UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH dla usług Prywatnych UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Niniejsza umowa została zawarta dnia ………………. w Warszawie pomiędzy: ......................, z siedzibą w Warszawie, ul. ……., wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego za numerem KRS 00000……., REGON 0…….0, NIP ……....….., zwaną dalej „Klientem” oraz PUQ Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie (00-439) przy ul. Stefana Jaracza 2/503, wpisana do Krajowego Rejestru Sądowego pod numerem KRS: 0000857953, NIP: 5252834345, REGON: 38693602400000, o kapitale zakładowym w wysokości 5.000,00zł, która to dalej w niniejszym regulaminie zwana jest „PUQ”. Definicje Użyte w Umowie określenia oznaczają: RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Administrator – administrator w rozumieniu art. 4 pkt 7 RODO. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO Dane Osobowe Klienta – Dane osobowe określone punkcie II Umowy Powierzenia. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO. Usługa – usługa PUQ sp. z o.o.. Umowa Główna – Usługi PUQ sp. z o.o. z dnia […]. Umowa Powierzenia – niniejsza umowa powierzenia przetwarzania danych osobowych, stanowiąca zgodnie z wolą Stron integralną część Umowy głównej. Przedmiot Umowy Niniejsza Umowa określa warunki Przetwarzania przez PUQ w imieniu Klienta Danych Osobowych Klienta określonych poniżej w zakresie wykonywania Umowy Głównej. Klient powierza PUQ przetwarzanie następujących Danych osobowych: dane konta Usługi: imię i nazwisko Klienta bądź jego pracowników, adresy email skojarzone z kontem oraz używane w ramach wykorzystywania Usługi, numer telefonu wykorzystywany do świadczenia Usługi, dane teleadresowe i adresy email osób, którym udostępniono dane przechowywane na koncie Usługi, adresy komputerów, za pomocą których jest świadczona Usługa bądź wykorzystywanych przez Klienta do korzystania z Usługi. Dane osobowe zawarte w przechowywanych w Usłudze plikach: imiona i nazwiska, adresy, adresy poczty elektronicznej, numery telefonów, daty urodzenia, dane osobowe członków rodziny, informacje o zatrudnieniu, wizerunek. W przypadku konieczności dokonania modyfikacji rodzaju danych wskazanych na liście, tj. dodania nowych danych lub usunięcia danych osobowych wskazanych na dzień zawarcia Umowy Przetwarzania, Klient poinformuje o tym PUQ za pośrednictwem poczty elektronicznej. Modyfikacja danych osobowych wskazanych na liście nie wymaga formy aneksu do niniejszej Umowy Przetwarzania. Kategorie osób, których Dane osobowe będą przetwarzane: pracownicy, kontrahenci, pracownicy kontrahentów, osoby kontaktowe. Przetwarzanie danych osobowych PUQ będzie przetwarzało Dane Osobowe Klienta wyłącznie w celu realizacji Umowy Głównej, w zakresie i na warunkach określonych w Umowie Powierzenia. PUQ będzie przetwarzało Dane Osobowe Klienta w zakresie świadczenia Usługi wyłącznie w formie elektronicznej w systemie informatycznym. Dane Osobowe Klienta będą przetwarzane zgodnie z poleceniami Administratora, które powinny być przesyłane do PUQ przez Klienta za pośrednictwem poczty elektronicznej. Termin realizacji każdego polecenia powinien być uzgodniony przez Strony. Polecenie, które wykracza poza zakres Umowy Głównej jest traktowane jak zlecenie PUQ dodatkowej usługi, za wykonanie której może zażądać dodatkowego wynagrodzenia. PUQ poinformuje Klienta, jeżeli polecenie przekazane mu zgodnie ust. 1 należy uznać za niezgodne z RODO lub innymi przepisami o ochronie danych osobowych. Przetwarzanie danych osobowych będzie wykonywane wyłącznie na terytorium Unii Europejskiej. Okres przetwarzania Dane Osobowe Klienta przetwarzane będą wyłącznie przez okres obowiązywania Umowy Głównej, z zastrzeżeniem ustępu 2 - 5. Po zakończeniu współpracy Dane Osobowe Klienta zostaną usunięte. Postanowienia ustępu 1 nie mają zastosowania do sytuacji, kiedy zabezpieczenie Danych Osobowych Klienta jest wymagane w celu zachowania zgodności z przepisami prawa, na wniosek uprawnionych organów Państwa lub na podstawie indywidualnych umów z Klientami Niezależnie od postanowień ustępu 1, Dane Osobowe Klienta przetwarzane będą przez PUQ okres przechowywania kopii zapasowych zawierających te dane. Niezależnie od postanowień ustępu 1 Dane Osobowe Klienta przechowywane będą w zakresie i przez okres wymagany przez przepisy prawa do rozliczeń podatkowych, a także dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy Głównej lub Umowy Powierzenia. Obowiązki PUQ PUQ zobowiązuje się do przestrzegania Umowy Powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania Danych Osobowych. PUQ zapewnia, by osoby upoważnione przez PUQ do Przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. PUQ podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do Przetwarzania Danych osobowych Klienta przez Podmiot przetwarzający w zakresie Usług świadczonych zgodnie z Umową Główną. W zakresie pomocy dla Administratora przy realizacji obowiązku wdrożenia przez Administratora odpowiednich środków organizacyjnych i technicznych, o której mowa art.28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, PUQ zobowiązane jest do: wdrożenia środków organizacyjnych i technicznych zgodnie z ustępem 3, udzielania w miarę możliwości informacji o możliwych do zastosowania innych lub dodatkowych środkach technicznych i organizacyjnych. W zakresie pomocy dla Administratora przy realizacji obowiązku wykonania oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym, o której mowa art.28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, PUQ zobowiązane jest do: udostępnienia na żądanie Administratora dokumentacji zawierającej opis środków technicznych i organizacyjnych stosowanych przez PUQ zgodnie z ust. 3, udzielania w miarę możliwości dodatkowych informacji dotyczących stosowanych lub możliwych do zastosowania przez PUQ środków technicznych i organizacyjnych, udzielania w miarę możliwości dodatkowych informacji związanych z zapytaniem organu nadzorczego w toku uprzednich konsultacji. W zakresie pomocy dla Administratora przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą, o której mowa art.28 ust. 3 pkt f) RODO, uwzględniając charakter Przetwarzania oraz dostępne mu informacje PUQ zobowiązane jest do: zgłoszenia Klientowi bez zbędnej zwłoki na adres email do korespondencji wskazany przez Klienta w Umowie Głównej Naruszenia ochrony danych osobowych stwierdzonego przez PUQ w związku z wykonywaniem Umowy powierzenia, udzielenia Klientowi w miarę możliwości dodatkowych informacji dotyczących stwierdzonego przez Klienta lub zgłoszonego przez PUQ Naruszenia ochrony danych osobowych w zakresie niezbędnym do ustalenia przez Klienta prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób, których Dane osobowe są objęte tym naruszeniem, oraz w zakresie niezbędnym do dokonania przez Klienta zgodnie z art. 33 i 34 RODO zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego lub zawiadamiania o Naruszeniu ochrony danych osobowych osób, których dane dotyczą. W przypadku stwierdzenia Naruszenia ochrony danych osobowych spowodowanego z winy PUQ lub z winy podwykonawcy PUQ, PUQ dokona przeglądu stosowanych środków technicznych i organizacyjnych oraz w razie potrzeby i w miarę możliwości wprowadzi odpowiednie zmiany w celu zapobiegnięcia powtórzeniu się takiego Naruszenia ochrony danych osobowych w przyszłości. Uprawnienia Klienta W okresie obowiązywania Umowy Głównej Klient jest uprawniony do składania zapytań o informacje określone w punkcie IV oraz żądania, w stopniu nieprzekraczającym racjonalnych granic tych aktywności, udzielenia przez PUQ informacji dotyczących sposobu wykonywania Umowy Powierzenia przez PUQ. Realizacja zapytań Klienta jest wykonywana w ramach wynagrodzenia za świadczenie Usługi. Klient jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez PUQ, bezpośrednio lub za pośrednictwem upoważnionego audytora. Klient może w każdym czasie wnioskować o wdrożenie nowych lub zmianę stosowanych przez PUQ środków technicznych i organizacyjnych. W przypadku takiego żądania Klienta, o ile jest ono zasadne i możliwe do zrealizowania bez zmiany organizacji lub naruszenia ciągłości działania Usługi, PUQ przedłoży Klientowi ofertę na przeprowadzenie takich zmian. Klient powinien korzystać z uprawnień określonych w niniejszej Umowie Powierzenia w taki sposób by nie zakłócić wykonywania Umowy Głównej oraz prowadzenia bieżącej działalności przez PUQ i jego podwykonawców. Oświadczenia i obowiązki Klienta Klient oświadcza, że jest Administratorem Danych Osobowych Klienta i gwarantuje, że są przez niego przetwarzane zgodnie z prawem. Klient oświadcza, że dokonał wyboru PUQ jako usługodawcy, biorąc pod uwagę wiedzę fachową, wiarygodność i zasoby PUQ oraz jego ofertę w zakresie zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych. Klient zobowiązuje do przestrzegania Umowy Powierzenia oraz właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązuje się do przestrzegania obowiązków Administratora wynikających z RODO. Podwykonawcy PUQ Klient wyraża zgodę na dalsze powierzenie Przetwarzania Danych Osobowych Klienta w ramach usług zlecanych przez PUQ innym podmiotom po uprzednim powiadomieniu Klienta o takim podwykonawcy z co najmniej 7-dniowym wyprzedzeniem. PUQ zobowiązuje się współpracować z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO. PUQ zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe Klienta stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony Danych osobowych. Jeżeli podwykonawca PUQ nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych osobowych Klienta, PUQ ponosi wobec Klienta odpowiedzialność za niewypełnienie obowiązków przez podwykonawcę tak jak za własne działania i zaniechania. Odpowiedzialność stron Umowy Przetwarzania Klient odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i niniejszą Umową Powierzenia. PUQ odpowiada za prawidłowe wykonywanie obowiązków Podmiotu przetwarzającego zgodnie z RODO, innymi właściwymi przepisami ochrony danych osobowych i niniejszą Umową Powierzenia. Umowa powierzenia stanowi integralną część Umowy Głównej i jej naruszenie stanowi naruszenie Umowy Głównej. W związku z tym, w zakresie dozwolonym przepisami prawa, odpowiedzialność każdej ze Stron wobec drugiej Strony Umowy Powierzenia, z tytułu naruszenia RODO, innych właściwych przepisów ochrony danych osobowych lub Umowy Powierzenia podlega ograniczeniu lub wyłączeniu zgodnie z postanowieniami Umowy Głównej. Postanowienia końcowe Umowa powierzenia wchodzi w życie ze skutkiem od dnia wejścia w życie Umowy głównej, stanowi integralną część Umowy Głównej i zostaje zawarta na okres wykonywania Umowy głównej. Rozwiązanie lub wygaśnięcie Umowy głównej skutkuje odpowiednio rozwiązaniem lub wygaśnięciem Umowy Powierzenia bez potrzeby składania dodatkowych oświadczeń. Rozwiązanie Umowy powierzenia przed upływem okresu na jaki została zawarta Umowa Główna bez jednoczesnego rozwiązania Umowy Głównej jest wyłączone. W sprawach nieuregulowanych w Umowie Przetwarzania zastosowanie mają postanowienia Umowy Głównej oraz obowiązujących przepisów prawa. Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron.