UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Niniejsza Umowa Powierzenia stanowi integralną część Regulaminu świadczenia usług drogą elektroniczną (dalej „Regulaminu”) i jest zawierana pomiędzy Nabywcą (dalej „Administratorem”) a Usługodawcą (dalej „Przetwarzającym”) wraz z zawarciem oraz w związku z wykonywaniem umów o świadczenie usług drogą elektroniczną. Niniejsza Umowa zawierana jest pomiędzy Usługodawcą a Nabywcą.

 1. DEFINICJE

Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:

1) Umowa Powierzenia – niniejsza umowa;

2) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).

2. OŚWIADCZENIA STRON

Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 RODO w związku z przeprowadzaniem przez Przetwarzającego szkoleń z zakresu BHP dla pracowników Administratora.

 3. PRZEDMIOT UMOWY

3.1 W trybie art. 28 ust. 3 RODO, Administrator powierza Przetwarzającemu do przetwarzania dane osobowe wskazane w pkt 4.1.-4.2. poniżej, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową Powierzenia.

3.2 Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie Powierzenia oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, chyba że obowiązek przetwarzania wynika z przepisów prawa. 

4. CEL, ZAKRES I CHARAKTER PRZETWARZANIA

4.1 Przetwarzający zobowiązuje się do przetwarzania danych osobowych osób odbywających szkolenie BHP u Administratora.

4.2 Zakres powierzonych Przetwarzającemu do przetwarzania danych osobowych obejmuje:

– imię i nazwisko, adres e-mail, data urodzenia, stanowisko pracy

4.3 Celem przetwarzania danych osobowych wskazanych w pkt 4.1.-4.2. powyżej jest przeprowadzanie przez Przetwarzającego szkoleń z zakresu BHP dla pracowników Administratora.

4.4 Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały. Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w systemach informatycznych oraz w formie papierowej.

4.5 Przetwarzający będzie otrzymywał dane osobowe od Administratora oraz Uczestników szkolenia.

5. ZASADY POWIERZENIA PRZETWARZANIA

5.1 Przed rozpoczęciem przetwarzania danych osobowych Przetwarzający musi podjąć środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności:

a) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem,

b) zapewnić, by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora w celach i zakresie przewidzianym w Umowie Powierzenia,

c) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.

5.2 Przetwarzający zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Przetwarzającego.

6. DALSZE OBOWIĄZKI PRZETWARZAJĄCEGO

6.1 Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.

6.2 W sytuacji podejrzenia naruszenia ochrony danych osobowych, Przetwarzający zobowiązuje się do:

a) przekazania Administratorowi informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w tym informacji, o których mowa w art. 33 ust. 3 RODO,

b) przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych,

c) przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.

6.3 Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO. W szczególności Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.

6.4 Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.

6.5 Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.

7. PODPOWIERZENIE PRZETWARZANIA

7.1 Administrator wyraża zgodę na podpowierzenie przetwarzania powierzonych danych osobowych podwykonawcy Przetwarzającego (tzw. subprocesorowi) w celu wykonania zleconych przez Administratora szkoleń BHP.

7.2 W przypadku podpowierzenia przetwarzania danych osobowych, podpowierzenie przetwarzania będzie mieć za podstawę umowę, na podstawie której podwykonawca (subprocesor) zobowiąże się do wykonywania tych samych obowiązków, które na mocy niniejszej Umowy Powierzenia nałożone są na Przetwarzającego.

7.3 Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec subprocesora.

7.4. Przetwarzający nie może przekazywać powierzonych mu do przetwarzania danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.

8. AUDYT PRZETWARZAJĄCEGO

8.1 Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających RODO oraz niniejszej Umowy Powierzenia przez Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.

8.2 Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

9. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA

9.1 Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Przetwarzający usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

10. ZASADY ZACHOWANIA POUFNOŚCI I ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO

10.1 Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.

10.2 Przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych wskazanych w ust. 10.1 nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy Powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub niniejszej Umowy.

10.3 Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

10.4 Przetwarzający odpowiada za szkodę wynikłą z udostępnienia lub wykorzystania danych osobowych niezgodnie z treścią Umowy Powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

10.5 W przypadku niewykonania lub nienależytego wykonania niniejszej Umowy Powierzenia, Przetwarzający jest zobowiązany do zapłaty odszkodowania na zasadach ogólnych.

11. POSTANOWIENIA KOŃCOWE

11.1 W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000) oraz powiązanych z nią aktów wykonawczych, a także RODO i kodeksu cywilnego

11.2 Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.