UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu 19.05.2023 r. w Poznaniu pomiędzy:
Webelite Bartłomiej Nowak zamieszkały w Józefa Dietla 50,
31-093 Kraków, Małopolskie , oraz adres poczty elektronicznej:
biuro@webelite.com.pl
zwaną/ym dalej „ADMINISTRATOREM”
a
spółką LH.PL SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ z siedzibą w Poznaniu (adres siedziby: ul. ks.
Jakuba Wujka 7/26, 61-581 Poznań), wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod nr
0000503852; sąd rejestrowy, w którym przechowywana jest dokumentacja spółki: Sąd Rejonowy Poznań – Nowe
Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego, nr NIP: 7831711517 oraz REGON:
302693647, adres poczty elektronicznej: info@lh.pl
reprezentowaną przy niniejszej czynności przez:
Marek Panek – prezes zarządu
zwaną dalej „PROCESOREM”
łącznie zwanymi dalej „Stronami” lub „Stroną”.
ZWAŻYWSZY ŻE:
Dla potrzeb współpracy prowadzonej przez Strony na podstawie odrębnej Umowy Głównej konieczne jest
powierzenie przez Administratora przetwarzania danych osobowych Procesorowi, a w związku z powyższym
powierzeniem RODO (w szczególności art. 28 RODO) nakłada na Strony szereg obowiązków, w tym zawarcie
Umowy Powierzenia;
Obie Strony zdają sobie sprawę z obowiązków wynikających z RODO i dołożą należytej staranności, aby
współpraca między Stronami oraz przetwarzanie danych na podstawie niniejszej Umowy Powierzenia przez
Strony było zgodne z RODO;
STRONY ZAWIERAJĄ NINIEJSZĄ UMOWĘ POWIERZENIA DANYCH OSOBOWYCH O NASTĘPUJĄCEJ TREŚCI:
I. DEFINICJE
Strony zgodnie postanawiają, iż niżej podane terminy będą miały następujące znaczenie:1. UMOWA GŁÓWNA – umowa serwer103562 z dnia 17.06.2021 zawarta pomiędzy Stronami, w2. związku z którą zawierana jest niniejsza Umowa Powierzenia;
UMOWA POWIERZENIA, UMOWA – niniejsza umowa powierzenia przetwarzania danych wraz3. załącznikami do niej stanowiącymi jej integralną część;
RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w4. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o
ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
II. PRZEDMIOT UMOWY
Na podstawie niniejszej Umowy Administrator powierza Procesorowi, w trybie art. 28 RODO,1. przetwarzanie danych osobowych wskazanych w Umowie oraz na warunkach wskazanych w Umowie.
Powierzenie przetwarzania danych osobowych następuje w związku z realizacją Umowy Głównej2. zawartej między Stronami.
Szczegółowe określenie przedmiotu powierzenia, czasu trwania przetwarzania, charakteru i celu3. przetwarzania, rodzaju danych osobowych oraz kategorii osób, których dane dotyczą zawiera
załącznik numer 1 do Umowy.
Postanowienia objęte załącznikiem numer 1 do Umowy mogą być zmienione, rozszerzone lub4. ograniczone przez Administratora, co wymaga uprzedniego zawarcia przez Strony aneksu do Umowy.
Procesowi z tytułu realizacji niniejszej Umowy nie przysługuje dodatkowe wynagrodzenie ponad to,5. które zostało określone przez Strony w Umowie Głównej, z zastrzeżeniem uzasadnionego przypadku o
którym mowa w § 6 ust. 3 Umowy.
III. OŚWIADCZENIA I ZAPEWNIENIA STRON
Administrator oświadcza, że:1. w stosunku do osób, których powierzane na podstawie niniejszej Umowy danea. dotyczą, jest administratorem danych osobowych zgodnie z RODO, a powierzone
Procesorowi dane będą przetwarzane w imieniu Administratora;
przetwarzanie przez niego danych powierzonych Procesorowi na podstawie niniejszejb. Umowy oraz w ramach Umowy Głównej nie narusza RODO oraz innych przepisów
powszechnie obowiązujących, w szczególności Administrator oświadcza, że
przestrzega zasad dotyczących przetwarzania danych osobowych wskazanych w art.
5 RODO oraz posiada stosowne podstawy prawne do przetwarzania powierzonych
danych i ich powierzenia Administratorowi zgodnie z Umową.
Procesor oświadcza, że:2. zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych ia. organizacyjnych, by przetwarzanie na podstawie niniejszej Umowy spełniało wymogi
RODO i chroniło prawa osób, których dane dotyczą;
przetwarza dane osobowe powierzone na podstawie Umowy wyłącznie nab. udokumentowane polecenie Administratora i w imieniu Administratora – co dotyczy
też przekazywania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo
państwa członkowskiego, któremu podlega Procesor; w takim przypadku przed
rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku
prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny
interes publiczny;
zapewnia, by osoby upoważnione do przetwarzania danych osobowychc. powierzonych na podstawie Umowy zobowiązały się do zachowania tajemnicy lub by
podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
IV. ZASADY PRZETWARZANIA POWIERZONYCH DANYCH
Procesor przetwarzając powierzone na podstawie Umowy dane podejmuje wszelkie środki wymagane1. na mocy art. 32 RODO.
Procesor, biorąc pod uwagę charakter przetwarzania powierzonych mu na podstawie Umowy danych,2. w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne
wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie
wykonywania jej praw określonych w rozdziale III RODO.
Procesor, uwzględniając charakter przetwarzania powierzonych mu na podstawie Umowy danych oraz3. dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art.
32–36 RODO.
Procesor, po zakończeniu świadczenia usług na podstawie Umowy Głównej związanych z4. przetwarzaniem danych i powierzonych na podstawie Umowy, zależnie od decyzji Administratora
usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że
prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
Procesor po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je5. administratorowi zgodnie z art. 33 ust. 2 RODO.
Procesor odpowiada zgodnie z art. 82 ust. 2 RODO za szkody spowodowane przetwarzaniem6. powierzonych na podstawie Umowy danych wyłącznie, gdy nie dopełnił obowiązków, które RODO
nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem
instrukcjami Administratora lub wbrew tym instrukcjom. Procesor zostaje zwolniony z
odpowiedzialności wynikającej z art. 82 ust. 2 RODO, jeżeli udowodni, że w żaden sposób nie ponosi
winy za zdarzenie, które doprowadziło do powstania szkody. Odpowiedzialność Procesora na
podstawie Umowy w żadnym wypadku nie może przewyższać odpowiedzialności Procesora określonej
zgodnie z Umową Główną, z zastrzeżeniem bezwzględnie wiążących przepisów prawa, których nie
można wyłączyć ani ograniczyć w drodze umowy.
Procesor jest uprawniony do przekazywania powierzonych mu przez Administratora na podstawie7. Umowy danych swoim pracownikom i współpracownikom jedynie w przypadku, gdy takie przekazanie
danych będzie niezbędne do realizacji Umowy lub Umowy Głównej oraz jedynie w zakresie i na czas
niezbędny do realizacji tego celu.
V. PODPOWIERZENIE PRZETWARZANIA DANYCH
Procesor, w przypadku korzystania przy przetwarzaniu powierzonych mu na podstawie Umowy1. danych z usług innego podmiotu przetwarzającego, przestrzega warunków korzystania z takiego
podmiotu, o których mowa w art. 28 RODO ust. 2 i 4.
Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług innych podmiotów2. przetwarzających będących podwykonawcami lub partnerami Procesora w związku z realizacją
Umowy Głównej lub Umowy do przetwarzania danych powierzonych mu na podstawie Umowy.
Procesor zapewnia, że korzystanie z usług innego podmiotu przetwarzającego będzie miało miejsce
jedynie gdy będzie ono niezbędne do realizacji Umowy lub Umowy Głównej oraz jedynie w zakresie i
na czas niezbędny do realizacji tego celu oraz zgodnie z Umową.
Procesor zobowiązuje się informować Administratora o wszelkich zamierzonych zmianach3. dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym
Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
Procesor, w przypadku gdy do wykonania w imieniu Administratora konkretnych czynności4. przetwarzania na podstawie Umowy korzysta z usług innego podmiotu przetwarzającego,
zobowiązany jest nałożyć na ten inny podmiot – na mocy odrębnej umowy lub innego aktu prawnego,
które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych
jak w Umowie lub innym akcie prawnym między Administratorem a Procesorem, o których to
obowiązkach mowa w art. 28 ust. 3 RODO, w szczególności obowiązek zapewnienia wystarczających
gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie
odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze
spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora
za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze.
Administrator uprawnia Procesora do nadawania upoważnień, wydawania instrukcji i poleceń w5. rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
VI. AUDYT PRZETWARZANIA POWIERZONYCH DANYCH
Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia1. obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi
upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji przetwarzania
powierzonych danych na podstawie Umowy pod kątem zgodności z RODO, i przyczynia się do nich. W
związku z obowiązkiem określonym w zdaniu poprzednim Procesor niezwłocznie informuje
Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych
przepisów Unii lub państwa członkowskiego o ochronie danych.
W przypadku audytu lub inspekcji, o których mowa w § 6 ust. 1 Umowy Administrator powiadomi2. Procesora w tradycyjnej formie pisemnej o zamiarze przeprowadzeniu audytu lub inspekcji wraz ze
wskazaniem osób upoważnionych, proponowanego terminu, zakresu, czasu trwania oraz potrzebnych
informacji i dokumentów. Procesor w takim wypadku wyznaczy możliwe terminy w ciągu 21 dni
roboczych od otrzymania powiadomienia od Administratora.
Wszelkie koszty poniesione przez Administratora w wyniku przeprowadzenia audytu, w tym3. przeprowadzenia inspekcji ponosi Administrator. Uwzględniając zakres, czas trwania, ilość i
szczegółowość potrzebnych informacji i dokumentów będących przedmiotem audytu lub inspekcji
oraz koszty z tym związane Procesor ma prawo uprzednio pobrać od Administratora opłatę,
uwzględniając administracyjne koszty udzielenia informacji, udostępnienia dokumentów, prowadzenia
komunikacji lub podjęcia innych żądanych lub koniecznych działań w związku z audytem lub
inspekcją. Audyt w miejscach przetwarzania danych osobowych to koszt 450 zł netto za godzinę
pracy każdego pracownika przydzielonego do Audytu. W przypadku Audytu przeprowadzanego na
terenie serwerowni, Procesor dodatkowo doliczy koszt dojazdu do obiektu wg cennika 1 zł za 1 km.
Administrator po otrzymaniu informacji o wysokości opłaty ma prawo zmienić swoje żądanie audytu
lub inspekcji, co może spowodować aktualizację przez Procesora wysokości opłaty.
Przeprowadzany audyt lub inspekcja Administratora nie może zakłócać funkcjonowania Procesora – w4. przypadku wystąpienia takiej sytuacji Procesor ma prawo przerwać audyt lub inspekcję w trakcie ich
trwania. Audyt lub inspekcja może odbyć się wyłącznie w wyznaczonym przez Procesora czasie i pod
kontrolą wyznaczonej przez Procesora osoby.
Prawo audytu lub inspekcji dotyczy wyłącznie danych powierzonych przez Administratora na5. podstawie Umowy oraz miejsca ich przetwarzania i nie może objąć kontroli w zakresie innych danych
przetwarzanych przez Procesora. Administrator nie może wykorzystywać uzyskanych informacji i
dokumentów w celach innych niż wynikających z Umowy oraz przepisów prawa.
Procesor ma prawo odmowy udzielenia lub ograniczenia zgody na audyt, inspekcję, udzielenia6. informacji lub udostępnienia dokumentów i miejsc, w zakresie w jakim te działania mogłyby
doprowadzić do naruszenia powszechnie obowiązujących przepisów, w szczególności jeżeli te
działania mogłyby w sposób bezprawny zagrozić ujawnieniu lub bezpieczeństwu innych danych
osobowych przetwarzanych przez Procesora. W takim przypadku Procesor jest obowiązany w sposób
jasny i wyczerpujący uzasadnić Administratorowi swoje stanowisko i w miarę możliwości zapewnić
przeprowadzenie audytu lub inspekcji lub udzielić informacji i udostępnić dokumenty w inny sposób.
Procesor ma prawo odmówić przekazania Administratorowi informacji objętych tajemnicą prawnie7. chronioną, w tym tajemnicą przedsiębiorstwa Procesora lub podmiotów trzecich, a także informacji
stanowiących dane osobowe nie objęte Umową, jeśli informacje te mogą zostać zastąpione innymi
informacjami (w tym oświadczeniami Procesora), zaś w przypadku gdy nie będzie to możliwe –
informacje te zostaną udostępnione Administratorowi (lub wyznaczonym przez niego osobom)
wyłącznie w siedzibie Procesora, po uprzednim zawarciu przez Strony i wszystkie osoby, którymi
Administrator się posługuje, stosownej umowy zobowiązującej do należytej ochrony tych informacji.
Wszelkie informacje oraz dokumenty udzielane lub udostępniane przez Procesora Administratorowi, a8. także wykonywane przez niego czynności wykonywane będą niezwłocznie, nie później niż w terminie
30 dni od otrzymania stosownego żądania, chyba że z przepisów prawa lub niniejszej Umowy wynika
inny termin.
VII. PRAWA WŁASNOŚCI
Żadne z postanowień niniejszej Umowy nie będzie interpretowane jako udzielenie lub przekazanie Stronie
otrzymującej dane osobowe jakichkolwiek praw do powierzonych danych.
VIII. OBOWIĄZYWANIE UMOWY
Umowa obowiązuje od dnia jej zawarcia i obowiązuje przez czas nieoznaczony, nie dłużej jednak niż1. Umowa Główna. Umowa Powierzenia wygasa wraz z wygaśnięciem Umowy Głównej bez względu na
przyczynę wygaśnięcia.
Strona ma prawo rozwiązać Umowę bez wypowiedzenia w przypadku, gdy druga Strona mimo2. uprzedniego wezwania z wyznaczeniem odpowiedniego terminu nie wypełnia obowiązków
wskazanych Umowie, w RODO lub innych powszechnie obowiązujących przepisach. Zaistnienie
podstaw do rozwiązania Umowy bez wypowiedzenia uprawnia Strony do rozwiązania Umowy Głównej
bez wypowiedzenia.
IX. POSTANOWIENIA KOŃCOWE
Jeżeli którekolwiek z postanowień Umowy okaże się nieważne w całości lub w części, pozostałe1. postanowienia pozostają w mocy, Strony zaś zobowiązują się na wniosek którejkolwiek z nich do
zastąpienia nieważnych postanowień postanowieniami, których moc prawna i skutek ekonomiczny są
najbardziej zbliżone do postanowień zastępowanych.
Prawem właściwym dla niniejszej Umowy jest prawo polskie.2. W zakresie nieuregulowanym Umową stosuje się przede wszystkim RODO oraz inne właściwe3. przepisy.
Wszelkie załączniki do Umowy stanowią jej integralną część.4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.5.
Załączniki:
Dane i warunki ich powierzenia na podstawie Umowy Powierzenia1.
ZAŁĄCZNIK NUMER 1 DO UMOWY POWIERZENIA
Administrator powierza Procesorowi przetwarzanie następujących danych oraz na następujących warunkach:
Imię i nazwisko lub nazwa
Administratora
(a gdy ma to zastosowanie – przedstawiciela
administratora):
Bartłomiej Nowak
Dane kontaktowe Administratora: Adres do korespondencji: ul. Jagiellońska 29b, 32-410 Dobczyce
Adres email: biuro@webelite.com.pl
Numer telefonu kontaktowego: 787943309
Imię i nazwisko lub nazwa
inspektora ochrony danych
Administratora:
(jeżeli został wyznaczony)
Dane kontaktowe inspektora
ochrony danych Administratora
(jeżeli został wyznaczony)
Adres do korespondencji:
Adres email:
Numer telefonu kontaktowego:
Czas trwania przetwarzania danych
osobowych powierzonych na
podstawie Umowy
Czas przetwarzania określony zgodnie z Umową Główną, nie dłużej jednak niż
postanowi Administrator i nie dłużej niż czas trwania Umowy Głównej – chyba że
Umowa Główna stanowi inaczej lub inny obowiązek nakłada na Procesora prawo
Unii lub prawo państwa członkowskiego, któremu podlega Procesor.
Charakter przetwarzania danych
osobowych powierzonych na
podstawie Umowy
Charakter przetwarzania określony zgodnie z Umową Główną – chyba że inny
obowiązek nakłada na Procesora prawo Unii lub prawo państwa członkowskiego,
któremu podlega Procesor.
Cel przetwarzania danych
osobowych powierzonych na
podstawie Umowy
Cel przetwarzania określony zgodnie z Umową Główną, to jest przechowywanie,
udostępnianie, utrwalanie i usuwanie danych w ramach udostępnianej mocy
obliczeniowej procesorów, przestrzeni pamięci operacyjnej i dyskowe Procesora.–
chyba że inny obowiązek nakłada na Procesora prawo Unii lub prawo państwa
członkowskiego, któremu podlega Procesor.
Rodzaj danych
osobowych powierzonych na
podstawie Umowy
Imię i nazwisko, numer telefonu, adres e-mail
Szczególne kategorie danych osobowych: nie dotyczy.
Dane dzieci, tj. dane osób, które nie uzyskały pełnoletności (w tym kupujących
poniżej 18. roku życia: nie dotyczy.
Kategorie osób, których dane
powierzone na podstawie Umowy
dotyczą
zwykłe dane osobowe
Kategorie przetwarzań
dokonywanych w imieniu
Administratora
Przechowywanie, przeglądanie, udostępnianie, utrwalanie i usuwanie danych w
ramach udostępnianej mocy obliczeniowej procesorów, przestrzeni pamięci
operacyjnej i dyskowej.
Gdy ma to zastosowanie – przekazania
danych osobowych do państwa
trzeciego lub organizacji
międzynarodowej, w tym nazwa tego
państwa trzeciego lub organizacji
międzynarodowej, a w przypadku
przekazań, o których mowa w art. 49
ust. 1 akapit drugi RODO,
dokumentacja odpowiednich
zabezpieczeń
Nie dotyczy.
Jeżeli jest to możliwe, ogólny opis
technicznych i organizacyjnych
środków bezpieczeństwa, o których
mowa w art. 32 ust. 1. RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres,
kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
Procesor wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić
stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w
stosownym przypadku:
• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i
odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu
do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków
technicznych i organizacyjnych mających zapewnić bezpieczeństwo
przetwarzania.
Procesor podejmuje działania w celu zapewnienia, by każda osoba fizyczna
działająca z upoważnienia Procesora, która ma dostęp do danych osobowych
powierzonych przez Administratora na podstawie Umowy, przetwarzała je
wyłącznie na polecenie Administratora, chyba że wymaga tego od niej prawo Unii
lub prawo państwa członkowskiego.