UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta pomiędzy:
Klientem, tj. podmiotem, z którym Przetwarzający zawarł umowę o świadczenie usług drogą elektroniczną za pośrednictwem weboon.pl i który jest administratorem danych w rozumieniu art. 4 pkt 7 RODO, zwanym dalej Administratorem
a
Michałem Pniewskim prowadzącym działalność gospodarczą pod firmą PRIMEO MICHAŁ PNIEWSKI, wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej prowadzonej przez Ministra Rozwoju pod adresem ul. Walerego Przyborowskiego 4, lok. 11, 25-417 Kielce, NIP 6572547754, REGON 260198443, zwanym dalej Przetwarzającym,
zwanymi łącznie „Stronami”
Mając na uwadze, że:
Strony łączy Umowa w zakresie świadczenia usług drogą elektroniczną na pośrednictwem weboon.pl, (dalej: ,,Umowa podstawowa”), w wykonaniu, której Administrator danych osobowych powierza Przetwarzającemu przetwarzanie danych osobowych na zasadach określonych w niniejszej umowie;
działając na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) (dalej: RODO),
Strony postanawiają co następuje:
§1
OŚWIADCZENIA STRON
- Administrator oświadcza, że jest administratorem danych osobowych, w rozumieniu art. 4 pkt 7 RODO w zbiorze dane osobowe klientów i potencjalnych klientów jego przedsiębiorstwa, dane osobowe pracowników, dane osobowe partnerów i kontrahentów.
- Przetwarzający oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi RODO oraz Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (U.2018.1000) i chroniło prawa osób, których dane dotyczą.
§2
PRZEDMIOT UMOWY
Administrator powierza Przetwarzającemu dane osobowe określone w § 1 niniejszej umowy do przetwarzania w celu wykonania Umowy podstawowej.
§3
CZAS PRZETWARZANIA
- Przetwarzający świadczy usługi związane z przetwarzaniem danych przez czas trwania Umowy podstawowej.
- Po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora, Przetwarzający zwróci Administratorowi lub usunie:
- wszelkie dane osobowe,
- wszelkie istniejące kopie danych osobowych.
- Zapisu powyższego nie stosuje się w przypadku, gdy prawo Unii Europejskiej lub państwa członkowskiego nakazuje Przetwarzającemu przechowywanie danych osobowych.
§4
CHARAKTER I CEL PRZETWARZANIA
- Przetwarzanie danych przez Przetwarzającego ma charakter wtórny.
- Przetwarzający przetwarza dane w celu realizacji Umowy podstawowej.
- Przetwarzający będzie przetwarzał dane osobowe poprzez wykonywanie operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany takich jak:
- kopiowanie,
- przechowywanie,
- ograniczanie, usuwanie lub niszczenie.
§5
RODZAJ DANYCH OSOBOWYCH
Administrator powierza Przetwarzającemu do przetwarzania następujące rodzaje danych:
Dane zwykłe
- imię i nazwisko,
- adres e-mail,
- adres,
- numer telefonu,
- firma,
- NIP,
- REGON,
- PESEL.
§6
KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ
Powierzone do przetwarzania dane dotyczą następujących kategorii osób pełnoletnich:
- klienci Administratora prowadzący działalność gospodarczą,
- klienci Administratora, będący konsumentami,
- potencjalni klienci Administratora prowadzący działalność gospodarczą,
- potencjalni klienci Administratora, będący konsumentami,
- pracownicy Administratora,
- partnerzy i kontrahenci Administratora.
§7
PRAWA I OBOWIĄZKI ADMINISTRATORA
- Administrator jest zobowiązany do zapłaty na rzecz Przetwarzającego wynagrodzenia należnego na podstawie Umowy podstawowej. Przetwarzający nie jest uprawniony do dodatkowego wynagrodzenia z tytułu wykonania niniejszej umowy.
- Administrator ma prawo do:
- dokonywania audytów, w tym inspekcji danych u Przetwarzającego, w szczególności poprzez:
- poddawanie przeglądom środków technicznych i organizacyjnych zabezpieczenia powierzonych danych osobowych;
- zobowiązywania Przetwarzającego do uaktualnienia środków technicznych i organizacyjnych zabezpieczenia powierzonych danych osobowych.
- Administrator może dokonywać audytów osobiście lub upoważnić do tego wybranego przez siebie audytora.
- dokonywania audytów, w tym inspekcji danych u Przetwarzającego, w szczególności poprzez:
§8
PRAWA I OBOWIĄZKI PRZETWARZAJĄCEGO
Przetwarzający zobowiązuje się do:
- przetwarzania danych osobowych, w tym w szczególności przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, wyłącznie na udokumentowane polecenie Administratora.
- Polecenia Administratora mogą być przekazywane Przetwarzającemu w formie elektronicznej (w szczególności za pomocą poczty elektronicznej czy komunikatorów internetowych), pisemnej, telefonicznie i ustnie;
- Przetwarzający zobowiązuje się do konsekwentnego dokumentowania poleceń Administratora;
- poinformowania Administratora w formie pisemnej o obowiązku prawnym przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, nałożonego na Przetwarzającego przez prawo Unii Europejskiej lub państwa członkowskiego, któremu podlega Przetwarzający. Przetwarzający jest zwolniony z powyższego obowiązku, jeżeli prawo zabrania mu udzielenia takiej informacji z uwagi na ważny interes publiczny;
- podjęcia wszelkich środków wymaganych na mocy art. 32 RODO;
- pomocy Administratorowi, w miarę możliwości, mając na uwadze charakter przetwarzania oraz dostępne mu informacje:
- wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
- wywiązać się z obowiązków określonych a art. 32-34 RODO,
- udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO;
- umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenia audytów, w tym inspekcji, i przyczyniania się do nich.
§9
PODPOWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
- Przetwarzający może powierzyć przetwarzanie danych osobowych innym podmiotom przetwarzającym. Lista dalszych podmiotów przetwarzających stanowi Załącznik nr 1 do niniejszej umowy.
- Administrator danych ma prawo wyrażenia sprzeciwu wobec powierzenia danych osobowych innemu podmiotowi przetwarzającemu w terminie 14 dni od dnia otrzymania informacji od Przetwarzającego.
- W razie powierzenia przetwarzania danych osobowych innemu podmiotowi powierzającemu, Przetwarzający zastrzeże co najmniej takie same obowiązki, co nałożone na niego na mocy niniejszej umowy.
- Przetwarzający zobowiązany jest do kontrolowania innych podmiotów przetwarzających dane osobowe.
- Na żądanie Administratora Przetwarzający przedstawi dokumentację wskazującą na czynności kontrolne podejmowane w stosunku do innych podmiotów przetwarzających dane osobowe.
- Przetwarzający oświadcza, że ma świadomość, iż spoczywa na nim pełna odpowiedzialność wobec Administratora danych za wypełnienie obowiązków przez inny podmiot przetwarzający dane osobowe na podstawie art. 28 ust. 4 RODO.
§10
UPOWAŻNIENIE DO PRZETWRZANIA DANYCH OSOBOWYCH
- Przetwarzający upoważni do przetwarzania danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
- 9 niniejszej umowy nie ograniczają w żaden sposób prawa Przetwarzającego do udzielania upoważnień do przetwarzania danych osobowych na postawie art. 29 RODO.
§11
POSTANOWIENIA KOŃCOWE
- Zmiana niniejszej umowy może nastąpić w formie elektronicznej.
- W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy RODO, Kodeksu cywilnego oraz Ustawy o ochronie danych osobowych.
- Sądami właściwymi do rozpoznania sporów mogących wyniknąć w związku z ważnością, interpretacją oraz wykonaniem niniejszej umowy są sądy właściwe miejscowo dla siedziby Przetwarzającego.
- Ważność, interpretacja oraz wykonanie niniejszej umowy podlegają prawu polskiemu.
Załącznik nr 1 do Umowy – lista dalszych podmiotów przetwarzających
Podmiot:
- Paypal Polska sp. z o.o. z siedzibą w Warszawie
- PayPro S.A. z siedzibą w Poznaniu
- mBank S.A. z siedzibą w Warszawie
- GP Kancelaria Strzelec-Gwóźdź sp. p. z siedzibą w Krakowie
- APM Poniatowska-Maj Kancelaria Prawna sp. k. w siedzibą w Gdańsku
- Google Inc. (Google Cloud, Google Analytics, Google Analytics 360, Fabric Software) z siedzibą w USA
- Google Inc. z siedzibą w USA
- Google Inc. z siedzibą w USA
- Google Ireland Ltd (Google Adwords, Double Click Manager, Double Click Search, Remarketing Service, Firebase) z siedzibą w Irlandii
- Facebook Ireland z siedzibą w Irlandii
- Instagram LLC. z siedzibą w USA
- LinkedIn Ireland Ltd. z siedzibą w Irlandii
- Microsoft Corporation z siedzibą w USA
- Twitter Inc. z siedzibą w USA
- Web INnovative Software Sp. z o.o. z siedzibą we Wrocławiu
- H88 S.A. z siedzibą w Poznaniu
- Consulting Service Sp. z o.o. z siedzibą w Warszawie
- S-NET Sp. z o.o. z siedzibą w Krakowie