Umowa powierzenia przetwarzania danych osobowych

UMOWA

powierzenia przetwarzania danych osobowych w związku z usługami informatycznymi¹

Zawarta w dniu 20.07.2023 r. pomiędzy:

Cyber Solutions Sp. z o.o.

zwaną dalej Zleceniodawcą lub Administratorem danych (administratorem)

reprezentowanym przez: Jan Kowalski

a

CloudTech Solutions S.A.

zwaną dalej Zleceniobiorcą lub Podmiotem przetwarzającym

reprezentowanym przez: Anna Nowak

o następującej treści:

Zważywszy, że:

• Zleceniobiorca będzie wykonywał świadczenie na rzecz Zleceniodawcy z zakresu świadczenia usług informatycznych, w tym: udostępnianie serwera, prowadzenie poczty elektronicznej, hosting strony internetowej, serwis urządzeń komputerowych i infrastruktury online;

• Zleceniobiorca w ramach świadczonej usługi będzie miał dostęp do danych osobowych, przechowywanych na serwerze, poczcie oraz stronie internetowej, urządzeniach użytkowników, a także innych programów i systemów, które będą podlegały obsłudze informatycznej;

strony niniejszym postanawiają zawrzeć Umowę powierzenia przetwarzania danych osobowych ("Umowa"), o następującej treści:

§1

Oświadczenia Stron

1. Zleceniodawca oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - dalej RODO, powierzanych w rozumieniu i na zasadach określonych w przepisach RODO.

2. Administrator danych powierza Zleceniobiorcy do przetwarzania dane osobowe, które zgromadził zgodnie z obowiązującymi przepisami prawa.

3. Zleceniobiorca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.

¹ Administrator może także skorzystać ze wzoru opartego na standardowych klauzulach umownych w zakresie powierzenia danych zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/914, dostępnego w https://eur-lex.europa.eu/.

4. Zleceniobiorca oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych, że zostały one zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zostały zobowiązane do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

§2

Cel, zakres, miejsce przetwarzania powierzonych danych osobowych

1. Administrator danych powierza Zleceniobiorcy przetwarzanie danych osobowych w zakresie danych:

   a) użytkowników urządzeń, programów oraz systemów, na rzecz których są świadczone usługi informatyczne w zakresie danych użytkownika, jego uprawnień oraz historii wykonywanych działań;

   b) osób, których dane są przetwarzane w ramach hostingowanych przez Zleceniodawcę usług, w celu przechowywania tych danych, tworzenia i odzyskiwania kopii zapasowych, czynności niezbędnych do zapewnienia poufności, integralności oraz dostępności danych;

   c) osób, których dane znajdują się w urządzeniach użytkowników oraz systemach informatycznych Administratora, w zakresie niezbędnym do zrealizowania wsparcia technicznego.

Powierzone dane nie obejmują szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO.

2. Zleceniobiorca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.

3. Na wniosek Administratora danych lub osoby, której dane dotyczą Zleceniobiorca wskaże miejsca, w których przetwarza powierzone dane.

§3

Zasady przetwarzania danych osobowych

1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.

2. Zleceniobiorca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Opis zastosowanych środków technicznych i organizacyjnych, w tym zabezpieczeń teleinformatycznych stanowi załącznik nr 1 do umowy.

3. Zleceniobiorca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.

4. Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek przetwarzania danych osobowych nakładają na Zleceniobiorcę przepisy prawa. W takiej sytuacji informuje on Administratora przed rozpoczęciem przetwarzania o tym obowiązku, chyba że przepisy te zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny.

5. Zleceniobiorca, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw. W przypadku otrzymania takiego żądania, przekazuje je niezwłocznie Administratorowi.

6. Zleceniobiorca, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO.

7. Zleceniobiorca po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.

8. Zleceniobiorca udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach RODO oraz w niniejszej umowie, a także umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

9. Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

10. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.

11. Zleceniobiorca może powierzyć konkretne operacje przetwarzania danych osobowych w drodze pisemnej umowy innym podmiotom przetwarzającym, pod warunkiem wyrażenia uprzedniej zgody przez Administratora. Zleceniobiorca składa wniosek o udzielenie szczegółowej zgody co najmniej 14 dni przed rozpoczęciem korzystania z usług danego dalszego podmiotu przetwarzającego wraz z informacjami niezbędnymi do tego, by Administrator mógł podjąć decyzję w sprawie zgody.

12. Zleceniobiorca zobowiąże dalsze podmioty przetwarzające do przestrzegania przy przetwarzaniu powierzonych danych obowiązków dotyczących ochrony danych na poziomie, co najmniej określonym w niniejszej Umowie, a także prawo Administratora do rozwiązania umowy z dalszym podmiotem Przetwarzającym, jeżeli Zleceniobiorca przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny. Zleceniobiorca na wniosek Administratora przekazuje mu kopię umowy z dalszym podmiotem Przetwarzającym. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Zleceniobiorca może utajnić tekst umowy przed jej udostępnieniem.

13. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego podmiotu spoczywa na Zleceniobiorcy.

14. Zleceniobiorca w razie stwierdzenia naruszenia ochrony danych osobowych niezwłocznie, jednak nie później niż w terminie 72 godzin od stwierdzenia naruszenia, poinformuje o tym Administratora.

15. Zgłoszenie, musi co najmniej:

   a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

   b) zawierać Maria i Kowalska oraz 123-456-789 inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

   c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

   d) opisywać środki zastosowane lub proponowane przez Zleceniobiorcę w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

16. Zleceniobiorca jest zobowiązany do dokumentowania wszelkich okoliczności i zebrania wszelkich dowodów, które pomogą Administratorowi wyjaśnić szczegóły naruszenia, w tym jego charakter, skalę, skutki, czas zdarzenia, osoby odpowiedzialne, osoby poszkodowane, a także wspierania Administratora w wypełnianiu przez niego obowiązków z art. 33 i 34 RODO.

17. Zleceniobiorca po zakończeniu realizacji usług zobowiązany jest do niezwłocznego zwrotu powierzonych danych osobowych oraz do usunięcia wszystkich ich istniejących kopii, sporządzonych na potrzeby bieżącej pracy, bądź na wyraźne żądanie Administratora - dokonać usunięcia powierzonych danych osobowych, zamiast ich zwrotu, chyba, że przepisy prawa nakazują przechowywanie danych osobowych.

18. Przetwarzający dokona usunięcia powierzonych danych osobowych w terminie 30 dni od dnia zakończenia realizacji usług.

§4

Odpowiedzialność Stron

1. Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według RODO.

2. Powyższe nie wyłącza odpowiedzialności Zleceniobiorcy za przetwarzanie powierzonych danych niezgodnie z umową.

3. Zleceniobiorca odpowiada za szkody majątkowe lub niemajątkowe jakie powstały wobec Administratora lub osób trzecich w wyniku przetwarzania danych osobowych niezgodnego z Umową lub obowiązkami nałożonymi przez RODO lub inne przepisy dotyczące ochrony danych osobowych.

§5

Zasady zachowania poufności

1. Zleceniobiorca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Zleceniobiorca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§6

Postanowienia końcowe

1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.

2. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu cywilnego.

3. W przypadku, gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

5. Niniejsza umowa powierzenia przetwarzania danych obowiązuje na czas trwania działań związanych z świadczeniem usług informatycznym, takich jak: udostępnienie serwera, prowadzenie poczty elektronicznej, hosting strony internetowej, serwis urządzeń komputerowych.

Cyber Solutions Sp. z o.o.                     CloudTech Solutions S.A.

                    Zleceniodawca                                            Zleceniobiorca

Załącznik nr 1

Środki ochrony danych zagwarantowane przez Przetwarzającego²:

1. Osoby wykonujące operacje na danych osobowych otrzymały upoważnienia do przetwarzania danych, w których został określony zakres przetwarzanych przez te osoby danych.

2. Osoby upoważnione zostały zobligowane do zachowania poufności.

3. Dostęp do danych powierzonych danych osobowych mają tylko uprawnieni pracownicy oraz współpracownicy, zgodnie z zasadą „wiedzy koniecznej”.

4. Została opracowana i wdrożona dokumentacja ochrony danych osobowych.

5. Zostały wdrożone procedury przesyłania danych drogą elektroniczną z wykorzystaniem szyfrowania TLS 1.3.

6. Zostały wdrożone procedury zabezpieczania nośników danych osobowych, w tym szyfrowanie dysków twardych.

7. Zostały zapewnione niezbędne środki techniczne do ochrony nośników danych, takie jak systemy kontroli dostępu fizycznego do serwerowni.

8. Zostały wdrożone procedury postępowania przy naruszeniach ochrony danych, zgodne z art. 33 i 34 RODO.

9. Dokumentacja ochrony danych podlega okresowym przeglądom, co najmniej raz na kwartał.

10. Przetwarzający przeprowadza okresowe audyty zgodności z RODO, co najmniej raz w roku.

11. Przetwarzający jest w stanie wykazać zgodność przetwarzania z postanowieniami niniejszej umowy powierzenia.

12. Osoby upoważnione przechodzą szkolenia z ochrony danych osobowych, co najmniej raz w roku.

13. Zostały wdrożone środki ochrony elektronicznych nośników informacji oraz sprzętu komputerowego i mobilnego jak szyfrowanie, zapory systemowe, antywirusy z najnowszymi aktualizacjami.

² Wskazano przykładowe środki, należy podać faktyczne i szczegółowe środki ochrony.