Umowa powierzenia przetwarzania danych osobowych w celu niszczenia dokumentów

Umowa powierzenia danych osobowych na niszczenie dokumentów¹

zawarta w dniu 20.07.2023 r. w Warszawie pomiędzy:

Firma XYZ Sp. z o.o.

zwaną w dalszej części umowy Administratorem,

a

Shred-it Polska Sp. z o.o.

zwaną w dalszej części umowy Procesorem.

Celem niniejszej umowy jest uregulowanie zasad powierzania danych w związku z usługą trwałego zniszczenia dokumentów zawierających dane osobowe w sposób uniemożliwiający ich odtworzenie.

§1

Definicje

1. Administrator danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

2. Ogólne rozporządzenie o ochronie danych osobowych lub RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1).

3. Przepisy o ochronie danych osobowych - ustawa, ogólne rozporządzenie o ochronie danych osobowych oraz przepisy wykonawcze.

4. Ustawa - Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781).

§2

Oświadczenia stron

1. Administrator oświadcza, że jest administratorem danych osobowych powierzanych w rozumieniu i na zasadach określonych w przepisach RODO, które przetwarza zgodnie z obowiązującymi przepisami prawa.

2. Procesor oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami o ochronie danych osobowych, a także informacjami wskazanymi w załączniku nr 1 do niniejszej umowy².

3. Procesor oświadcza, że będzie przetwarzać powierzone dane osobowe na podstawie zawartej umowy powierzenia, a także udokumentowanych poleceń Administratora wydanych w oparciu o niniejszą umowę, chyba że obowiązek przetwarzania nakładają na niego przepisy prawa. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny.

4. Procesor powiadamia Administratora, jeżeli w jego opinii polecenie wydane przez Administratora narusza przepisy o ochronie danych osobowych lub obowiązujące przepisy Unii.

§3

Powierzenie danych osobowych

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu objętym niniejszą umową.

2. Procesor może przetwarzać dane osobowe przekazane przez Administratora tylko i wyłącznie w zakresie i w celu określonych w niniejszej umowie.

3. Powierzenie obejmuje dane osobowe zawarte w dokumentach przekazanych Procesorowi do trwałego i nieodwracalnego zniszczenia, w szczególności dane osobowe zawarte w listach płac, umowach o pracę, fakturach, dokumentach kadrowych, dokumentach księgowych, dokumentach marketingowych, dokumentach medycznych, dokumentach ubezpieczeniowych.

4. Administrator w ramach powierzenia zleca Procesorowi bezpowrotne zniszczenie przekazanych danych osobowych, bez uprawnienia do ich przetwarzania w jakimkolwiek innym celu.

5. Powierzenie uprawnia jedynie do zniszczenia danych, nie daje Procesorowi prawa do zapoznawania się z treścią dokumentów, ich przekazywania, upubliczniana, dalszego przechowywania lub niszczenia w sposób umożliwiający odtworzenie.

6. Procesor zgodnie z art. 28 ust. 3 lit. h) RODO udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie, a także art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

§4

Zobowiązania i uprawnienia Procesora

1. Procesor zobowiązuje się przed przystąpieniem do przetwarzania powierzonych przez administratora danych wdrożyć i utrzymywać przez czas przetwarzania wszelkie środki i zabezpieczenia związane z przetwarzaniem danych, zgodnie z wymaganiami ustawy oraz rozporządzenia, w szczególności zapewni odpowiednie zabezpieczenia technicznie i informatyczne systemów służących do przetwarzania powierzonych na mocy niniejszej umowy danych osobowych zgodnie z art. 32 RODO.

2. Procesor nie może powierzać przetwarzania powierzonych przez Administratora danych innym podmiotom, bez uprzedniej pisemnej zgody Administratora danych.

3. Procesor oświadcza, że przeszkolił osoby zatrudnione przy przetwarzaniu danych z przepisów o ochronie danych osobowych i nadał im odpowiednie upoważnienia, a także zobligował je do zachowania danych oraz sposobów ich zabezpieczeń w poufności.

4. W przypadku naruszenia ochrony danych osobowych, Procesor bez zbędnej zwłoki w miarę możliwości, ale nie później niż w terminie 72 godzin po stwierzeniu naruszenia, zgłasza je Administratorowi. Zgłoszenie musi co najmniej opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Zawierać Jan Kowalski oraz 500-123-456 osoby nadzorującej zgodność procesów przetwarzania z przepisami. Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych. Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Procesor wspiera Administratora w realizowaniu obowiązków wynikających z art. 33 i 34 RODO.

5. Procesor niezwłocznie poinformuje Administratora o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przez organ nadzorczy lub organy ścigania.

6. W przypadku otrzymania od osoby, której dane dotyczą żądania na podstawie art. 15-22 RODO, Procesor przekazuje je niezwłocznie Administratorowi, a także wspiera Administratora w realizowaniu praw osób, których dane dotyczą.

7. Procesor udostępnia administratorowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z niniejszej umowy oraz przepisów o ochronie danych osobowych, w tym umożliwia Administratorowi lub wyznaczonym przez niego audytorom przeprowadzenie audytów czynności przetwarzania objętych niniejszą umową i uczestniczy w tych audytach.

8. Administrator powiadomi Procesora o planowanym audycie co najmniej 14 dni przed planowaną datą jego rozpoczęcia.

9. Procesor nie jest uprawniony do przekazywania powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek takiego przekazania wynika ze szczególnego wymogu na mocy polskich przepisów prawa lub prawa Unii.

§5

Postanowienia końcowe

1. Umowa zostaje zawarta do dnia 31.12.2024, tzn. ostatecznego terminu trwałego i nieodwracalnego zniszczenia powierzonych danych osobowych. Administrator może rozwiązać umowę we wcześniejszym terminie i zażądać niezwłocznego zwrotu powierzonych danych, w przypadku stwierdzenia niewywiązywania się przez Procesora z obowiązków wynikających z niniejszej umowy lub przepisów powszechnie obowiązującego prawa.

2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy oraz powiązanych z nią aktów wykonawczych.

3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

Anna Nowak                                            Jan Kowalski

w imieniu Administratora danych                       w imieniu Procesora

Załączniki:

nr 1 - Pytania dla Procesora

Załącznik nr 1

Pytania dla Procesora:

1. Czy osoby wykonujące operacje na danych osobowych otrzymały od Procesora upoważnienia do przetwarzania danych, w których został określony zakres przetwarzanych przez te osoby danych?Odpowiedź: Tak

2. Czy zostały opracowane procedury nadawania uprawnień do przetwarzania danych osobowych?Odpowiedź: Tak

3. Czy pracownicy, współpracownicy oraz podwykonawcy Procesora są obligowani do zachowania poufności? W jaki sposób?Odpowiedź: Tak, poprzez podpisanie klauzuli poufności.

4. Czy Procesor prowadzi rejestr czynności oraz rejestr kategorii czynności przetwarzania danych, o których mowa w art. 30 RODO? Jeżeli nie, proszę uzasadnić przyczynę.Odpowiedź: Tak

5. Czy Procesor opracował i wdrożył dokumentację ochrony danych osobowych, do której przestrzegania są zobligowane wszystkie osoby upoważnione?Odpowiedź: Tak

6. Czy dokumentacja podlega okresowym przeglądom i aktualizacjom? Jeżeli tak, jak często?Odpowiedź: Tak, raz w roku.

7. Czy Procesor jest w stanie wykazać zgodność przetwarzania danych z przepisami o ochronie danych osobowych? Jeżeli tak, w jaki sposób?Odpowiedź: Tak, poprzez prowadzenie rejestru czynności przetwarzania.

8. Czy osoby upoważnione przechodzą wstępne i okresowe szkolenia w zakresie ochrony danych osobowych oraz wewnętrznych procedur ochrony danych? Jeżeli tak, w jaki sposób jest to dokumentowane?Odpowiedź: Tak, poprzez listę obecności i testy wiedzy.

9. Czy Procesor wyznaczył inspektora ochrony danych? Jeżeli nie, proszę opisać kto odpowiada za nadzorowanie zgodności przetwarzania z przepisami.Odpowiedź: Tak

10. Czy w ciągu dwóch ostatnich lat u Procesora był przeprowadzany zewnętrzny audyt zgodności z przepisami o ochronie danych osobowych?Odpowiedź: Tak

11. Czy Procesor przeprowadza wewnętrzne audyty zgodności z przepisami o ochronie danych osobowych? Jak często?Odpowiedź: Tak, raz w roku.

12. Czy Procesor sprawdza swoich podwykonawców w zakresie zapewnienia należytej staranności przy przetwarzaniu powierzonych im danych? W jaki sposób?Odpowiedź: Tak, poprzez audyty i weryfikację dokumentacji.

13. Proszę wskazać jakie środki ochrony fizycznej zostały zastosowane w budynku, pomieszczeniach oraz archiwach.Odpowiedź: Monitoring, kontrola dostępu, system alarmowy.

14. Proszę wskazać środki ochrony zastosowane do ochrony danych przetwarzanych w formie elektronicznej, które są wykorzystywane przez Procesora.Odpowiedź: Szyfrowanie, firewalle, antywirusy.

15. Czy każdy użytkownik otrzymuje imienny identyfikator do systemów informatycznych?Odpowiedź: Tak

16. Czy Procesor zapewnił procedury zarządzania dostępami oraz hasłami do systemów informatycznych służących do przetwarzania danych osobowych? Proszę opisać.Odpowiedź: Tak, hasła muszą mieć minimum 8 znaków, w tym wielkie i małe litery oraz cyfry. Zmiana hasła co 30 dni.

17. Czy zostały wprowadzone zasady przesyłania danych osobowych przez użytkowników drogą elektroniczną? Proszę opisać.Odpowiedź: Tak, szyfrowanie wiadomości.

18. Czy Procesor zapewnił środki niezbędne do niszczenia nośników danych osobowych (papierowe oraz elektroniczne), a także procedury ich niszczenia? Proszę opisać.Odpowiedź: Tak, niszczarki przemysłowe i demagnetyzery.

19. Czy tworzone kopie zapasowe są przechowywane w innej lokalizacji niż serwer, na którym znajduje się system?Odpowiedź: Tak

20. Czy stosuje się szyfrowanie powierzonych przetwarzanych danych?Odpowiedź: Tak

21. Czy zapewniono zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia ochrony danych osobowych? Jaki jest czas przywrócenia danych z kopii zapasowej z AWS?Odpowiedź: Tak, 24 godziny.

22. Jaki przyjęto zakres oraz częstotliwość tworzenia kopii zapasowych dla AWS? Proszę określić procedurę tworzenia kopii.Odpowiedź: Pełna kopia co tydzień, przyrostowa codziennie.

23. Czy Procesor jest w stanie wspierać Administratora w realizowaniu praw osób, których dane dotyczą, jeżeli wpłynie takie żądanie?Odpowiedź: Tak

24. Czy powierzone dane będą przetwarzane jedynie na terenie EOG?Odpowiedź: Tak

¹Administrator może także skorzystać ze wzoru opartego na standardowych klauzulach umownych w zakresie powierzenia danych zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914, dostępnego w Dzienniku Urzędowym Unii Europejskiej. ²W załączniku wskazano przykładowe pytania do Procesora. Administrator powinien te pytania dobrać indywidualnie. Załącznik nr 1 powinien zostać przesłany Procesorowi wcześniej, aby mógł się z nim zapoznać i go uzupełnić.