Załącznik nr 4 – Umowa powierzenia przetwarzania danych osobowych

Mając na uwadze, że:

W wykonaniu Umowy o świadczenie Usługi Planu (dalej jako „Umowa podstawowa”), Użytkownik korzystający z Usług Serwisu powierza Usługodawcy przetwarzanie danych osobowych swoich Klientów, działając na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku  z  przetwarzaniem  danych  osobowych  i  w  sprawie swobodnego  przepływu  takich  danych  oraz  uchylenia  dyrektywy  95/46/WE  (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) (dalej: RODO),  

Użytkownik i Usługodawca postanawiają co następuje:

1. OŚWIADCZENIA STRON
   1. Użytkownik, będący Administratorem oświadcza, że jest administratorem danych osobowych powierzanych do przetwarzania, w rozumieniu art. 26 ust. 1 RODO.
   2. Usługodawca, będący Przetwarzającym oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi RODO oraz krajowych przepisów o ochronie danych osobowych i chroniło prawa osób, których dane dotyczą.
2. PRZEDMIOT UMOWY
   1. Niniejsza umowa określa warunki przetwarzania przez Przetwarzającego w imieniu Administratora danych osobowych w zakresie usług wykonywanych na podstawie Umowy podstawowej.
   2. Administrator powierza Przetwarzającemu dane osobowe określone w Załączniku nr 1 do niniejszej Umowy do przetwarzania w celu wykonania Umowy podstawowej.
3. CZAS PRZETWARZANIA
   1. Przetwarzający świadczy usługi związane z przetwarzaniem danych przez cały czas trwania Umowy podstawowej.
   2. Po zakończeniu świadczenia usług związanych z przetwarzaniem Przetwarzający, zależnie od decyzji Administratora usunie lub zwróci Administratorowi wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie.
   3. Zapisu powyższego nie stosuje się w przypadku, gdy prawo Unii Europejskiej lub państwa członkowskiego nakazuje Przetwarzającemu przechowywanie danych osobowych.
4. PRAWA I OBOWIĄZKI ADMINISTRATORA
   1. Administrator jest zobowiązany do zapłaty na rzecz Przetwarzającego wynagrodzenia należnego na podstawie Umowy podstawowej. Przetwarzający nie jest uprawniony do dodatkowego wynagrodzenia z tytułu wykonania niniejszej umowy.
   2. Administrator ma prawo do:
      1. 2.1 dokonywania audytów, w tym inspekcji ochrony danych u Przetwarzającego, w szczególności poprzez:
         1. poddawanie przeglądom środków technicznych i organizacyjnych zabezpieczenia powierzonych danych osobowych;
         2. zobowiązywanie Przetwarzającego do uaktualnienia środków technicznych i organizacyjnych zabezpieczenia powierzonych danych osobowych.
      2. 2.2 Administrator może dokonywać audytów osobiście lub upoważnić do tego wybranego przez siebie audytora.
5. PRAWA I OBOWIĄZKI PRZETWARZAJĄCEGO
   1. Przetwarzający zobowiązuje się do:
      1. 1.1 przetwarzania danych osobowych, w tym w szczególności przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, wyłącznie na udokumentowane polecenie Administratora, przy czym:
         1. polecenia Administratora mogą być przekazywane Przetwarzającemu w formie elektronicznej (w szczególności za pomocą poczty elektronicznej czy komunikatorów internetowych), pisemnej, telefonicznie i ustnie;
         2. Przetwarzający zobowiązuje się do konsekwentnego dokumentowania poleceń Administratora;
      2. 1.2 poinformowania Administratora w formie pisemnej o obowiązku prawnym przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, nałożonego na Przetwarzającego przez prawo Unii Europejskiej lub państwa członkowskiego, któremu podlega Przetwarzający - Przetwarzający jest zwolniony z powyższego obowiązku, jeżeli prawo zabrania mu udzielenia takiej informacji z uwagi na ważny interes publiczny;
      3. 1.3 podjęcia wszelkich środków wymaganych na mocy art. 32 RODO;
      4. 1.4 pomocy Administratorowi, w miarę możliwości – jednak nie dłużej niż w ciągu 7 dni od dnia zażądania przez Administratora pomocy - mając na uwadze charakter przetwarzania oraz dostępne mu informacje:
         1. wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
         2. wywiązać się z obowiązków określonych a art. 32-36 RODO;
      5. 1.5 udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO;
      6. 1.6 umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenia audytów, w tym inspekcji, i przyczyniania się do nich.
6. PODPOWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
   1. Przetwarzający może powierzyć przetwarzanie danych osobowych innym podmiotom przetwarzającym. 
   2. Przetwarzający każdorazowo poinformuje Administratora drogą elektroniczną na 3 dni przed przekazaniem przetwarzania danych osobowych innemu podmiotowi przetwarzającemu o: 
      1. zamiarze skorzystania z usług innego podmiotu przetwarzającego dane osobowe; 
      2. o tożsamości tego podmiotu.
   3. Administrator danych ma prawo wyrażenia sprzeciwu wobec powierzenia danych osobowych innemu podmiotowi przetwarzającemu w terminie 1 dnia od dnia otrzymania informacji od Przetwarzającego. Dla uniknięcia wątpliwości brak wyrażenia sprzeciwu w ww. terminie uznaje się za zgodę Administratora na podpowierzenie przetwarzania danych osobowych. 
   4. W razie powierzenia przetwarzania danych osobowych innemu podmiotowi powierzającemu, Przetwarzający zastrzeże co najmniej takie same obowiązki, co nałożone na niego na mocy niniejszej umowy.
   5. Przetwarzający zobowiązany jest do kontrolowania innych podmiotów przetwarzających dane osobowe.
   6. Na żądanie Administratora Przetwarzający przedstawi dokumentację wskazującą na czynności kontrolne podejmowane w stosunku do innych podmiotów przetwarzających dane osobowe.
   7. Przetwarzający oświadcza, że ma świadomość, iż spoczywa na nim pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez inny podmiot przetwarzający dane osobowe na podstawie art. 28 ust. 4 RODO.
7. UPOWAŻNIENIE DO PRZETWRZANIA DANYCH OSOBOWYCH
   1. Przetwarzający upoważni do przetwarzania danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
   2. Ppkt 1 powyżej nie ogranicza w żaden sposób prawa Przetwarzającego do udzielania upoważnień do przetwarzania danych osobowych na postawie art. 29 RODO.

Załącznik nr 1 do Umowy – Zakres powierzenia danych osobowych

1. CHARAKTER I CEL PRZETWARZANIA
   1. Przetwarzanie danych osobowych przez Przetwarzającego ma charakter wtórny.
   2. Przetwarzający przetwarza dane w celu wykonania Umowy podstawowej na rzecz Administratora.
   3. Przetwarzający będzie przetwarzał dane osobowe poprzez wykonywanie operacji na danych osobowych lub zestawach danych osobowych w sposób niezautomatyzowany, częściowo zautomatyzowany lub zautomatyzowany takich jak:
      1. utrwalanie;
      2. organizowanie;
      3. porządkowanie;
      4. przechowywanie;
      5. adaptowanie lub modyfikowanie;
      6. pobieranie;
      7. przeglądanie;
      8. wykorzystywanie;
      9. ujawnienie poprzez przesłanie;
      10. dopasowywanie lub łączenie;
      11. ograniczanie, usuwanie lub niszczenie.
2. RODZAJ DANYCH OSOBOWYCH
   1. Administrator powierza Przetwarzającemu do przetwarzania następujące rodzaje danych zwykłych:
      1. imię/imiona i nazwisko;
      2. firma;
      3. adres korespondencyjny albo adres zamieszkania;
      4. numer telefonu;
      5. NIP;
      6. numer rachunku bankowego;
      7. adres e-mail.
3. KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ

   Powierzone do przetwarzania dane dotyczą Klientów, stanowiących kategorię osób pełnoletnich.