Strony, mając na uwadze przepisy o ochronie danych osobowych, w tym art. 28 RODO, zawierają umowę o treści następującej:
1. DEFINICJE
Dla celów niniejszej umowy następującym pojęciom przypisuje się podane niżej znaczenie:
1.1. Dane osobowe – oznaczają wszelkie dane administratora dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w zakresie, w jakim takie informacje są chronione jako dane osobowe zgodnie z przepisami;
1.2. NOZBE – aplikacja Nozbe używana w okresie obowiązywania umowy przez administratora, udostępniona przez Procesora, w której dochodzi do przetwarzania danych osobowych powierzonych przez Administratora;
1.3. Przepisy – obowiązujące w Polsce prawo dotyczące ochrony danych osobowych, w tym w szczególności: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) (zwane dalej: „RODO”) oraz ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018r. poz. 1000) (zwana dalej „ustawą”);
1.4. Regulamin - oznacza regulamin korzystania z NOZBE;
1.5. Umowa Powierzenia – oznacza niniejszą umowę oraz wszelkie jej zmiany, aneksy i załączniki do niej, pod warunkiem, że zostaną sporządzone na piśmie i podpisane przez obydwie strony.
2. OŚWIADCZENIA STRON
2.1. Administrator oświadcza, że jest administratorem danych osobowych, powierzonych do przetwarzania Procesorowi oraz że dane osobowe administrator gromadzi i przetwarza zgodnie z przepisami.
2.2. Strony oświadczają, że Umowa Powierzenia została zawarta w celu wykonania obowiązków, określonych przepisami w związku z korzystaniem przez administratora z NOZBE i zaakceptowaniem przez Administratora regulaminu.
2.3. Procesor oświadcza, że przetwarzanie danych osobowych przekazanych na podstawie niniejszej umowy odbywa się wyłącznie na obszarze EOG lub w kraju trzecim, który zapewnia odpowiedni poziom ochrony danych osobowych, zgodnie z decyzją Komisji Europejskiej.
2.4. Każda ze Stron Umowy, działająca jako Administrator Danych Osobowych udostępnianych na mocy niniejszej Umowy, zobowiązuje się do tego, że nie przekaże żadnych danych osobowych poza Europejski Obszar Gospodarczy, chyba że:
2.4.1. przekazanie następuje do kraju zatwierdzonego przez Komisję Europejską jako zapewniający odpowiednią ochronę zgodnie z art. 45 RODO;
2.4.2. istnieją odpowiednie zabezpieczenia zgodnie z art. 46 RODO; lub
2.4.3. do przekazania danych ma zastosowanie jedno z odstępstw dotyczące szczególnych sytuacji wymienionych w artykule 49 RODO.
3. PRZEDMIOT UMOWY
3.1. Administrator powierza Procesorowi do przetwarzania dane osobowe a Procesor zobowiązuje się do ich przetwarzania zgodnego z przepisami oraz umową wyłącznie w celu korzystania przez administratora z NOZBE.
3.2. Procesor może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w: umowie, przepisach, udokumentowanych poleceniach Administratora.
3.3. Niniejsza umowa stanowi udokumentowane polecenie Administratora do przetwarzania przez Procesora danych osobowych przekazanych mu przez Administratora w wykonaniu niniejszej umowy, w tym również polecenie do przekazywania danych osobowych poza EOG.
4. CEL, ZAKRES I CHARAKTER PRZETWARZANIA
4.1. Procesor może przetwarzać w NOZBE dane osobowe określone w definicji danych osobowych. Na danych tych Procesor będzie wykonywał w szczególności następujące operacje: przechowywanie lub na polecenie Administratora usuwanie. Przetwarzanie danych osobowych ma na celu umożliwienie Administratorowi korzystania z NOZBE.
4.2. Procesor zobowiązuje się do przetwarzania w NOZBE danych osobowych w sposób stały.
4.3. Administrator oświadcza, że charakter danych osobowych powierzanych niniejszą Umową, nie obejmuje szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO oraz danych dotyczące wyroków skazujących i naruszeń prawa w rozumieniu art. 10 RODO.
4.4. Dane osobowe będą przez Procesora przetwarzane w formie elektronicznej w NOZBE.
4.5. Procesor będzie otrzymywał dane osobowe od administratora.
4.6. Administrator będzie powierzał w szczególności dane osobowe następujących kategorii osób: administrator, pracownicy administratora, kontrahenci administratora.
5. ZASADY POWIERZENIA PRZETWARZANIA
5.1. Procesor zobowiązuje się przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. W szczególności Procesor oświadcza, że infrastruktura serwerowa oparta jest na Amazon AWS i Hetzner. Serwery i ich kopie zlokalizowane są w Niemczech, Francji i Irlandii. Zarówno Amazon AWS, jak i Hetzner realizują swoje usługi z zachowaniem wysokiego poziomu bezpieczeństwa – szczegóły zostały opisane w dokumentach opublikowanych na stronach https://aws.amazon.com/compliance/gdpr-center/ oraz https://www.hetzner.com/AV/DPA_en.pdf.
5.2. Procesor, zgodnie z art. 28 ust. 3 lit. b RODO, zobowiązuje się do zachowania powierzonych przez Administratora danych osobowych w tajemnicy.
5.3. Procesor zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Procesora.
5.4. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy powierzonych danych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie umowy współpracy lub wynikających z przepisów.
5.5. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych osobowych gwarantowały zabezpieczenie przed dostępem osób trzecich nieupoważnionych do ujawnienia, udostępnienia i zapoznania się z ich treścią. W szczególności Procesor informuje, że dla zapewnienia maksymalnego bezpieczeństwa danych osobowych, dyski z bazą danych, jak i plikami przesyłanymi do NOZBE, szyfrowane są za pomocą AES-256. Dodatkowo, aby zwiększyć poziom bezpieczeństwa plików i dokumentów wrażliwych, każdy plik z osobna wgrywany do NOZBE (za pomocą komentarza czy innego załącznika) szyfrowany jest z wykorzystaniem indywidualnego klucza szyfrującego.
5.6. Procesor zobowiązuje się do regularnego wykonywania testów bezpieczeństwa – wewnętrznych, jak i zlecanych do wykonania przez wyspecjalizowane firmy zewnętrzne.
5.7. Osobą dedykowaną do kontaktu w sprawach związanych z wykonaniem niniejszej umowy jest Tomasz Kapelak, tom@nozbe.com. Zmiana osoby dedykowanej nie wymaga formy aneksu, a jedynie poinformowania Administratora za pomocą wiadomości e-mailowej.
6. DALSZE OBOWIĄZKI PROCESORA
6.1. Procesor zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. W szczególności Procesor będzie pomagał Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą, w tym w odniesieniu do: prawa do informacji, dostępu i kopii danych, sprostowania, prawa do usunięcia, prawa do ograniczenia przetwarzania, prawa do przenoszenia danych, prawa do sprzeciwu wobec przetwarzania danych, prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
6.2. Procesor jest zobowiązany przekazać Administratorowi informacji o wystąpieniu incydentu związanego z naruszeniem zasad przetwarzania danych osobowych w terminie do 48 godzin od wystąpienia lub podejrzenia wystąpienia incydentu. Procesor nie będzie zgłaszał naruszenia organowi nadzorczemu bez uzgodnienia z Administratorem.
6.3. W przypadku zaistnienia incydentu (naruszenia) Procesor zobowiązuje się współdziałać z Administratorem w niezbędnym zakresie, a nadto do dokonania skutków naruszenia dla ochrony danych osobowych.
6.4. Procesor jest zobowiązany prowadzić rejestr kategorii czynności przetwarzania danych w imieniu administratora.
6.5. Procesor zobowiązany jest do poinformowania Administratora o każdym przypadku kiedy przetwarzanie danych wymagane jest prawem Unii lub prawem państwa członkowskiego, w zakresie przetwarzania danych osobowych innym niż zgodnie z udokumentowanym poleceniem administratora, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
6.6. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, Procesor jest zobowiązany do wdrożenia wszelkich odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
7. PODPOWIERZENIE PRZETWARZANIA
7.1. Procesor może powierzyć dane osobowe objęte umową powierzenia do dalszego przetwarzania podwykonawcom w celu wykonania umowy powierzenia, tj. zapewniania bezpieczeństwa: danych osobowych i/lub Nozbe. Podpowierzenie może nastąpić jedynie na podstawie umowy podpowierzenia danych osobowych. Procesor zobowiązany jest do informowania Administratora o podpowierzeniu danych osobowych. Z uwagi na konieczność zapewnienia bezpieczeństwa danych osobowych (back-up), podpowierzenie nie wymaga uprzedniej akceptacji podpowierzenia przez Administratora.
7.2. Przekazanie powierzonych danych odbywa się na zasadach określonych w umowie powierzenia danych i regulaminie.
7.3. Podwykonawca, o którym mowa w § 7 ust. 1 Umowy, winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Procesora w umowie powierzenia, w tym w szczególności winien zapewniać gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z RODO oraz ochronę praw osób, których dane dotyczą.
7.4. Procesor ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych określonych w umowie powierzenia.
8. ODPOWIEDZIALNOŚĆ
8.1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem umowy powierzenia.
8.2. Procesor ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
9. AUDYT PROCESORA
9.1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Procesor przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy powierzenia.
9.2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
9.3. Procesor zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Procesora wydane jemu polecenie stanowi naruszenie przepisów.
9.4. Uwzględniając zakres audytu oraz koszty z tym związane, Procesor może pobrać od Administratora rozsądną i uzasadnioną opłatę w związku z audytem.
9.5. Procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
10. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA
10.1. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Procesor zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie na jakichkolwiek nośnikach, co nie ma wpływu na zgodność z prawem przetwarzania danych dokonanego przez Procesor w okresie obowiązywania umowy powierzenia.
11. POSTANOWIENIA KOŃCOWE
11.1. Umowę powierzenia zawiera się na czas nieokreślony od dnia 25 maja 2018 roku.
11.2. Zakończenie korzystania z NOZBE skutkuje jednoczesnym zakończeniem umowy powierzenia i usunięciem danych osobowych.
11.3. Jeżeli jakiekolwiek z postanowień umowy powierzenia okaże się nieważne lub niewykonalne, taka częściowa nieważność, niezgodność z prawem lub niewykonalność postanowienia nie ma wpływu na ważność pozostałych postanowień umowy. Strony podejmą negocjacje w celu zastąpienia nieważnych lub niewykonalnych postanowień umowy nowymi.
11.4. Wszelkie zmiany i uzupełnienia dotyczące treści oraz warunków umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.
11.5. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
11.6. Strony są wzajemnie administratorami danych określonych we wstępie (komparycji) umowy powierzenia.
11.7. W sprawach nieuregulowanych umową mają zastosowanie przepisy prawa polskiego powszechnie obowiązującego w tym przepisy kodeksu cywilnego.
11.8. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.
