UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - NOZBE

zawarta w dniu …………………………..r., pomiędzy:

działającą przy zawarciu niniejszej umowy w imieniu własnym i na własny rachunek, zwaną dalej „Administratorem” a

zwanym dalej „Procesorem”, zwanymi dalej łącznie „Stronami” a z osobna „Stroną”,

Strony, mając na uwadze przepisy o ochronie danych osobowych, w tym art. 28 RODO, zawierają umowę o treści następującej:

1. DEFINICJE

Dla celów niniejszej umowy następującym pojęciom przypisuje się podane niżej znaczenie:

1.1. Dane osobowe – oznaczają wszelkie dane administratora dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej w zakresie, w jakim takie informacje są chronione jako dane osobowe zgodnie z przepisami;

1.2. NOZBE – aplikacja Nozbe Teams używana w okresie obowiązywania umowy przez administratora, udostępniona przez Procesora, w której dochodzi do przetwarzania danych osobowych powierzonych przez Administratora;

1.3. Przepisy – obowiązujące w Polsce prawo dotyczące ochrony danych osobowych, w tym w szczególności: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) (zwane dalej: „RODO”) oraz ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018r. poz. 1000) (zwana dalej „ustawą”);

1.4. Regulamin - oznacza regulamin korzystania z NOZBE;

1.5. Umowa Powierzenia – oznacza niniejszą umowę oraz wszelkie jej zmiany, aneksy i załączniki do niej, pod warunkiem, że zostaną sporządzone na piśmie i podpisane przez obydwie strony.

2. OŚWIADCZENIA STRON

2.1. Administrator oświadcza, że jest administratorem danych osobowych, powierzonych do przetwarzania Procesorowi oraz że dane osobowe administrator gromadzi i przetwarza zgodnie z przepisami.

2.2. Strony oświadczają, że Umowa Powierzenia została zawarta w celu wykonania obowiązków, określonych przepisami w związku z korzystaniem przez administratora z NOZBE i zaakceptowaniem przez Administratora regulaminu.

2.3. Procesor oświadcza, że przetwarzanie danych osobowych przekazanych na podstawie niniejszej umowy odbywa się wyłącznie na obszarze EOG lub w kraju trzecim, który zapewnia odpowiedni poziom ochrony danych osobowych, zgodnie z decyzją Komisji Europejskiej.

3. PRZEDMIOT UMOWY

3.1. Administrator powierza Procesorowi do przetwarzania dane osobowe, w tym w szczególności: ……………………………………………………………………………. a Procesor zobowiązuje się do ich przetwarzania zgodnego z przepisami oraz umową wyłącznie w celu korzystania przez administratora z NOZBE.

3.2. Procesor może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w: umowie, przepisach, udokumentowanych poleceniach Administratora.

3.3. Niniejsza umowa stanowi udokumentowane polecenie Administratora do przetwarzania przez Procesora danych osobowych przekazanych mu przez Administratora w wykonaniu niniejszej umowy, w tym również polecenie do przekazywania danych osobowych poza EOG.

4. CEL, ZAKRES I CHARAKTER PRZETWARZANIA

4.1. Procesor może przetwarzać w NOZBE dane osobowe określone w definicji danych osobowych. Na danych tych Procesor będzie wykonywał w szczególności następujące operacje: przechowywanie lub na polecenie Administratora usuwanie. Przetwarzanie danych osobowych ma na celu umożliwienie Administratorowi korzystania z NOZBE.

4.2. Procesor zobowiązuje się do przetwarzania w NOZBE danych osobowych w sposób stały.

4.3. Administrator oświadcza, że charakter danych osobowych powierzanych niniejszą Umową, nie obejmuje szczególnych kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO oraz danych dotyczące wyroków skazujących i naruszeń prawa w rozumieniu art. 10 RODO.

4.4. Dane osobowe będą przez Procesora przetwarzane w formie elektronicznej w NOZBE.

4.5. Procesor będzie otrzymywał dane osobowe od administratora.

4.6. Administrator będzie powierzał w szczególności dane osobowe następujących kategorii osób: administrator, pracownicy administratora, kontrahenci administratora.

4.7. Administrator będzie powierzał w szczególności dane osobowe w ramach następujących kategorii danych osobowych: …………………………………………………………………………….

5. ZASADY POWIERZENIA PRZETWARZANIA

5.1. Procesor zobowiązuje się przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. W szczególności Procesor oświadcza, że infrastruktura serwerowa oparta jest na Amazon AWS i Heroku. Serwery i ich kopie zlokalizowane są w Irlandii, Niemczech i Francji. Dodatkowa silnie zaszyfrowana kopia bazy danych zapisywana jest na serwerze Amazon AWS w Japonii, która zapewnia odpowiedni poziom ochrony danych osobowych, zgodnie z decyzją Komisji Europejskiej. Zarówno Amazon AWS, jak i Heroku realizują swoje usługi z zachowaniem wysokiego poziomu bezpieczeństwa – szczegóły zostały opisane w dokumentach opublikowanych na stronach https://aws.amazon.com/compliance/gdpr-center/ oraz https://www.heroku.com/policy/security.

5.2. Procesor, zgodnie z art. 28 ust. 3 lit. b RODO, zobowiązuje się do zachowania powierzonych przez Administratora danych osobowych w tajemnicy.

5.3. Procesor zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Procesora.

5.4. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy powierzonych danych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie umowy współpracy lub wynikających z przepisów.

5.5. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych osobowych gwarantowały zabezpieczenie przed dostępem osób trzecich nieupoważnionych do ujawnienia, udostępnienia i zapoznania się z ich treścią. W szczególności Procesor informuje, że dla zapewnienia maksymalnego bezpieczeństwa danych osobowych, dyski z bazą danych, jak i plikami przesyłanymi do NOZBE, szyfrowane są za pomocą AES-256. Dodatkowo, aby zwiększyć poziom bezpieczeństwa plików i dokumentów wrażliwych, każdy plik z osobna wgrywany do NOZBE (za pomocą komentarza czy innego załącznika) szyfrowany jest z wykorzystaniem indywidualnego klucza szyfrującego.

5.6. Procesor zobowiązuje się do regularnego wykonywania testów bezpieczeństwa – wewnętrznych, jak i zlecanych do wykonania przez wyspecjalizowane firmy zewnętrzne.

5.7. Osobą dedykowaną do kontaktu w sprawach związanych z wykonaniem niniejszej umowy jest Tomasz Kapelak, tom@nozbe.com. Zmiana osoby dedykowanej nie wymaga formy aneksu, a jedynie poinformowania Administratora za pomocą wiadomości e-mailowej.

6. DALSZE OBOWIĄZKI PROCESORA

6.1. Procesor zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. W szczególności Procesor będzie pomagał Administratorowi w odpowiadaniu na żądania osób, których dane dotyczą, w tym w odniesieniu do: prawa do informacji, dostępu i kopii danych, sprostowania, prawa do usunięcia, prawa do ograniczenia przetwarzania, prawa do przenoszenia danych, prawa do sprzeciwu wobec przetwarzania danych, prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

6.2. Procesor jest zobowiązany przekazać Administratorowi informacji o wystąpieniu incydentu związanego z naruszeniem zasad przetwarzania danych osobowych w terminie do 48 godzin od wystąpienia lub podejrzenia wystąpienia incydentu. Procesor nie będzie zgłaszał naruszenia organowi nadzorczemu bez uzgodnienia z Administratorem.

6.3. W przypadku zaistnienia incydentu (naruszenia) Procesor zobowiązuje się współdziałać z Administratorem w niezbędnym zakresie, a nadto do dokonania skutków naruszenia dla ochrony danych osobowych.

6.4. Procesor jest zobowiązany prowadzić rejestr kategorii czynności przetwarzania danych w imieniu administratora.

6.5. Procesor zobowiązany jest do poinformowania Administratora o każdym przypadku kiedy przetwarzanie danych wymagane jest prawem Unii lub prawem państwa członkowskiego, w zakresie przetwarzania danych osobowych innym niż zgodnie z udokumentowanym poleceniem administratora, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

6.6. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, Procesor jest zobowiązany do wdrożenia wszelkich odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

7. PODPOWIERZENIE PRZETWARZANIA

7.1. Procesor może powierzyć dane osobowe objęte umową powierzenia do dalszego przetwarzania podwykonawcom w celu wykonania umowy powierzenia, tj. zapewniania bezpieczeństwa: danych osobowych i/lub Nozbe. Podpowierzenie może nastąpić jedynie na podstawie umowy podpowierzenia danych osobowych. Procesor zobowiązany jest do informowania Administratora o podpowierzeniu danych osobowych. Z uwagi na konieczność zapewnienia bezpieczeństwa danych osobowych (back-up), podpowierzenie nie wymaga uprzedniej akceptacji podpowierzenia przez Administratora.

7.2. Przekazanie powierzonych danych odbywa się na zasadach określonych w umowie powierzenia danych i regulaminie.

7.3. Podwykonawca, o którym mowa w § 7 ust. 1 Umowy, winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Procesora w umowie powierzenia, w tym w szczególności winien zapewniać gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z RODO oraz ochronę praw osób, których dane dotyczą.

7.4. Procesor ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych określonych w umowie powierzenia.

8. ODPOWIEDZIALNOŚĆ

8.1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem umowy powierzenia.

8.2. Procesor ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

9. AUDYT PROCESORA

9.1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Procesor przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy powierzenia.

9.2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

9.3. Procesor zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Procesora wydane jemu polecenie stanowi naruszenie przepisów.

9.4. Uwzględniając zakres audytu oraz koszty z tym związane, Procesor może pobrać od Administratora rozsądną i uzasadnioną opłatę w związku z audytem.

9.5. Procesor udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

10. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA

10.1. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Procesor zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie na jakichkolwiek nośnikach, co nie ma wpływu na zgodność z prawem przetwarzania danych dokonanego przez Procesor w okresie obowiązywania umowy powierzenia.

11. POSTANOWIENIA KOŃCOWE

11.1. Umowę powierzenia zawiera się na czas nieokreślony od dnia _____________ roku.

11.2. Zakończenie korzystania z NOZBE skutkuje jednoczesnym zakończeniem umowy powierzenia i usunięciem danych osobowych.

11.3. Jeżeli jakiekolwiek z postanowień umowy powierzenia okaże się nieważne lub niewykonalne, taka częściowa nieważność, niezgodność z prawem lub niewykonalność postanowienia nie ma wpływu na ważność pozostałych postanowień umowy. Strony podejmą negocjacje w celu zastąpienia nieważnych lub niewykonalnych postanowień umowy nowymi.

11.4. Wszelkie zmiany i uzupełnienia dotyczące treści oraz warunków umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.

11.5. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

11.6. Strony są wzajemnie administratorami danych określonych we wstępie (komparycji) umowy powierzenia.

11.7. W sprawach nieuregulowanych umową mają zastosowanie przepisy prawa polskiego powszechnie obowiązującego w tym przepisy kodeksu cywilnego.

11.8. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.