Umowa powierzenia przetwarzania danych osobowych

Niniejsza umowa powierzenia przetwarzania danych osobowych (zwana dalej: „Umową Powierzenia Przetwarzania”) została zawarta dnia [data] r. w [miejscowość], pomiędzy:

Krzysztofem Fudała, prowadzącym działalność gospodarczą pod firmą JMK Krzysztof Fudała z siedzibą w Wódce pod adresem: ul. Pszeniczna 49, 92-701 Łódź, posiadającym numer NIP: 727 165 10 84, oraz REGON: 100134677,

zwanym dalej: „Administratorem”

a

[firma, forma prawna], z siedzibą w [miejscowość], działającą pod adresem: [adres], wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy [dane sądu rejonowego], Wydział [numer wydziału] Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: [numer KRS], o numerze NIP: [numer NIP], o numerze REGON: [numer REGON], o kapitale zakładowym: [wysokość kapitału zakładowego], wpłaconym [w całości], reprezentowaną przez [osoby upoważnione do reprezentacji]

zwaną dalej: „Podmiotem Przetwarzającym”

zwanymi dalej pojedynczo „Stroną”, łącznie zaś „Stronami”.

Strony zawarły w dniu [data] r. umowę [opis umowy] (zwaną dalej: „Umową”), wykonanie której wymaga dostępu Podmiotu Przetwarzającego do Danych Osobowych i ich Przetwarzania. Umowa Powierzenia Przetwarzania określa obowiązki Stron w zakresie Przetwarzania Danych Osobowych.

Na potrzeby Umowy Powierzenia Przetwarzania pojęcia:

1. Dane Osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, o celach i sposobie wykorzystania których decyduje Administrator;
2. Kraje EOG – oznaczają państwa członkowskie Unii Europejskiej, Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej i inne kraje będące sygnatariuszami porozumienia o Europejskim Obszarze Gospodarczym oraz Szwajcarię;
3. Osoba, której dane dotyczą – ma znaczenie nadane przepisami RODO;
4. Organizacja międzynarodowa – ma znaczenie nadane przepisami RODO;
5. Przetwarzanie – ma znaczenie nadane przepisami RODO;
6. Przepisy Ochrony Danych Osobowych – oznaczają przepisy prawa powszechnie obowiązującego w Polsce dotyczącego ochrony Danych Osobowych, w tym przepisy RODO, jak również wszelkie inne przepisy prawa dotyczące ochrony danych, bezpieczeństwa danych i prywatności, mające zastosowanie do Administratora lub Podmiotu Przetwarzającego w związku z postanowieniami Umowy;
7. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
8. Standardowe Klauzule Umowne – standardowe klauzule umowne dotyczące przekazywania danych osobowych przez Administratora podmiotom przetwarzającym dane mającym siedzibę w krajach innych niż Kraje EOG w brzmieniu określonym w załączniku do decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.

1. Administrator jest administratorem Danych Osobowych, a Podmiot Przetwarzający podmiotem przetwarzającym w rozumieniu RODO.
2. Administrator oświadcza, że Dane Osobowe powierzane Podmiotowi Przetwarzającemu są przez niego Przetwarzane zgodnie z prawem.
3. Podmiot Przetwarzający będzie Przetwarzał Dane Osobowe wyłącznie w imieniu Administratora i zgodnie z postanowieniami Umowy Powierzenia Przetwarzania, w tym Załącznikiem do Umowy Powierzenia Przetwarzania, oraz zgodnie z Przepisami Ochrony Danych Osobowych, w celu i na czas niezbędny do wykonania Umowy.

1. Podmiot Przetwarzający Przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora.
2. Podmiot Przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane przez Administratora polecenie stanowi naruszenie Przepisów Ochrony Danych Osobowych, w szczególności RODO, przedstawiając jednocześnie szczegółowe uzasadnienie takiej oceny.

1. Podmiot Przetwarzający dopuści do Przetwarzania Danych Osobowych jedynie odpowiednio upoważnione osoby.
2. Podmiot Przetwarzający zapewni zachowanie najwyższej poufności Danych Osobowych, w tym zapewni zachowanie tajemnicy przez wszystkie osoby, które upoważni do Przetwarzania Danych Osobowych.
3. Podmiot Przetwarzający dopuści do Przetwarzania Danych Osobowych jedynie osoby, które odbyły odpowiednie szkolenia dające gwarancję znajomości Przepisów Ochrony Danych Osobowych, w tym obowiązków w zakresie Danych Osobowych, do Przetwarzania których zostały dopuszczone.

1. Podmiot Przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo powierzonych Danych Osobowych, uwzględniając zakres zastosowania i sposoby ochrony, o których mowa w art. 32 RODO.
2. Podmiot Przetwarzający w szczególności zabezpiecza Dane Osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem, utratą, uszkodzeniem lub zniszczeniem. Systemy i procedury używane przez Podmiot Przetwarzający zapewniają możliwość odtworzenia i udostępnienia Administratorowi listy wszystkich działań podjętych przez Podmiot Przetwarzający w związku z Danymi Osobowymi oraz ich Przetwarzaniem.
3. Podmiot Przetwarzający zapewni, aby powierzone do Przetwarzania Dane Osobowe nie były używane, zmieniane, przesyłane, udostępniane, kopiowane lub Przetwarzane w żaden inny sposób niż w celu wykonania zobowiązań wynikających z Umowy lub Umowy Powierzenia Przetwarzania.

1. Administratorowi przysługuje prawo kontroli czy Podmiot Przetwarzający zabezpiecza i Przetwarza Dane Osobowe z wykorzystaniem środków organizacyjnych i technicznych, które zapewniają zgodność Przetwarzania Danych Osobowych z Umową Powierzenia Przetwarzania i Przepisami Ochrony Danych Osobowych, w szczególności RODO. Zakresem kontroli Administratora mogą zostać objęte w szczególności systemy i procedury wdrożone przez Podmiot Przetwarzający.
2. Kontrole przeprowadzane przez Administratora mogą odbywać się nie częściej niż [należy określić]. Kontrole może przeprowadzić Administrator lub upoważniony przez niego audytor.
3. W każdym przypadku kontroli Administrator powiadamia Podmiot Przetwarzający o zamiarze przeprowadzania kontroli z wyprzedzeniem, nie krótszym niż [należy określić]. Podmiot Przetwarzający zobowiązany jest umożliwić przeprowadzenie kontroli, w szczególności poprzez udostępnienie właściwej dokumentacji i pomieszczeń w zakresie niezbędnym oraz udzielić wszelkich niezbędnych informacji dotyczących realizacji postanowień Umowy Powierzenia Przetwarzania, z zastrzeżeniem obowiązków Podmiotu Przetwarzającego wynikających z przepisów prawa lub zawartych przez niego umów oraz tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego.
4. Administrator realizować będzie prawo kontroli w godzinach pracy Podmiotu Przetwarzającego, w sposób nieutrudniający pracy Podmiotu Przetwarzającego.
5. Podmiot Przetwarzający usunie wszelkie stwierdzone przez Administratora uchybienia w terminie wskazanym przez Administratora, nie dłuższym niż [należy określić].
6. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach art. 28 RODO.
7. Podmiot Przetwarzający będzie współpracować, w tym odpowiadać wyczerpująco i niezwłocznie na zapytania organu nadzorczego w zakresie w jakim pytania skierowane do Administratora mogą dotyczyć Danych Osobowych powierzonych Podmiotowi Przetwarzającemu przez Administratora.

1. Podmiot Przetwarzający niezwłocznie informuje Administratora o przypadkach naruszenia ochrony Danych Osobowych, nie później niż w ciągu [należy określić] godzin od stwierdzenia zaistnienia takiego naruszenia lub podejrzenia takiego naruszenia.
2. Podmiot Przetwarzający pomaga Administratorowi w wywiązywaniu się z obowiązku zgłoszenia naruszenia organowi nadzorczemu i zawiadomienia Osoby, której dane dotyczą o naruszeniu, w szczególności poprzez przedstawienie Administratorowi szczegółowych informacji dotyczących naruszenia lub podejrzenia naruszenia oraz ścisłą współpracę z Administratorem.
3. Podmiot Przetwarzający nie będzie przekazywał jakimkolwiek pomiotom, z wyłączeniem Administratora, informacji dotyczących naruszenia lub podejrzenia naruszania, bez uprzedniej pisemnej zgody Administratora i po ustaleniu treści takiej informacji z Administratorem.

1. Podmiot Przetwarzający w miarę możliwości pomaga Administratorowi
   wywiązywać się z obowiązku odpowiadania na żądania Osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w przepisach Rozdziału III RODO oraz z wszelkich innych obowiązków Administratora określonych w RODO.
2. W razie otrzymania żądania od jakiejkolwiek Osoby, której dane dotyczą, a której Dane Osobowe Przetwarza na podstawie Umowy Powierzenia Przetwarzania, Podmiot Przetwarzający niezwłocznie przekaże takie żądanie Administratorowi.
3. Podmiot Przetwarzający nie będzie przekazywał jakiejkolwiek Osobie, której dane dotyczą, a której Dane Osobowe Przetwarza na podstawie Umowy Powierzenia Przetwarzania, jakichkolwiek informacji, bez uprzedniej pisemnej zgody Administratora i po ustaleniu treści takiej informacji z Administratorem.

W przypadku gdy Administrator będzie zobowiązany do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, zgodnie z przepisami art. 35 RODO, Podmiot Przetwarzający udzieli Administratorowi wszelkiej pomocy, aby Administrator mógł wywiązać się z takiego obowiązku.

1. Podmiot Przetwarzający nie będzie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej zgody Administratora wyrażonej w formie pisemnej, w tym w formie dokumentowej w rozumieniu przepisów prawa cywilnego, przy czym Przetwarzanie Danych Osobowych musi pozostawać w granicach, celu i zakresie przetwarzania danych określonych w Umowie Powierzenia Przetwarzania[, z zastrzeżeniem postanowień §10 ust. 2 i 3 poniżej].
2. Zgoda na korzystanie przez Podmiot Przetwarzający z usług innego podmiotu przetwarzającego może być udzielona tylko jeśli na ten inny podmiot przetwarzający nałożone zostaną te same obowiązki ochrony danych osobowych, które są ujęte w niniejszej Umowie Powierzenia Przetwarzania. W każdym jednak przypadku Podmiot Przetwarzający zachowuje pełną odpowiedzialność wobec Administratora za wypełnienie obowiązków przez taki inny podmiot przetwarzający.
3. [Inne podmioty przetwarzające, na korzystanie z usług których Administrator wyraża zgodę, wskazane zostały w Załączniku.]

1. Dane Osobowe będą Przetwarzane wyłącznie w Krajach EOG.
2. Przekazywanie Danych Osobowych poza Kraje EOG jest dopuszczalne wyłącznie za uprzednią zgodą Administratora wyrażoną na piśmie, w tym w formie dokumentowej w rozumieniu przepisów prawa cywilnego.
3. W przypadku wyrażenia zgody przez Administratora na przekazywanie Danych Osobowych poza Kraje EOG lub do Organizacji międzynarodowej, przekazanie odbywać się będzie na podstawach wymienionych w Rozdziale V RODO, a w szczególności:
   1. na podstawie Standardowych Klauzul Umownych, przy czym na żądanie Administratora, Standardowe Klauzule Umowne zostaną zastąpione i Strony zawrą nowe standardowe klauzule ochrony danych przyjęte zgodnie z przepisami art. 46 ust. 2 lit. c) lub d) RODO. W razie rozbieżności pomiędzy Standardowymi Klauzulami Umownymi a Umową Powierzenia Przetwarzania, przeważać będą postanowienia Standardowych Klauzul Umownych;
   2. w przypadku przekazywania Danych Osobowych do kraju, wobec którego Komisja Europejska wydała decyzję stwierdzającą, że dany kraj zapewnia odpowiedni stopień ochrony, na podstawie przepisu art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych albo przepisu art. 45 ust. 3 RODO, nie będą zawierane Standardowe Klauzule Umowne, a Przetwarzanie Danych Osobowych odbywać się będzie na podstawie Umowy Powierzenia Danych. W razie uchylenia lub zawieszenia przez Komisję Europejską swojej decyzji, ze skutkiem natychmiastowym obowiązują postanowienia ust. 3 lit. a) powyżej.

1. Umowa Powierzenia Przetwarzania wchodzi w życie w [dacie zawarcia Umowy]/[data].
2. Umowa Powierzenia Przetwarzania ulega rozwiązaniu w dacie rozwiązania Umowy, bez konieczności składania przez którąkolwiek ze Stron jakiegokolwiek oświadczenia. Jednak Podmiot Przetwarzający pozostaje zobowiązanym z postanowień Umowy Powierzenia Przetwarzania tak długo jak długo Przetwarza Dane Osobowe w imieniu Administratora.
3. Umowa Powierzenia Przetwarzania może zostać rozwiązana w trakcie obowiązywania Umowy, za [należy określić okres wypowiedzenia] wypowiedzeniem złożonym przez którąkolwiek ze Stron na piśmie.
4. Umowa Powierzenia Przetwarzania może zostać rozwiązana przez Administratora, w  formie pisemnej, w trybie natychmiastowym, z ważnych powodów, w przypadku poważnego naruszenia przez Podmiot Przetwarzający postanowień Umowy Powierzenia Przetwarzania, w szczególności [należy wskazać].

1. Po ustaniu obowiązywania Umowy Powierzenia Przetwarzania Podmiot Przetwarzający, w zależności od wyboru Administratora, nieodwracalnie usunie wszelkie Dane Osobowe znajdujące się na wszelkich posiadanych przez Podmiot Przetwarzający nośnikach, ich kopiach oraz w systemach komputerowych (informatycznych) lub zwróci Dane Osobowe Administratorowi w wybranym przez niego formacie oraz usunie wszelkie ich istniejące kopie, chyba, że powszechnie obowiązujące przepisy prawa nakazują przechowywanie Danych Osobowych.
2. Przez usunięcie Danych Osobowych rozumieć należy fizyczne zniszczenie nośników Danych Osobowych, a w przypadku Danych Osobowych przechowywanych w systemach komputerowych (informatycznych) – usunięcie Danych Osobowych lub taką ich modyfikację, która w sposób nieodwracalny uniemożliwi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
3. Administrator dokona wyboru, o którym mowa w postanowieniu §13 ust. 1 powyżej w terminie [należy określić] dni od dnia ustania obowiązywania Umowy Powierzenia Przetwarzania i poinformuje o tym Podmiot Przetwarzający na piśmie lub za pośrednictwem poczty elektronicznej. W braku takiej informacji od Administratora, Podmiot Przetwarzający wezwie Administratora niezwłocznie, na piśmie lub za pośrednictwem poczty elektronicznej, do dokonania wyboru. W przypadku gdy Administrator nie poinformuje Podmiotu Przetwarzającego o swoim wyborze, pomimo wezwania dokonanego przez Podmiot Przetwarzający, Podmiot Przetwarzający usunie Dane Osobowe w terminie [należy określić] dni od daty wezwania Administratora do dokonania wyboru.
4. W okresie od dnia ustania obowiązywania Umowy Powierzenia Przetwarzania do dnia usunięcia Danych Osobowych lub ich zwrotu Administratorowi, Podmiot Przetwarzający jest uprawniony jedynie do przechowywania Danych Osobowych.
5. Usunięcie Danych Osobowych, o którym mowa w powyższych postanowieniach §13 Umowy Powierzenia Przetwarzania, zostanie potwierdzone pisemnym oświadczeniem Podmiotu Przetwarzającego, przekazanym Administratorowi niezwłocznie po usunięciu Danych Osobowych.

Doręczenia związane z wykonywaniem Umowy Powierzenia Przetwarzania będą uważane będą za właściwie dokonane w przypadku doręczenia na następujące adresy Strony (odpowiednio):

1. dla Administratora:

• adres: [do wskazania]
• email: [do wskazania]
• do rąk: [do wskazania]

2. dla Podmiotu Przetwarzającego:

• adres: [do wskazania]
• email: [do wskazania]
• do rąk: [do wskazania]

1. Podmiot Przetwarzający jest zobowiązany do niezwłocznego informowania Administratora o wszelkich działaniach sprawdzających i środkach przedsięwziętych przez właściwe władze w stosunku do Danych Osobowych powierzonych do Przetwarzania.
2. Podmiot Przetwarzający jest zobowiązany niezwłocznie poinformować Administratora o wszelkich przypadkach, gdy Podmiot Przetwarzający nie może wypełnić lub przewiduje, że nie będzie mógł wypełnić zobowiązań wynikających z Umowy Powierzenia Przetwarzania.
3. Stronom nie przysługuje wynagrodzenie za wykonanie jakichkolwiek zobowiązań na podstawie Umowy Powierzenia Przetwarzania odrębne od wynagrodzenia przewidzianego w postanowieniach Umowy.
4. Umowa Powierzenia Przetwarzania stanowi całość porozumienia pomiędzy Administratorem a Podmiotem Przetwarzającym w zakresie Przetwarzania Danych Osobowych w celu wykonania Umowy Powierzenia Przetwarzania oraz zastępuje wszelkie poprzednie umowy pomiędzy Stronami w tym zakresie. W przypadku rozbieżności pomiędzy postanowieniami Umowy Powierzenia Przetwarzania a jakiejkolwiek innej umowy pomiędzy Stronami rozstrzygające znaczenie mają postanowienia Umowy Powierzenia Przetwarzania, z zastrzeżeniem odmiennych postanowień Umowy Powierzenia Przetwarzania.
5. W przypadku nieważności, niezgodności z prawem lub niewykonalności jakiegokolwiek postanowienia Umowy Powierzenia Przetwarzania w jakimkolwiek zakresie, nie wpłynie to na ważność, zgodność z prawem oraz wykonalność pozostałych postanowień Umowy Powierzenia Przetwarzania w żaden sposób ani nie ograniczy ich mocy, zaś jeżeli postanowienie, o którym mowa, będzie częściowo ważne po wykreśleniu części zapisu, postanowienie takie będzie obowiązywać po dokonaniu wykreśleń koniecznych do zachowania jego ważności i skuteczności.
6. Jeżeli jakiekolwiek postanowienie Umowy Powierzenia Przetwarzania stanie się niezgodne z prawem, nieważne lub niewykonalne w jakiejkolwiek jurysdykcji, nie wpłynie to na oraz nie ograniczy:
   1. zgodności z prawem, ważności lub wykonalności w tej jurysdykcji jakichkolwiek innych postanowień Umowy Powierzenia Przetwarzania; oraz
   2. zgodności z prawem, ważności lub wykonalności w jakiejkolwiek innej jurysdykcji danego postanowienia lub jakichkolwiek innych postanowień Umowy Powierzenia Przetwarzania.
7. Zmiany i uzupełnienia Umowy Powierzenia Przetwarzania wymagają formy pisemnej i podpisu obu Stron, pod rygorem nieważności.
8. Załącznik do Umowy Powierzenia Przetwarzania stanowią jej integralną część.
9. Wszelkie ograniczenia odpowiedzialności Stron wynikające z Umowy nie mają wpływu na odpowiedzialność Stron wynikającą z niewykonania lub nienależytego wykonania niniejszej Umowy Powierzenia Przetwarzania.
10. Umowa Powierzenia Przetwarzania podlega prawu polskiemu i zgodnie z nim będzie interpretowana. W sprawach nieuregulowanych Umową obowiązują odpowiednie Przepisy Ochrony Danych Osobowych.
11. Wszelkie spory wynikające z Umowy Powierzenia Przetwarzania lub z nią związane będą rozstrzygane przez sąd właściwy dla siedziby Administratora.
12. Umowa Powierzenia Przetwarzania została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.

Za Administratora

[imię i nazwisko osoby reprezentującej]

Za Podmiot Przetwarzający

[imię i nazwisko osoby reprezentującej]

Niniejszy Załącznik zawiera szczegółowe informacje dotyczące Przetwarzania Danych Osobowych:

1. Czynności Przetwarzania

Przekazane Dane Osobowe będą podlegały następującym czynnościom Przetwarzania:

[należy określić]

2. Osoby, których dane dotyczą

[należy określić, np. pracownicy, kandydaci do pracy, członkowie rodzin pracowników, osoby kontaktowe kontrahentów (B2B), klienci]

3. Kategorie Danych Osobowych

[należy określić – przykłady poniżej]