Umowa powierzenia przetwarzania danych osobowych
- Strony Umowy
- Definicje
- Przedmiot powierzenia
- Zakres i charakter przetwarzania
- Czas trwania powierzenia
- Obowiązki Procesora
- Środki bezpieczeństwa
- Podpowierzenie (subprocesorzy)
- Pomoc dla Administratora
- Zgłaszanie naruszeń
- Zwrot i usunięcie danych
- Audyt i kontrola
- Odpowiedzialność
- Postanowienia końcowe
- Załącznik 1 — Wykaz danych
- Załącznik 2 — Środki bezpieczeństwa
- Załącznik 3 — Lista podprocesorów
§ 1.Strony Umowy
Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: Umowa powierzenia) zawarta zostaje między:
[NAZWA KLIENTA], z siedzibą pod adresem [ADRES], NIP: [NIP], REGON: [REGON], reprezentowanym przez [OSOBA REPREZENTUJĄCA], zwanym dalej "Administratorem",
a
MICHAŁ ŚMIGIELSKI, prowadzącym działalność gospodarczą pod firmą RZESSSKI SOFTWARE MICHAŁ ŚMIGIELSKI, z siedzibą pod adresem ul. Droga Graniczna 18, 86-300 Grudziądz, NIP: 876-243-22-74, REGON: 380196980, zwanym dalej "Procesorem",
w związku z zawarciem między stronami Umowy o świadczenie usług opieki informatycznej z dnia [DATA] (dalej: "Umowa główna").
§ 2.Definicje
Pojęcia użyte w Umowie powierzenia mają następujące znaczenie:
| RODO | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych |
| Dane osobowe | Wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO |
| Przetwarzanie | Każda operacja na Danych osobowych w rozumieniu art. 4 pkt 2 RODO |
| Administrator | Strona Umowy powierzenia decydująca o celach i sposobach Przetwarzania (Klient Zero Awarii) |
| Procesor | Strona Umowy powierzenia przetwarzająca Dane osobowe w imieniu Administratora (Zero Awarii) |
| Podprocesor | Podmiot, któremu Procesor powierza dalsze Przetwarzanie Danych osobowych za zgodą Administratora |
| Naruszenie | Naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO |
| Organ nadzorczy | Prezes Urzędu Ochrony Danych Osobowych (PUODO) |
§ 3.Przedmiot powierzenia
3.1. Administrator powierza Procesorowi Przetwarzanie Danych osobowych w zakresie i w celu określonym w niniejszej Umowie powierzenia oraz w Umowie głównej.
3.2. Procesor zobowiązuje się Przetwarzać Dane osobowe wyłącznie:
- na udokumentowane polecenie Administratora,
- w zakresie niezbędnym do wykonania Umowy głównej,
- z zachowaniem przepisów RODO oraz obowiązujących przepisów prawa polskiego.
3.3. Procesor nie wykorzystuje powierzonych Danych osobowych do własnych celów i nie przekazuje ich osobom trzecim poza zakresem określonym w Umowie powierzenia.
3.4. Szczegółowy wykaz kategorii Danych osobowych oraz osób, których dane dotyczą, zawarty jest w Załączniku nr 1.
§ 4.Zakres i charakter przetwarzania
4.1. Charakter Przetwarzania: Procesor wykonuje czynności administracyjne, techniczne i organizacyjne związane z opieką informatyczną nad systemami Administratora.
4.2. Cel Przetwarzania: Świadczenie usług opieki informatycznej zgodnie z wybranym Pakietem określonym w Umowie głównej.
4.3. Rodzaj operacji: Przeglądanie, kopiowanie, modyfikowanie, archiwizowanie, usuwanie, odtwarzanie z kopii zapasowych, zabezpieczanie, monitorowanie.
4.4. Sposób Przetwarzania: W formie elektronicznej, z wykorzystaniem systemów informatycznych Administratora oraz infrastruktury Procesora.
4.5. Miejsce Przetwarzania: Wyłącznie na terytorium Europejskiego Obszaru Gospodarczego (EOG). Przekazanie Danych poza EOG wymaga uprzedniej pisemnej zgody Administratora oraz zapewnienia odpowiednich gwarancji zgodnych z rozdziałem V RODO.
§ 5.Czas trwania powierzenia
5.1. Umowa powierzenia obowiązuje przez cały okres trwania Umowy głównej.
5.2. Postanowienia dotyczące poufności, zwrotu i usunięcia Danych oraz odpowiedzialności pozostają w mocy również po zakończeniu Umowy powierzenia.
§ 6.Obowiązki Procesora
Procesor zobowiązuje się do:
- Przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora,
- zapewnienia, aby osoby upoważnione do Przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
- wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo Przetwarzania zgodnie z art. 32 RODO (szczegółowo opisanych w Załączniku nr 2),
- nie korzystania z usług innego Podprocesora bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora (szczegóły w § 8),
- biorąc pod uwagę charakter Przetwarzania, w miarę możliwości pomagania Administratorowi w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
- uwzględniając charakter Przetwarzania i dostępne informacje, pomagania Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO,
- po zakończeniu Przetwarzania, zwrotu wszystkich Danych osobowych Administratorowi lub ich usunięcia (zgodnie z § 11),
- udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO,
- umożliwienia Administratorowi przeprowadzania audytów (zgodnie z § 12).
Procesor niezwłocznie informuje Administratora, jeżeli w jego opinii polecenie Administratora stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 7.Środki bezpieczeństwa
7.1. Procesor stosuje odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, zgodnie z art. 32 RODO.
7.2. Szczegółowy wykaz środków bezpieczeństwa stanowi Załącznik nr 2 do Umowy powierzenia.
7.3. Procesor regularnie testuje, mierzy i ocenia skuteczność stosowanych środków bezpieczeństwa.
7.4. Strony zgodnie potwierdzają, że stosowane środki bezpieczeństwa odpowiadają ryzyku związanemu z kategoriami przetwarzanych Danych osobowych i celem ich Przetwarzania.
§ 8.Podpowierzenie (Podprocesorzy)
8.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z Podprocesorów na potrzeby świadczenia usług objętych Umową główną.
8.2. Aktualna lista Podprocesorów zawarta jest w Załączniku nr 3.
8.3. O zamiarze zaangażowania nowego Podprocesora lub zastąpienia dotychczasowego, Procesor poinformuje Administratora z wyprzedzeniem co najmniej 14 dni. Administrator może w tym terminie zgłosić uzasadniony sprzeciw. W przypadku braku porozumienia Administrator ma prawo wypowiedzieć Umowę główną z zachowaniem 30-dniowego okresu wypowiedzenia.
8.4. Procesor zapewnia, że każdy Podprocesor zostaje zobowiązany do przestrzegania obowiązków równoważnych z określonymi w niniejszej Umowie powierzenia, w drodze odrębnej umowy lub innego aktu prawnego.
8.5. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania swoich Podprocesorów.
§ 9.Pomoc dla Administratora
9.1. Procesor pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązków:
- odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO),
- zapewnienia bezpieczeństwa Przetwarzania (art. 32 RODO),
- zgłaszania Naruszeń organowi nadzorczemu (art. 33 RODO),
- zawiadamiania osób, których dane dotyczą, o Naruszeniu (art. 34 RODO),
- przeprowadzania ocen skutków dla ochrony danych (art. 35 RODO),
- uprzednich konsultacji z organem nadzorczym (art. 36 RODO).
9.2. Pomoc świadczona jest w zakresie współmiernym do charakteru i celów Przetwarzania oraz informacji dostępnych Procesorowi.
§ 10.Zgłaszanie naruszeń ochrony danych
10.1. Procesor zobowiązuje się powiadomić Administratora o stwierdzeniu Naruszenia ochrony Danych osobowych niezwłocznie, nie później niż w terminie 24 godzin od jego wykrycia.
10.2. Zgłoszenie Naruszenia obejmuje:
- opis charakteru Naruszenia, w tym (w miarę możliwości) kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych osobowych objętych Naruszeniem,
- dane kontaktowe osoby udzielającej dalszych informacji,
- opis możliwych konsekwencji Naruszenia,
- opis środków zastosowanych lub proponowanych w celu zaradzenia Naruszeniu i zminimalizowania jego skutków.
10.3. Zgłoszenie kierowane jest e-mailem na adres kontaktowy Administratora wskazany w Umowie głównej, ze skutecznym potwierdzeniem odbioru. W razie potrzeby Procesor podejmuje również kontakt telefoniczny.
10.4. Procesor współpracuje z Administratorem w trakcie postępowania wyjaśniającego oraz – jeżeli jest to wymagane – w zakresie zgłoszenia Naruszenia organowi nadzorczemu lub osobom, których dane dotyczą.
§ 11.Zwrot i usunięcie danych po zakończeniu powierzenia
11.1. Po zakończeniu świadczenia usług związanych z Przetwarzaniem (rozwiązanie lub wygaśnięcie Umowy głównej), w zależności od decyzji Administratora wyrażonej w terminie 30 dni, Procesor:
- zwraca Administratorowi wszystkie Dane osobowe w formacie elektronicznym uzgodnionym przez strony, lub
- usuwa wszystkie Dane osobowe i potwierdza Administratorowi ich usunięcie protokolarnie.
11.2. W braku stanowiska Administratora w terminie 30 dni od zakończenia Umowy głównej Procesor przystępuje do usuwania Danych osobowych po uprzednim ponownym powiadomieniu Administratora.
11.3. Procesor ma prawo zachować Dane osobowe, jeżeli ich dalsze Przetwarzanie wynika z obowiązku prawnego (np. dane na fakturach przechowywane zgodnie z przepisami podatkowymi). W takim przypadku Procesor informuje Administratora o podstawie prawnej i zakresie zachowanych Danych.
11.4. Zwrot lub usunięcie Danych następuje w terminie 30 dni od decyzji Administratora.
§ 12.Audyt i kontrola
12.1. Administrator ma prawo do weryfikacji spełniania przez Procesora obowiązków wynikających z Umowy powierzenia poprzez:
- żądanie informacji i wyjaśnień,
- audyt prowadzony osobiście lub przez upoważnionego audytora.
12.2. O zamiarze przeprowadzenia audytu Administrator informuje Procesora z wyprzedzeniem co najmniej 14 dni roboczych. Audyt prowadzony jest w godzinach pracy, w sposób minimalizujący zakłócenia działalności Procesora.
12.3. Audyt prowadzony jest na koszt Administratora. Wyjątek stanowi sytuacja, w której audyt wykaże istotne naruszenie obowiązków przez Procesora — wówczas koszty audytu pokrywa Procesor.
12.4. Strony uzgadniają, że Procesor może spełnić obowiązek audytowy poprzez przekazanie aktualnych raportów z audytów zewnętrznych, certyfikatów lub innych dokumentów potwierdzających zgodność z normami bezpieczeństwa (np. ISO 27001, SOC 2), jeżeli takimi dysponuje.
12.5. Audytor jest zobowiązany do zachowania w tajemnicy wszystkich informacji uzyskanych w trakcie audytu.
§ 13.Odpowiedzialność
13.1. Strony ponoszą odpowiedzialność za szkody wyrządzone drugiej stronie naruszeniem postanowień Umowy powierzenia lub przepisów RODO na zasadach ogólnych Kodeksu cywilnego.
13.2. Łączna odpowiedzialność Procesora z tytułu naruszenia Umowy powierzenia, w tym z tytułu utraconych korzyści Administratora oraz kar nałożonych przez organ nadzorczy, ograniczona jest do wysokości dwunastokrotności miesięcznego wynagrodzenia należnego Procesorowi za Pakiet obowiązujący w dniu wystąpienia szkody, z zastrzeżeniem przypadków winy umyślnej Procesora oraz bezwzględnie obowiązujących przepisów RODO.
13.3. Procesor posiada ubezpieczenie odpowiedzialności cywilnej z tytułu prowadzonej działalności gospodarczej, obejmujące również szkody związane z naruszeniem ochrony danych osobowych.
§ 14.Postanowienia końcowe
14.1. W sprawach nieuregulowanych Umową powierzenia zastosowanie mają przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Kodeksu cywilnego.
14.2. W razie sprzeczności między postanowieniami Umowy powierzenia a Umowy głównej w zakresie Przetwarzania Danych osobowych — pierwszeństwo mają postanowienia Umowy powierzenia.
14.3. Zmiany Umowy powierzenia wymagają formy dokumentowej (e-mail) lub pisemnej pod rygorem nieważności, z zastrzeżeniem zmian Załączników, które mogą być aktualizowane przez Procesora w trybie określonym w niniejszej Umowie.
14.4. Spory wynikające z Umowy powierzenia strony będą rozstrzygać polubownie. W przypadku braku porozumienia sądem właściwym jest sąd powszechny właściwy dla siedziby Procesora.
14.5. Umowa powierzenia sporządzona została w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron, lub w formie elektronicznej z potwierdzonym odbiorem.
|
Administrator data, miejsce, podpis |
Procesor data, miejsce, podpis |
Zał. 1Wykaz danych osobowych i kategorii osób
A. Kategorie osób, których dane dotyczą
- pracownicy Administratora,
- współpracownicy Administratora (osoby na umowach cywilnoprawnych, B2B),
- klienci i kontrahenci Administratora,
- osoby kontaktujące się z Administratorem (np. przez formularz, e-mail).
B. Kategorie danych osobowych
| Kategoria osób | Zakres danych |
|---|---|
| Pracownicy i współpracownicy | imię, nazwisko, służbowy adres e-mail, stanowisko, dane kontaktowe służbowe, login do systemów, identyfikatory pracownicze |
| Klienci i kontrahenci | imię, nazwisko, firma, NIP/REGON, adres siedziby, adres e-mail, numer telefonu, dane do faktur |
| Osoby kontaktujące się | imię, nazwisko, adres e-mail, numer telefonu, treść korespondencji |
C. Dane szczególnych kategorii (art. 9 i 10 RODO)
Strony deklarują, że w standardowym zakresie współpracy nie są przetwarzane dane szczególnych kategorii (m.in. dane o stanie zdrowia, biometryczne, dotyczące wyroków skazujących). Jeżeli pojawi się taka potrzeba, wymaga to odrębnego aneksu do Umowy powierzenia.
Zał. 2Środki techniczne i organizacyjne (TOM)
Procesor wdraża i utrzymuje następujące środki bezpieczeństwa:
A. Środki techniczne
- szyfrowanie połączeń sieciowych (TLS 1.2 lub nowszy) dla całej komunikacji,
- szyfrowanie danych w spoczynku (at rest) na nośnikach przechowujących kopie zapasowe,
- uwierzytelnianie dwuskładnikowe (2FA) we wszystkich systemach mających dostęp do Danych Administratora,
- menedżer haseł z szyfrowaniem zero-knowledge do zarządzania poświadczeniami,
- regularne kopie zapasowe danych w geograficznie oddzielonej lokalizacji na terenie EOG,
- testy odtwarzania z kopii zapasowych przeprowadzane przynajmniej raz na 6 miesięcy,
- monitoring i logowanie zdarzeń w systemach administracyjnych,
- aktualizacje oprogramowania i poprawek bezpieczeństwa zgodnie z dobrymi praktykami,
- zabezpieczenia antywirusowe i firewall na stacjach pracy oraz serwerach.
B. Środki organizacyjne
- polityka bezpieczeństwa informacji wdrożona w firmie Procesora,
- zobowiązanie do zachowania poufności podpisane przez Procesora i ewentualnych współpracowników,
- zasada minimalnego dostępu (dostęp tylko do niezbędnych Danych w niezbędnym zakresie),
- procedura zgłaszania incydentów bezpieczeństwa,
- regularne przeglądy uprawnień dostępowych (co najmniej raz na 6 miesięcy),
- natychmiastowe odbieranie dostępów po zakończeniu współpracy z osobą uprawnioną,
- świadomość zagrożeń – stałe podnoszenie wiedzy w obszarze cyberbezpieczeństwa.
C. Środki zapewniające ciągłość działania
- plan ciągłości działania (Business Continuity Plan) na wypadek awarii kluczowych systemów,
- redundancja kluczowych usług u różnych dostawców infrastruktury,
- plan odtworzenia po awarii (Disaster Recovery Plan).
Zał. 3Wykaz aktualnych podprocesorów
Procesor korzysta z następujących Podprocesorów w celu świadczenia usług na rzecz Administratora:
| Podprocesor | Zakres usługi | Lokalizacja przetwarzania |
|---|---|---|
| [NAZWA DOSTAWCY HOSTINGU] | Hosting strony zeroawarii.pl oraz infrastruktury wsparcia | UE |
| [NAZWA DOSTAWCY VPS] (np. Hetzner Online GmbH) | Wirtualne serwery wykorzystywane do świadczenia usług | Niemcy / Finlandia (UE) |
| [NAZWA DOSTAWCY KOPII ZAPASOWYCH] | Przechowywanie szyfrowanych kopii zapasowych | UE |
| [NAZWA DOSTAWCY POCZTY] (np. Google Workspace) | Obsługa firmowej poczty elektronicznej Procesora | USA (EU-US Data Privacy Framework) |
| [BIURO KSIĘGOWE / KANCELARIA] | Obsługa księgowa Procesora — wyłącznie dane finansowe Administratora | Polska (UE) |
Aktualizacja listy Podprocesorów następuje w trybie określonym w § 8 Umowy powierzenia. Bieżąca wersja Załącznika dostępna jest pod adresem zeroawarii.pl/umowa-powierzenia.