zostali zobowiązani do zachowaniaich w tajemnicy?Czy podmiot przetwarzający stosuje zatwierdzony      Niekodeks postępowania, o którym mowa w art. 40Rozporządzenia, lub zatwierdzony mechanizmcertyfikacji, o którym mowa w art. 42Rozporządzenia?Czy w ciągu dwóch ostatnich lat podmiot            Takprzetwarzający poddawał zewnętrznej kontroliniezależnych audytorów funkcjonujący w jegoorganizacji system ochrony danych osobowych?align="right">Strona 8 z 11

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCHSzablon przygotowany przez CyberSafe Sp. z o.o.

Czy podmiot przetwarzający korzysta z usług tylko  Taktakich podmiotów zewnętrznych /podwykonawców, którzy zostali wcześniej przezniego sprawdzeni pod kątem zapewnieniaodpowiedniego poziomu ochrony danychosobowych?Czy podmiot przetwarzający zastosował środki    Takkontroli dostępu fizycznego do budynku/budynkówtylko dla autoryzowanego personelu?Czy podmiot przetwarzający zapewnił fizyczne      Takoddzielenie środków przetwarzania informacjizarządzanych przez jego organizację od tych,które należą do innych organizacji?Czy dostęp do pomieszczeń pozostających        Takw dyspozycji podmiotu przetwarzającego pogodzinach pracy nie jest możliwy dla osób trzecich(firma sprzątająca, ochrona) bądź dostęp ten jestszczegółowo nadzorowany?Czy każdy pracownik podmiotu przetwarzającego  Takotrzymuje imienny identyfikator do systemówinformatycznych?Czy systemy informatyczne zapewniają        Takwymuszanie na użytkownikach okresowych zmianhaseł oraz zmian w razie zaistniałej potrzeby?Czy pracownicy podmiotu przetwarzającego zostali  Takzobowiązani do zabezpieczania nieużywanychw danym momencie systemów przez blokadęekranu lub w inny równoważny sposób?Czy pracownicy podmiotu przetwarzającego zostali   Takzobowiązani do niezwłocznego odbieraniaz drukarek wydruków zawierających dane osobowelub inne poufne informacje? Czy wskazana zasadajest przestrzegana przez pracowników?Czy w organizacji podmiotu przetwarzającego      Takjest stosowana polityka czystego biurka?

Strona 9 z 11

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCHSzablon przygotowany przez CyberSafe Sp. z o.o.

Czy dane osobowe gromadzone w formie      Tak papierowej są przechowywane, po godzinach pracyorganizacji podmiotu przetwarzającego,w zamykanych szafach/szafkach/szufladachbez możliwości dostępu do nich osóbnieupoważnionych?Czy podmiot przetwarzający zapewnił          Takoprogramowanie antywirusowe na wszystkichstacjach?Czy oprogramowanie ma licencję i jest na bieżąco  Takaktualizowane?Czy podmiot przetwarzający stosuje szyfrowanie    Takdysków komputerów przenośnych?Czy urządzenia mobilne mają skonfigurowaną    Takkontrolę dostępu?Czy podmiot przetwarzający stosuje techniki      Takkryptograficzne wobec urządzeń mobilnych?Czy na urządzeniach mobilnych zainstalowano    Takoprogramowanie antywirusowe?Czy zapewniono zdolności do szybkiego          Takprzywrócenia dostępności danych osobowychi dostępu do nich w razie incydentu fizycznegolub technicznego?Jaki przyjęto zakres oraz jaką częstotliwość    Pełny zakres, codziennietworzenia kopii zapasowych?Gdzie są przechowywane kopie zapasowe?      W chmurzeCzy podmiot przetwarzający posiada procedury      Takodtwarzania systemu po awarii oraz ich testowania?Czy podmiot przetwarzający wdraża nowe        Takrozwiązania zgodnie z zasadą privacy by design?Czy podmiot przetwarzający działa zgodnie z zasadą  Takprivacy by default?Czy podmiot przetwarzający prowadzi ocenę        Takskutków dla ochrony danych?Czy podmiot przetwarzający gwarantuje realizację Takpraw osób, których dane dotyczą, tj. m.in. prawo doprzenoszenia danych, prawo do ograniczeniaprzetwarzania, prawo do bycia zapomnianym?

Strona 10 z 11

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCHSzablon przygotowany przez CyberSafe Sp. z o.o.

 

Załącznik nr 2Wykaz podwykonawców Podmiotu przetwarzającego (podprocesorów)

Przy wykonaniu Umowy Procesor korzysta z usług następujących podprocesorów:

Cloud Computing Solutions Inc.        123 Main Street, Anytown, USA

Strona 11 z 11