Umowa powierzenia przetwarzania danych osobowych

Umowa

powierzenia przetwarzania danych osobowych

do Umowy 2023/07/IT/001

zawarta pomiędzy

Cyber Solutions Sp. z o.o. jako Administratorem

a

Cloud Data Center S.A. jako Przetwarzającym

1

Spis treści

1. Opis Przetwarzania ...................................................................................................... 3

2. Podpowierzenie ............................................................................................................ 5

3. Obowiązki Przetwarzającego ...................................................................................... 5

4. Obowiązki Administratora ......................................................................................... 7

5. Bezpieczeństwo danych ............................................................................................... 7

6. Powiadomienie o Naruszeniach Danych Osobowych ............................................... 7

7. Nadzór ........................................................................................................................... 7

8. Oświadczenia Stron ..................................................................................................... 8

9. Odpowiedzialność ........................................................................................................ 8

10. Okres Obowiązywania Umowy Powierzenia [art. 28 ust. 3 RODO] ....................... 8

11. Usunięcie Danych ......................................................................................................... 9

12. Postanowienia Końcowe .............................................................................................. 9

2

Umowa

powierzenia przetwarzania danych osobowych

stanowiąca uzupełnienie Umowy 2023/07/IT/001

zawarta w dniu 24.08.2023 w Warszawie, pomiędzy:

Cyber Solutions Sp. z o.o. („Administrator”)

a

Cloud Data Center S.A. („Przetwarzający”)

(dalej łącznie jako: „Strony”)

Mając na uwadze, że:

i. Strony zawarły umowę 2023/07/IT/001 („Umowa Podstawowa”), w związku, z

wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie

danych osobowych w zakresie określonym Umową;

ii. Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje

przetwarzania Danych Osobowych w imieniu Administratora;

iii. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych

Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia

Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony

osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie

swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne

rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO.

Strony postanowiły zawrzeć Umowę o następującej treści:

przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych

osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa

administratora

1. Opis Przetwarzania

1.1. Przedmiot [art. 28 ust. 3 RODO] Na warunkach określonych niniejszą Umową

oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie

(w rozumieniu RODO) dalej opisanych Danych Osobowych.

1.2. Czas [art. 28 ust. 3 RODO] Przetwarzanie będzie wykonywane w okresie

obowiązywania Umowy Podstawowej.

1.3. Charakter i cel [art. 28 ust. 3 RODO] Charakter i cel przetwarzania wynikają z

Umowy Podstawowej. W szczególności:

1.3.1. charakter przetwarzania określony jest następującą rolą Przetwarzającego

[przykład: hosting usług Administratora], zaś

1.3.2. celem przetwarzania jest [przykład: umożliwienie Administratorowi

świadczenia usług drogą elektroniczną, a także w celu zapewnienia bezpieczeństwa danych Administratora]

3

1.4. Rodzaj danych [art. 28 ust. 3 RODO] Przetwarzanie obejmować będzie

następujące rodzaje danych osobowych („Dane”):

Dane zwykłe:

(1) Jan Kowalski,

(2) 98010112345,

(3) ul. Kwiatowa 1, 00-001 Warszawa,

(4) ul. Polna 2, 12-345 Miasto,

(5) +48 123 456 789,

(6) [email protected],

(7) 2023-08-24,

(8) 123-456-78-90,

(9) FA/2023/001,

(10) Anna Nowak,

(11) ZG/2023/002,

(12) Adres IP,

Dane szczególnych kategorii i dane karne:

(13) Brak danych szczególnych kategorii,

(14) Brak danych karnych,

(15) Nie dotyczy,

Dane dzieci

(16) Nie dotyczy,

(17) Nie dotyczy,

(18) Nie dotyczy,

(19) Nie dotyczy,

(20) Nie dotyczy,

Dane nieustrukturyzowane

(21) Treść wiadomości email.

1.5. Kategorie osób [art. 28 ust. 3 RODO] Przetwarzanie Danych będzie dotyczyć

następujących kategorii osób:

(1) Klienci,

(2) Kontrahenci,

(3) Pracownicy,

(4) Kandydaci do pracy,

(5) Użytkownicy serwisu internetowego,

4

(6) Odbiorcy newslettera,

(7) Uczestnicy konkursów,

(8) Administratorzy systemu.

2. Podpowierzenie

2.1. Podpowierzenie [art. 28 ust. 2 RODO] Przetwarzający może powierzyć konkretne

operacje przetwarzania Danych („podpowierzenie”) w drodze pisemnej umowy

podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym.

(„Podprzetwarzający”), pod warunkiem uprzedniej akceptacji

Podprzetwarzającego przez Administratora lub braku sprzeciwu.

2.2. Zaakceptowani Podprzetwarzający. Lista Podprzetwarzających zaakceptowanych

przez Administratora stanowi Załącznik nr 1 do Umowy – Lista

Zaakceptowanych Podprzetwarzających.

2.3. Sprzeciw. Powierzenie przetwarzania Danych Podprzetwarzającym spoza Listy

Zaakceptowanych Podprzetwarzających wymaga uprzedniego zgłoszenia

Administratorowi w celu umożliwienia wyrażenia sprzeciwu. Administrator może z

uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia

Danych konkretnemu Podprzetwarzającemu. W razie zgłoszenia sprzeciwu

Przetwarzający nie ma prawa powierzyć Danych Podprzetwarzającemu objętemu

sprzeciwem, a jeżeli sprzeciw dotyczy aktualnego Podprzetwarzającego, musi

niezwłocznie zakończyć podpowierzenie temu Podprzetwarzającemu. Wątpliwości

co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji

Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie

ciągłości przetwarzania.

2.4. Transfer obowiązków [art. 28 ust. 4 RODO] Dokonując podpowierzenia

Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji

wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy

powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę

konkretnego podpowierzenia.

2.5. Zobowiązanie względem Administratora. Przetwarzający ma obowiązek

zapewnić, aby Podprzetwarzający złożył Administratorowi zobowiązanie do

wykonania obowiązków, o których mowa w poprzednim ustępie. Może to zostać

wykonane przez podpisanie stosownego oświadczenia adresowanego do

Administratora wraz z podpisaniem Umowy Podpowierzenia, zawierającego listę

obowiązków Podprzetwarzającego.

2.6. Zakaz podzlecenia świadczenia głównego [art. 28 ust. 4 RODO] Przetwarzający

nie ma prawa przekazać Podprzetwarzającemu całości wykonania Umowy.

3. Obowiązki Przetwarzającego

Przetwarzający ma następujące obowiązki:

3.1. Udokumentowane polecenia [art. 28 ust. 3 lit. a RODO] Przetwarzający

przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami lub

instrukcjami Administratora.

3.2. Nieprzetwarzanie poza EOG [art. 28 ust. 3 lit. a RODO] Przetwarzający

oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji

międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)).

5

Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy

przekazują Dane poza EOG.

3.3. Poinformowanie o zamiarze przetwarzania poza EOG. [art. 28 ust. 3 lit. a

RODO] Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza

EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi

podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z

prawem lub zakończenia powierzenia przetwarzania.

3.4. Tajemnica [art. 28 ust. 3 lit. b RODO] Przetwarzający uzyskuje od osób, które

zostały upoważnione do przetwarzania Danych w wykonaniu Umowy,

udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się,

że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.

3.5. Bezpieczeństwo [art. 28 ust. 3 lit. c RODO] Przetwarzający zapewnia ochronę

Danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO,

zgodnie z dalszymi postanowieniami Umowy.

3.6. Podprzetwarzanie [art. 28 ust. 3 lit. d RODO] Przetwarzający przestrzega

warunków korzystania z usług innego podmiotu przetwarzającego

(Podprzetwarzającego).

3.7. Współpraca przy realizacji praw jednostki [art. 28 ust. 3 lit. e RODO]

Przetwarzający zobowiązuje się wobec Administratora do odpowiadania na żądania

osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale

III RODO („Prawa jednostki”). Przetwarzający oświadcza, że zapewnia obsługę

Praw jednostki w odniesieniu do powierzonych Danych. Szczegóły obsługi Praw

jednostki zostaną pomiędzy Stronami uzgodnione. Strony ustaliły procedurę obsługi

Praw jednostki odrębnym dokumentem.

3.8. Wsparcie przy obowiązkach bezpieczeństwa [art. 28 ust. 3 lit. f RODO]

Przetwarzający współpracuje z Administratorem przy wykonywaniu przez

Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa

w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu,

zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla

ochrony danych i uprzednie konsultacje z organem nadzorczym).

3.9. Legalność poleceń [art. 28 ust. 3 ak. 2 RODO] Jeżeli Przetwarzający poweźmie

wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub

instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej

wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty

możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

3.10. Projektowanie prywatności [art. 25 ust. 1 RODO] Planując dokonanie zmian w

sposobie przetwarzania Danych, Przetwarzający ma obowiązek zastosować się do

wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma

obowiązek z wyprzedzeniem informować Administratora o planowanych

zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną

możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii

Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub

zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania

Danych przez Przetwarzającego.

6

3.11. Minimalizacja [art. 25 ust. 2 RODO] Przetwarzający zobowiązuje się do

ograniczenia dostępu do Danych Osobowych wyłącznie do osób, których dostęp

do Danych jest potrzebny dla realizacji Umowy i posiadających odpowiednie

upoważnienie.

3.12. RCPD [art. 30 ust. 2 RODO] Przetwarzający zobowiązuje się do prowadzenia

dokumentacji opisującej sposób przetwarzania Danych, w tym rejestru kategorii

czynności przetwarzania danych osobowych. Przetwarzający udostępniania na

żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania

danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę

handlową innych klientów Przetwarzającego.

3.13. Profilowanie [art. 13 i 14 RODO] Jeżeli Przetwarzający wykorzystuje w celu

realizacji Umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym

mowa w art. 22 ust. 1 i 4 RODO, Przetwarzający informuje o tym Administratora

w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku

informacyjnego.

3.14. Szkolenie personelu Przetwarzający ma obowiązek zapewnić osobom

upoważnionym do przetwarzania Danych odpowiednie szkolenie z zakresu

ochrony danych osobowych.

4. Obowiązki Administratora

4.1. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu

Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności

poleceń Administratora, jak też wywiązywać się terminowo ze swoich

szczegółowych obowiązków.

5. Bezpieczeństwo danych

5.1. Bezpieczeństwo danych osobowych [art. 32 RODO] Przetwarzający przeprowadził

analizę ryzyka przetwarzania powierzonych Danych, udostępnił ją Administratorowi

i stosuje się do jej wyników, co do organizacyjnych i technicznych środków ochrony

danych.

5.2. Środki bezpieczeństwa. Strony uzgodniły odrębnym dokumentem poziom

zabezpieczeń Danych wymagany po stronie Przetwarzającego.

5.3. Gwarancje bezpieczeństwa. Przetwarzający przedstawił Administratorowi

informacje i dokumenty potwierdzające, że Przetwarzający zapewnia wystarczające

gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Obie

Strony zachowują kopie przedstawionych dokumentów i dowody przedstawienia

informacji, dla potrzeb spełnienia wymogu rozliczalności.

6. Powiadomienie o Naruszeniach Danych Osobowych

6.1. Powiadomienie o naruszeniu. Przetwarzający powiadamia Administratora danych o

każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24

godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w

czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich

dokonania, w szczególności o stwierdzeniu naruszenia.

6.2. Rozwinięcie. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane

wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić

Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.

7. Nadzór

7

7.1. Sprawowanie kontroli [art. 28 ust. 3 lit. h RODO] Administrator kontroluje

sposób przetwarzania powierzonych Danych Osobowych po uprzednim

poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub

wyznaczone przez niego osoby są uprawnione do (i) wstępu do siedziby Cloud Data Center S.A., w

których przetwarzane są Dane Osobowe oraz (ii) wglądu do dokumentacji związanej

z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od

Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania

Danych Osobowych, oraz udostępnienia rejestrów przetwarzania.

7.2. Współpraca przy kontroli. [art. 28 ust. 3 lit. h RODO] Przetwarzający

współpracuje z Prezesem Urzędu Ochrony Danych Osobowych w zakresie wykonywanych

przez niego zadań.

7.3. Przetwarzający:

(1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania

zgodności działania Administratora z przepisami RODO,

(2) umożliwia Administratorowi lub auditorowi przeprowadzanie audytów bezpieczeństwa. Przetwarzający współpracuje w

zakresie realizacji audytów.

8. Oświadczenia Stron

8.1. Oświadczenie Administratora. Administrator oświadcza, że jest Administratorem

Danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył

je Przetwarzającemu.

8.2. Oświadczenie Przetwarzającego [art. 28 ust. 1 RODO]. Przetwarzający

oświadcza, że w ramach prowadzonej działalności hostingowej profesjonalnie

zajmuje się przetwarzaniem danych osobowych objętym Umowa i Umową

Podstawową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki

techniczne i organizacyjne oraz daje rękojmię należytego wykonania niniejszej

Umowy.

8.3. Referencje [art. 28 ust. 1 RODO]. Na żądanie Administratora Przetwarzający okaże

Administratorowi certyfikaty ISO 27001, politykę bezpieczeństwa informacji, raport z audytu bezpieczeństwa

lub inne dowody, iż Przetwarzający zapewnia wystarczające gwarancje wdrożenia

odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało

wymogi RODO i chroniło prawa osób, których dane dotyczą.

9. Odpowiedzialność

9.1. Odpowiedzialność Przetwarzającego [art. 82 ust. 3 RODO] Przetwarzający

odpowiada za szkody majątkowe spowodowane swoim działaniem w związku z niedopełnieniem

obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy

działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym

instrukcjom. Przetwarzający odpowiada za straty finansowe spowodowane zastosowaniem lub

nie zastosowaniem właściwych środków bezpieczeństwa.

9.2. Odpowiedzialność za Podprzetwarzających [art. 28 ust. 4 RODO] Jeżeli

Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony

danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków

przez Podprzetwarzającego spoczywa na Przetwarzającym.

10. Okres Obowiązywania Umowy Powierzenia [art. 28 ust. 3 RODO]

8

10.1. Umowa została zawarta na czas obowiązywania Umowy Podstawowej.

11. Usunięcie Danych

11.1. Usunięcie danych [art. 28 ust. 3 lit g RODO] Z chwilą rozwiązania Umowy

Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych i

jest zobowiązany do:

(1) usunięcia Danych,

(2) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych, chyba że

Administrator postanowi inaczej lub przepisy prawa nakazują dalej przechowywanie Danych.

(3) Strony uzgodnią sposób usunięcia Danych odrębnym dokumentem w ciągu

30 dni od zawarcia Umowy Powierzenia.

11.2. Karencja. Przetwarzający dokona usunięcia Danych po upływie 14 dni od

zakończenia Umowy, chyba że Administrator poleci mu to uczynić wcześniej.

11.3. Oświadczenie. Po wykonaniu zobowiązania, o którym mowa w pkt 10.1.,

Przetwarzający złoży Administratorowi protokół potwierdzające

trwałe usunięcie wszystkich Danych.

12. Postanowienia Końcowe

12.1. Pierwszeństwo. W razie sprzeczności pomiędzy postanowieniami niniejszej

Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia

Umowy Powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych

osobowych pomiędzy Administratorem a Przetwarzającym należy regulować

poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.

12.2. Egzemplarze. Umowa została sporządzona w 2 jednobrzmiących

egzemplarzach, po jednym dla każdej ze Stron.

12.3. Właściwość prawa. Umowa podlega prawu polskiemu oraz RODO.

9