UMOWA POWIERZENIA DANYCH OSOBOWYCH
Zważywszy, że Strony zawarły Regulamin świadczenia usług drogą elektroniczną znajdujący się pod adresem ____ (dalej: „Umowa główna”) w przedmiocie świadczenia usług pośrednictwa w poszukiwaniu kandydatów do pracy, której wykonanie wymaga powierzenia Podmiotowi przetwarzającemu przez Administratora przetwarzania danych osobowych, Strony zawierają niniejszą umowę (dalej: „Umowa powierzenia”) o następującej treści:
§ 1
Postanowienia ogólne
- Jeżeli pomiędzy Administratorem Danych Osobowych a Podmiotem przetwarzającym nie została zawarta odrębna umowa powierzenia przetwarzania danych osobowych, niniejsza Umowa stanowią łącznie umowę powierzenia przetwarzania danych osobowych, zawartą pomiędzy Administratorem Danych Osobowych a Podmiotem przetwarzającym, regulując w sposób wyczerpujący jej postanowienia.
- Niniejsza Umowa została sporządzona w oparciu o przepisy:
- ustawy — Kodeks cywilny z dnia 23 kwietnia 1964 r. (t. j. Dz. U. 2018 poz. 1025, z późn. zm. — dalej: k.c.);
- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L z dnia 4 maja 2016 r.);
- ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000, z późn. zm. — dalej: u.o.d.o.).
§2
Słowniczek
Użyte w niniejszym Regulaminie pojęcia oznaczają:
- Administrator Danych Osobowych — przez „Administratora Danych Osobowych” należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych — i z którym Podmiot przetwarzający zawarł Umowę główną;
- Podmiot przetwarzający — przez „Podmiot przetwarzający” należy rozumieć hr spółka z ograniczoną odpowiedzialnością z siedzibą w Józefowie, przy ul. Piaskowa 52, kod pocztowy: 05-420 Józefów, wpisanej do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIV Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000743747, posiadającej NIP 5322078890, REGON: 380949563, która przetwarza dane osobowe w imieniu i na polecenie Administratora Danych osobowych;
- Strony — Administrator Danych Osobowych oraz Podmiot przetwarzający.
§3
Powierzenie przetwarzania danych osobowych
- Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „Ogólne rozporządzenie o ochronie danych” lub „RODO”).
- Administrator oświadcza, że jest administratorem danych powierzanych Podmiotowi przetwarzającemu na mocy Umowy powierzenia.
- Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 4.
§4
Przedmiot, charakter, cel i czas przetwarzania danych
- Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie na udokumentowane polecenie Administratora oraz wyłącznie w celu wykonywania Umowy głównej.
- Przedmiotem przetwarzania są dane osobowe niezbędne do wykonania Umowy głównej, w szczególności dane osobowe dotyczące osób zainteresowanych rekrutacją w branży farmaceutycznej (dalej: „powierzone dane osobowe”).
- Dane osobowe powierzane przez Administratora na podstawie Umowy powierzenia nie stanowią szczególnych kategorii danych ani danych dotyczących wyroków skazujących i czynów zabronionych, o których mowa odpowiednio w artykułach 9 i 10 RODO.
- Przetwarzanie powierzonych danych osobowych będzie odbywało się przy wykorzystaniu systemów informatycznych (w sposób zautomatyzowany) oraz w formie papierowej (w sposób niezautomatyzowany).
§5
Obowiązki, prawa i oświadczenia Podmiotu przetwarzającego
- Podmiot przetwarzający zobowiązuje się do zabezpieczenia powierzonych danych osobowych poprzez wdrożenie, jeszcze przed przystąpieniem do przetwarzania oraz utrzymywanie, środków technicznych i organizacyjnych odpowiednich do charakteru, zakresu, kontekstu i celu przetwarzania powierzonych danych, w tym środków wymaganych przez odpowiednie przepisy powszechnie obowiązującego prawa, by przetwarzanie powierzonych danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych.
- Podmiot przetwarzający zobowiązuje się zapewnić, aby osoby upoważnione do przetwarzania danych osobowych powierzonych na podstawie Umowy powierzenia zobowiązane były do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
- Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia, w miarę możliwości, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązku odpowiedzi na żądania osób, których dane dotyczą, w zakresie wykonywania przez te osoby praw wynikających z przepisów prawa powszechnie obowiązującego, w tym w rozdziale III Ogólnego rozporządzenia o ochronie danych.
- Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora:
a. każdym naruszeniu ochrony powierzonych danych osobowych, przy czym przez „naruszenie ochrony powierzonych danych” należy rozumieć każde przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do powierzonych danych osobowych. Zawiadomienia, o którym mowa w niniejszym ustępie 4 lit. a należy dokonać najpóźniej w ciągu 24 godzin od wykrycia naruszenia ochrony powierzonych danych;
b. każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie, do czasu otrzymania opinii Administratora. Zawiadomienia, o którym mowa w niniejszym ustępie 4 lit. b należy dokonać najpóźniej w ciągu 24 godzin od otrzymania żądania;
c. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia;
d. przeprowadzeniu przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych. - Podmiot przetwarzający zobowiązuje się, w zakresie uzasadnionym przedmiotem Umowy powierzenia i dostępnymi mu informacjami, pomagać Administratorowi w wywiązywaniu się przez niego z obowiązków wynikających z przepisów prawa powszechnie obowiązującego, w tym z art. 32-36 Ogólnego rozporządzenia o ochronie danych, i dotyczących bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu i osobie, której dane te dotyczą, oceny skutków dla ochrony danych i związanych z tą oceną konsultacji z organem nadzorczym.Podmiot przetwarzający zobowiązuje się udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez Administratora ciążących na nim obowiązków określonych w przepisach prawa powszechnie obowiązującego, w tym umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich.
- Podmiot przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych Administratora, o których mowa w paragrafie 4 ust. 1 i 2 Umowy powierzenia, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
§6
Obowiązki i prawa Administratora
- Administrator ma prawo do kontroli sposobu wykonywania Umowy powierzenia poprzez przeprowadzenie zapowiedzianych na 7 dni kalendarzowych wcześniej doraźnych kontroli dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający oraz żądania składania przez niego pisemnych wyjaśnień.
- Na zakończenie kontroli, o których mowa w ust. 1, przedstawiciel Administratora sporządza protokół w 2 egzemplarzach, które podpisują przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od daty jego podpisania przez Strony.
§7
Dalsze powierzenie danych osobowych
- Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego (dalej: „podpowierzenie”). Wykaz aktualnych podmiotów znajduje się w Załączniku nr 1 do Umowy.
- Podmiot przetwarzający każdorazowo zapewnia, by podmiot, wobec którego dokonuje podpowierzenia, zapewniał wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ogólnego rozporządzenia o ochronie danych i chroniło prawa osób, których dane dotyczą.
- Podmiot przetwarzający zawiadomi Administratora o zamiarze podpowierzenia przetwarzania danych osobowych lub o wszelkich zmianach dotyczących podmiotów przetwarzających na podstawie podpowierzenia. Administratorowi przysługuje prawo wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni roboczych od otrzymania zawiadomienia, o którym mowa w zdaniu poprzedzającym. W czasie biegu terminu do wyrażenia sprzeciwu Podmiot przetwarzający nie może dokonać podpowierzenia. Zgłoszenie sprzeciwu uniemożliwia dokonanie podpowierzenia przez Podmiot przetwarzający.
- W przypadku dokonania przez Podmiot przetwarzający podpowierzenia Podmiot przetwarzający nałoży w stosownej umowie na dany kolejny podmiot przetwarzający analogiczne obowiązki ochrony danych jak w Umowie powierzenia.
§8
Poufność
Strony zobowiązują się wykorzystać materiały, dane oraz wszelkie informacje pozyskane od drugiej Strony w celu wykonania Umowy powierzenia wyłącznie do jej realizacji oraz zachować te materiały, dane oraz informacje w tajemnicy, zarówno w czasie trwania Umowy powierzenia, jak i po jej rozwiązaniu.
§9
Czas obowiązywania Umowy i warunki wypowiedzenia
Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy głównej.
§10
Postanowienia końcowe
- W przypadku rozwiązania Umowy powierzenia, Podmiot przetwarzający, niezwłocznie, nie później niż w terminie 5 dni roboczych, zobowiązuje się zwrócić Administratorowi oraz usunąć z własnych nośników wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji. Powyższe nie dotyczy tych danych osobowych, których przechowywanie przez Podmiot przetwarzający, zgodnie z przepisami powszechnie obowiązującego prawa, wymagane jest przez czas dłuższy niż okres obowiązywania Umowy powierzenia.
- W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie przepisy prawa polskiego.