Umowa powierzenia przetwarzania danych osobowych

zawarta w Katowicach, dnia ___________ pomiędzy:

iPresso S.A. z siedzibą w Katowicach, 40-514 Katowice, ul. Ceglana 4 wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Katowice Wschód w Katowicach, Wydział VIII Gospodarczy KRS pod nr 0000421253, NIP 634 267 80 33 reprezentowaną przez: 

Michał Wojciechowski – Prezes Zarządu, 

Karolina Sypuła – Wiceprezes Zarządu

zwanego dalej: „Podmiotem przetwarzającym” 

a

[Dane Firmy]

zwana dalej:  „Administratorem”

zwanymi każdą z osobna w dalszej części Umowy „Stroną”, a łącznie „Stronami”.

Zważywszy, że Podmiot przetwarzający i Administratora łączy Umowa o świadczenie usług iPresso.com, zawarta na podstawie Regulaminu świadczenia usług iPresso.com, Strony, na podstawie przepisów, dotyczących ochrony danych osobowych, zawierają niniejszą umowę, (dalej zwaną: „Umową”),  o następującej treści:

§ 1
Oświadczenia Stron

1. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: RODO), które przetwarza zgodnie z obowiązującymi przepisami prawa. Administrator oświadcza ponadto, że zawiera niniejszą Umowę w celu bezpośrednio związanym z jego działalnością gospodarczą lub zawodową.
2. Administrator powierza dane osobowe Podmiotowi przetwarzającemu, a Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych w celu i zakresie określonym niniejszą Umową.
   

§ 2
Cel, zakres, miejsce, rodzaj danych, kategorii osób, charakter przetwarzania powierzonych danych osobowych

1. Administrator powierza przetwarzanie danych osobowych w zakresie danych osobowych, które zostały przez niego zgromadzone zgodnie z obowiązującymi przepisami prawa w ramach korzystania z Usługi iPresso, udostępnionej przez Podmiot przetwarzający w systemie informatycznym strony ipresso.com. Zakres przetwarzanych danych osobowych obejmuje dane osobowe wprowadzane przez Administratora w Aplikacji iPresso, w szczególności dane kontrahentów, pracowników i współpracowników Administratora, które są niezbędne do wykonania Umowy o świadczenie usług zawartej między Stronami (m.in. imię, nazwisko, e-mail służbowy, służbowy numer telefonu).
2. Celem przetwarzania przez Podmiot przetwarzający powierzonych przez Administratora danych osobowych jest wyłącznie świadczenie usług objętych
   Umową o świadczenie usług, polegających na:
   a) udostępnianiu Administratorowi narzędzi informatycznych, zapewniających możliwość automatyzacji marketingu oraz wykonywania czynności związanych z gromadzeniem i przetwarzaniem danych;
   b) przechowywaniu wprowadzonych przez Administratora danych osobowych na zasadach określonych w Regulaminie świadczenia usług iPresso.com,
   c) aktualizacji programów, związanych z prowadzeniem księgowości w odniesieniu do zmian w bezwzględnie obowiązujących przepisach prawa polskiego,
   d) archiwizacji danych i zabezpieczenia ich przed utratą,
3. Podmiot przetwarzający zobowiązuje się nie wykorzystywać powierzonych danych osobowych w innych celach.
4. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
5. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. W szczególności podmiot przetwarzający zobowiązuje się przekazać Administratorowi informacje o stosowanych środkach zabezpieczenia danych osobowych, przypadkach naruszenia ochrony danych osobowych w ciągu dwudziestu czterech (24) godzin od zaistnienia incydentu oraz zawiadomienia o tym osób, których dane osobowe dotyczą, o ile zażąda tego Administrator.
6. Podmiot przetwarzający będzie przetwarzał dane osobowe w formie papierowej oraz przy wykorzystaniu systemów informatycznych. Przez przetwarzanie danych osobowych rozumie się wszelkie operacje wykonywanych na danych osobowych , takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
   

§ 3
Zasady przetwarzania danych osobowych

1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora.
5. Podmiot przetwarzający  oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. 
6. Podmiot przetwarzający oświadcza, że podjął skuteczne środki techniczne
   i organizacyjne, zabezpieczające dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz uszkodzeniem, zniszczeniem, utratą lub nieuzasadnioną modyfikacją. 
7. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw. 
8. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy powierzenia oraz zobowiązuje się zapewnić, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych danych osobowych, zobowiązały się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy powierzenia.
9. Podmiot przetwarzający po zakończeniu świadczenia usług związanych
   z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.

11.  Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej Umowie oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
    

§ 4
Podpowierzenie danych

1. Podmiot przetwarzający może zlecić wykonywanie określonych działań z zakresu będącego przedmiotem Umowy osobom nie będącym jego pracownikami wyłącznie po uzyskaniu uprzedniej, pisemnej zgody Administratora. Zgoda może zostać wyrażona w formie elektronicznej. W wypadku uzyskania zgody, Podmiot przetwarzający zobowiązany jest dokonać dalszego powierzenia przetwarzania danych na warunkach co najmniej tak restrykcyjnych jak te, określone w niniejszej umowie.
2. Podmiot przetwarzający zobowiązuje się, że dalsze powierzenie danych osobowych podmiotom zewnętrznym realizować będzie zgodnie z wymaganiami mających zastosowanie regulacji prawnych w obszarze ochrony danych osobowych.
   

§ 5
Odpowiedzialność Stron

1. Administrator ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według RODO.
2. Powyższe nie wyłącza odpowiedzialności Podmiotu przetwarzającego za przetwarzanie powierzonych danych niezgodnie z Umową. 
3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada na niego niniejsza Umowa, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
4. Podmiot przetwarzający nie jest odpowiedzialny za udostępnienie powierzonych danych osobowych osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem tych danych osobowych w przypadku, gdy przyczyną powyższego jest działanie bądź zaniechanie Administratora polegające w szczególności na udostępnieniu informacji autoryzujących dostęp do usługi osobom trzecim, a także każdym innym zachowaniu, dotyczącym Usługi w obszarze zarządzanym przez Administratora.

§ 6
Okres obowiązywania umowy i jej rozwiązanie  

1. Niniejsza umowa obowiązuje od momentu zawarcia przez Strony Umowy świadczenia Usług iPresso.com i zostaje zawarta na czas określony niezbędny do świadczenia Usług. Umowa obowiązuje do chwili upływu okresu abonamentowego Usługi, z zastrzeżeniem, że przedłużenie okresu abonamentowego dla Usługi, skutkuje przedłużeniem niniejszej Umowy bez konieczności składania dodatkowych oświadczeń woli przez Strony. 
2. Po ustaniu okresu przetwarzania danych wynikającego z Umowy o świadczenie usług Podmiot przetwarzający usuwa dane, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych przez Podmiot przetwarzający przez inny ustawowo określony czas.
3. Umowa niniejsza rozwiązuje się w każdym czasie, gdy Administrator usunie swoje konto z systemu iPresso.com,  na skutek czego usuwane zostają bezpowrotnie wszystkie dane, które w związku z usługą przechowywane były w systemie Podmiotu przetwarzającego, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych przez Podmiot przetwarzający przez inny ustawowo określony czas.

§ 7
Postanowienia końcowe

1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie aneksu do Umowy.
2. W zakresie nieuregulowanym niniejszą Umową, zastosowanie mają przepisy Kodeksu Cywilnego oraz inne przepisy powszechnie obowiązującego prawa polskiego.
3. W przypadku gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
4. Niniejsza Umowa powierzenia przetwarzania danych osobowych obowiązuje na czas trwania Umowy na świadczenie przez Podmiot przetwarzający na rzecz Administratora usług wskazanych w niniejszej Umowie.