Umowa powierzenia przetwarzania danych osobowych

 

UMOWA POWIERZENIA DANYCH OSOBOWYCH

 

Zważywszy, że Strony zawarły Regulamin świadczenia usług drogą elektroniczną znajdujący się pod adresem ____ (dalej: „Umowa główna”) w przedmiocie świadczenia usług pośrednictwa w poszukiwaniu kandydatów do pracy, której wykonanie wymaga powierzenia Podmiotowi przetwarzającemu przez Administratora przetwarzania danych osobowych, Strony zawierają niniejszą umowę (dalej: „Umowa powierzenia”) o następującej treści:

§ 1

Postanowienia ogólne

  1. Jeżeli pomiędzy Administratorem Danych Osobowych a Podmiotem przetwarzającym nie została zawarta odrębna umowa powierzenia przetwarzania danych osobowych, niniejsza Umowa stanowią łącznie umowę powierzenia przetwarzania danych osobowych, zawartą pomiędzy Administratorem Danych Osobowych a Podmiotem przetwarzającym, regulując w sposób wyczerpujący jej postanowienia.
  2. Niniejsza Umowa została sporządzona w oparciu o przepisy:
  3. ustawy — Kodeks cywilny z dnia 23 kwietnia 1964 r. (t. j. Dz. U. 2018 poz. 1025, z późn. zm. — dalej: k.c.);
  4. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.);
  5. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000, z późn. zm. — dalej: u.o.d.o.).

 §2

Słowniczek

Użyte w niniejszym Regulaminie pojęcia oznaczają:

  • Administrator Danych Osobowych — przez „Administratora Danych Osobowych” należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych — i z którym Podmiot przetwarzający zawarł Umowę główną;
  • Podmiot przetwarzający — przez „Podmiot przetwarzający” należy rozumieć hr spółka z ograniczoną odpowiedzialnością z siedzibą w Józefowie, przy ul. Piaskowa 52, kod pocztowy: 05-420 Józefów, wpisanej do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000743747, posiadającej NIP 5322078890, REGON: 380949563, która przetwarza dane osobowe w imieniu i na polecenie Administratora Danych osobowych;
  • Strony — Administrator Danych Osobowych oraz Podmiot przetwarzający.

 §3

Powierzenie przetwarzania danych osobowych

 

  1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Ogólne rozporządzenie o ochronie danych” lub „RODO”).
  2. Administrator oświadcza, że jest administratorem danych powierzanych Podmiotowi przetwarzającemu na mocy Umowy powierzenia.
  3. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 4.

 §4

Przedmiot, charakter, cel i czas przetwarzania danych

 

  1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu wykonywania Umowy głównej.
  2. Przedmiotem przetwarzania są dane osobowe niezbędne do wykonania Umowy głównej, w szczególności dane osobowe dotyczące osób zainteresowanych rekrutacją w branży farmaceutycznej (dalej: „powierzone dane osobowe”).
  3. Dane osobowe powierzane przez Administratora na podstawie Umowy powierzenia nie stanowią szczególnych kategorii danych ani danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa odpowiednio w artykułach 9 i 10 RODO.
  4. Przetwarzanie powierzonych danych osobowych będzie odbywało się przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany) oraz w formie papierowej (w sposób niezautomatyzowany).

 §5

Obowiązki, prawa i oświadczenia Podmiotu przetwarzającego

 

  1. Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie, jeszcze przed przystąpieniem do przetwarzania oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, by przetwarzanie powierzonych danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych.
  2. Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Umowy powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  3. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III Ogólnego rozporządzenia o ochronie danych.
  4. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora:
    a. każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym ustępie 4 lit. a należy dokonać najpóźniej w ciągu 24 godzin od wykrycia naruszenia ochrony powierzonych danych;
    b. każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym ustępie 4 lit. b należy dokonać najpóźniej w ciągu 24 godzin od otrzymania żądania;
    c. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia;
    d. przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych.
  5. Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia i dostępnymi mu informacjami, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z przepisów prawa powszechnie obowiązującego, w tym z art. 32-36 Ogólnego rozporządzenia o ochronie danych, i dotyczących bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, której dane te dotyczą, oceny skutków dla ochrony danych i związanych z tą oceną konsultacji z organem nadzorczym.Podmiot przetwarzający zobowiązuje się udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez Administratora ciążących na nim obowiązków określonych w przepisach prawa powszechnie obowiązującego, w tym umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich.
  6. Podmiot przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych Administratora, o których mowa w paragrafie 4 ust. 1 i 2 Umowy powierzenia, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

 §6

Obowiązki i prawa Administratora

 

  1. Administrator ma prawo do kontroli sposobu wykonywania Umowy powierzenia poprzez przeprowadzenie zapowiedzianych na 7 dni kalendarzowych wcześniej doraźnych kontroli dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający oraz żądania składania przez niego pisemnych wyjaśnień.
  2. Na zakończenie kontroli, o których mowa w ust. 1, przedstawiciel Administratora sporządza protokół w 2 egzemplarzach, które podpisują przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od daty jego podpisania przez Strony.

 §7

Dalsze powierzenie danych osobowych

 

  1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego (dalej: „podpowierzenie”). Wykaz aktualnych podmiotów znajduje się w Załączniku nr 1 do Umowy.
  2. Podmiot przetwarzający każdorazowo zapewnia, by podmiot, wobec którego dokonuje podpowierzenia, zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ogólnego rozporządzenia o ochronie danych i chroniło prawa osób, których dane dotyczą.
  3. Podmiot przetwarzający zawiadomi Administratora o zamiarze podpowierzenia przetwarzania danych osobowych lub o wszelkich zmianach dotyczących podmiotów przetwarzających na podstawie podpowierzenia. Administratorowi przysługuje prawo wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni roboczych od otrzymania zawiadomienia, o którym mowa w zdaniu poprzedzającym. W czasie biegu terminu do wyrażenia sprzeciwu Podmiot przetwarzający nie może dokonać podpowierzenia. Zgłoszenie sprzeciwu uniemożliwia dokonanie podpowierzenia przez Podmiot przetwarzający.
  4. W przypadku dokonania przez Podmiot przetwarzający podpowierzenia Podmiot przetwarzający nałoży w stosownej umowie na dany kolejny podmiot przetwarzający analogiczne obowiązki ochrony danych jak w Umowie powierzenia.

§8

Poufność

Strony zobowiązują się wykorzystać materiały, dane oraz wszelkie informacje pozyskane od drugiej Strony w celu wykonania Umowy powierzenia wyłącznie do jej realizacji oraz zachować te materiały, dane oraz informacje w tajemnicy, zarówno w czasie trwania Umowy powierzenia, jak i po jej rozwiązaniu.

§9

Czas obowiązywania Umowy i warunki wypowiedzenia

 

Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy głównej.

 §10

Postanowienia końcowe

 

  1. W przypadku rozwiązania Umowy powierzenia, Podmiot przetwarzający, niezwłocznie, nie później niż w terminie 5 dni roboczych, zobowiązuje się zwrócić Administratorowi oraz usunąć z własnych nośników wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji. Powyższe nie dotyczy tych danych osobowych, których przechowywanie przez Podmiot przetwarzający, zgodnie z przepisami powszechnie obowiązującego prawa, wymagane jest przez czas dłuższy niż okres obowiązywania Umowy powierzenia.
  2. W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie przepisy prawa polskiego.