Umowa powierzenia
danych

Załącznik nr 1 do Regulaminu Serwisu

 

UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta pomiędzy (dalej Umowa):

 

Usługobiorcą, zwanym w dalszej części Umowy „Administratorem”;

 

a

 

Usługodawcą, zwanym w dalszej części Umowy „Procesorem”,

 

Zważywszy, że:

  • Administrator poprzez akceptację postanowień regulaminu Serwisu SKALEO zawarł z Procesorem Umowę o Świadczenie Usług, na podstawie której świadczył będzie na rzecz Administratora usługi za pośrednictwem Serwisu (zwana dalej Umową Główną).
  • W związku z wykonywaniem Umowy Głównej przetwarzane będą przez Procesora dane osobowe Klientów oraz wskazanych przez Klienta osób fizycznych korzystających wraz z nim z usług turystycznych Administratora; na podstawie odrębnej umowy (zwani dalej „Klientami”);
  • Administrator jest administratorem danych osobowych Klientów w rozumieniu obowiązujących przepisów prawa;
  • Administrator zamierza powierzyć Procesorowi przetwarzanie danych osobowych Klientów, o których mowa w niniejszej Umowie, zgodnie z przepisami o ochronie danych osobowych na zasadach i warunkach określonych w niniejszej Umowie;

Strony postanawiają, co następuje:

 

§ 1. [PRZEDMIOT UMOWY]
  1. Administrator oświadcza, że jest administratorem danych osobowych Klientów wskazanych przez nich w formularzu rejestracyjnym (dalej: „Dane Osobowe”) w związku ze świadczeniem na ich rzecz usług turystycznych na podstawie odrębnej umowy (dalej: „Usługi”) i spełnia warunki legalności przetwarzania danych osobowych, przewidziane przez przepisy o ochronie danych osobowych, w szczególności Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: „RODO”).
  2. Administrator powierza Procesorowi Dane Osobowe do przetwarzania, na zasadach i w celu i w zakresie określonym w niniejszej Umowie, a Procesor zobowiązuje się do ich przetwarzania zgodnie z prawem oraz postanowieniami niniejszej Umowy.
  3. Procesor może przetwarzać powierzone mu Dane Osobowe wyłącznie w zakresie i celu, o których mowa w niniejszej Umowie.

 

§ 2. [ZAKRES, CEL I FORMA PRZETWARZANIA DANYCH OSOBOWYCH]
  1. Celem przetwarzania przez Procesora Danych Osobowych jest realizacja Usług.
  2. Zakres przetwarzania przez Procesora Danych Osobowych obejmuje zbieranie, utrwalanie, przechowywanie, zmienianie, opracowywanie, kopiowanie, usuwanie i przekazywanie Danych Osobowych.
  3. Procesor jest upoważniony do przetwarzania następujących Danych Osobowych Klientów: imię, nazwisko, PESEL, adres zamieszkania, adres email, numer telefonu, wiek/data urodzenia, płeć, numer dokumentu tożsamości (dowodu osobistego, paszportu).
  4. Procesor jest upoważniony do przetwarzania powierzonych mu Danych Osobowych w formie elektronicznej.
  5. Procesor będzie przetwarzał Dane Osobowe wyłącznie przez czas niezbędny dla osiągnięcia wyznaczonego przez Administratora celu przetwarzania wynikającego z realizacji Usługi, stosując się w szczególności do roboczych instrukcji Administratora odnośnie czasu przetwarzania. W przypadku jakichkolwiek wątpliwości Procesora w tym zakresie, powinien od dokonać bezzwłocznych konsultacji z Administratorem. Procesor zobowiązuje się przy tym nie przetwarzać Danych Osobowych dłużej niż przez czas obowiązywania niniejszej Umowy oraz Umowy Głównej, chyba że z pisemnych pod rygorem nieważności ustaleń z Administratorem wyraźnie będzie wynikać inaczej.

 

§ 3. [OŚWIADCZENIA]
  1. Administrator zastrzega, że określone w niniejszej Umowie wymogi stawiane Procesorowi mogą być w późniejszym czasie jednostronnie zmienione przez Administratora ze względu na zmianę przepisów prawa lub ze względu konieczność dostosowania zasad ochrony danych osobowych do nowych okoliczności. W miarę możliwości Administrator zobowiązuje się do konsultowania nowych wytycznych z Procesorem. Niezależnie od powyższego, Procesor zobowiązuje się do uwzględnienia przy przetwarzaniu Danych Osobowych nowych wytycznych Administratora bezzwłocznie po ich otrzymaniu w formie pisemnej lub mailowej. Jeżeli uwzględnienie takich wytycznych wiązać się będzie z poniesieniem przez Procesora dodatkowych kosztów, Administrator będzie dążyć do ich zrekompensowania Procesorowi. W każdym przypadku ponoszenie kosztów przez Procesora wymaga jednak uprzedniej wyraźnej akceptacji Administratora, która jest warunkiem ich późniejszego zrekompensowania. Strony, odnośnie tego typu kosztów, zobowiązują się podjęcia negocjacji i działania w dobrej wierze.
  2. W przypadku stwierdzenia przez Procesora, że zasady określone w niniejszej Umowie lub w kolejnych wytycznych od Administratora nie są zgodnie z przepisami prawa, Procesor jest zobowiązany do wstrzymania się od ich stosowania oraz do bezzwłocznego poinformowania Administratora o tym fakcie.
  3. Procesor gwarantuje, że w razie stwierdzenia, że Dane Osobowe są przetwarzane w niewłaściwym (bezprawnym) celu lub dłużej niż to konieczne dla osiągnięcia celu przetwarzania, poinformuje o tym bezzwłocznie Administratora.
  4. W przypadku, gdy wobec Procesora lub za pośrednictwem Procesora zostanie zgłoszone roszczenie związane z przetwarzaniem Danych Osobowych (w szczególności  roszczenie odszkodowawcze), Procesor jest zobowiązany bezzwłocznie poinformować o tym fakcie Administratora, chyba, że co innego wynika z bezwzględnie obowiązujących przepisów prawa. Administrator zastrzega, że nie będzie zobowiązany do zwrotu jakichkolwiek należności Procesorowi tytułem regresu za spełnione roszczenie wobec dysponenta Danych Osobowych, jeżeli Procesor zaniecha bezzwłocznego poinformowania Administratora o takim roszczeniu, w szczególności jeśli zaspokoi je bez wiedzy i zgody Administratora.

 

§ 4. [OBOWIĄZKI PROCESORA]
  1. W ramach świadczonych na rzecz Administratora Usług, Procesor  jest zobowiązany stosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych Osobowych, w szczególności wdrożyć w stosownych przypadkach środki wskazane w art. 32 RODO.
  2. Poprzez zastosowane środki Procesor zobowiązuje się zapewnić w szczególności: poufność, integralność i dostępność Danych Osobowych oraz rzetelność, przejrzystość i rozliczalność przetwarzania.
  3. Procesor zobowiązuje się do:
  1. regularnego testowania, mierzenia i oceny skuteczności środków technicznych i organizacyjnych służących zapewnieniu bezpieczeństwa przetwarzania Danych Osobowych;
  2. natychmiastowej i adekwatnej reakcji w razie naruszenia bezpieczeństwa Danych Osobowych;
  3. prowadzenia rejestru kategorii czynności przetwarzania, zgodnie z art. 30 RODO.
  1. Procesor jest zobowiązany do informowania Administratora o wszelkich naruszeniach bezpieczeństwa Danych Osobowych, o których Administrator nie ma wiedzy. W ramach powiadomienia Procesor jest zobowiązany do wskazania opisu i rozmiarów incydentu, prawdopodobnych przyczyn naruszenia oraz jego konsekwencji, a także podjętych i sugerowanych kroków mających na celu przywrócenie bezpieczeństwa Danych Osobowych.
  2. Procesor zobowiązuje się wykonywać obowiązki określone niniejszą Umową w taki sposób, aby umożliwić Administratorowi realizację jego obowiązków względem osoby, której Dane Osobowe dotyczą, w szczególności umożliwić prawo dostępu do danych, sprostowania, usunięcia, sprzeciwu ograniczenia przetwarzania i przenoszenia Danych Osobowych. Procesor nie jest uprawniony do wykonywania powyższych obowiązków samodzielnie, bez akceptacji Administratora.
  3. Procesor jest także zobowiązany udzielić Administratorowi wszelką niezbędną pomoc w celu wywiązania się z obowiązku zabezpieczenia Danych Osobowych, zgłaszania incydentów w zakresie bezpieczeństwa Danych Osobowych organowi nadzorczemu oraz osobie, której Dane Osobowe dotyczą, jak również pomoc przy wykonywaniu analizy ryzyka związanego z przetwarzaniem Danych Osobowych.
  4. Procesor jest zobowiązany udostępnić Administratorowi wszelkie informacje niezbędne i dokumenty na potrzeby wykazania przez Administratora spełnienia obowiązków określonych w niniejszej Umowie – bezzwłocznie  na żądanie Administratora. Jednocześnie Procesor jest zobowiązany do zachowania w poufności informacji o środkach ochrony stosowanych przez Strony na potrzeby zapewnienia bezpieczeństwa Danych Osobowych.
  5. Procesor jest zobowiązany do wyznaczenia osoby kontaktowej, która będzie odpowiedzialna za współpracę między Stronami w zakresie ochrony Danych Osobowych. Do osoby kontaktowej znajdują zastosowania wszystkie postanowienia § 5 Umowy.
  6. Procesor przyjmuje do wiadomości, że Administrator ma prawo do kontroli przestrzegania przez Procesora sposobu przetwarzania danych osobowych w świetle Ustawy, RODO oraz postanowień niniejszej Umowy. Kontrola może nastąpić w formie korespondencyjnej (poprzez żądanie udzielenia informacji), poprzez audyt w siedzibie Procesora lub jego podwykonawców (podprocesorów) lub weryfikację systemów informatycznych Procesora, których używa Procesor przy przetwarzaniu Danych Osobowych. Procesor jest zobowiązany do udzielenia wszelkiego niezbędnego wsparcia takim inspekcjom. Procesor zobowiązuje się do niezwłocznego usunięcia wszelkich stwierdzonych w trakcie kontroli uchybień i powiadomienia o tym fakcie Administratora wraz z udostępnieniem materiałów potwierdzających usunięcie określonych uchybień. Powyższe uprawnienia Administratora i obowiązki Procesora stosuje się również do kontroli przeprowadzanej u podwykonawców (podprocesorów) Procesora. W takim wypadku Procesor jest zobowiązany zapewnić usunięcie uchybień przez osoby, z pomocą których wykonuje Umowę Główną i niniejszą Umowę.
  7. Koszty kontroli, o której mowa w ust. 9 powyżej, ponoszą Strony według następujących zasad:
  1. w przypadku, gdy kontrola została zainicjowana z powodu incydentu związanego z ochroną Danych Osobowych – całkowite koszty kontroli ponosi Procesor;
  2. w każdym innym przypadku – całkowite koszty kontroli ponosi Administrator.
  1. Procesor powiadomi bezzwłocznie Administratora o wszelkich kontrolach organów publicznych przeprowadzanych u Procesora, dotyczących przetwarzania Danych Osobowych (chyba że nie będzie do tego upoważniony ze względu na treść przepisu prawa). Procesor nie podejmie kroków w ramach przeprowadzanej u niego kontroli bez stosownej konsultacji z Administratorem, chyba że inny sposób postępowania będzie wynikał z powszechnie obowiązujących przepisów prawa.
  2. Procesor zobowiązuje się, iż w stosownym czasie, nie później niż z momentem rozwiązania niniejszej Umowy lub Umowy Głównej, Dane Osobowe zostaną zwrócone Administratorowi lub nieodwracalnie zniszczone (m.in. poprzez niszczenie nośników lub usuwanie danych z nośników za pomocą profesjonalnych narzędzi). Procesor zobowiązuje się bezzwłocznie poinformować Administratora o niemożności wykonania powyższego obowiązku – w szczególności, jeżeli usunięcie nie będzie możliwe ze względu na treść obowiązujących przepisów prawa. Z usunięcia Danych Osobowych powinien zostać sporządzony protokół, który Procesor powinien przekazać bezzwłocznie Administratorowi.
  3. Procesor gwarantuje, że niezależnie od wymagań wskazanych w przepisach prawa wdrożył następujące zasady bezpieczeństwa w odniesieniu do przetwarzania Danych Osobowych:
  1. sporządzona została dokumentacja opisująca sposób i narzędzia przetwarzania Danych Osobowych,
  2. wdrożone zostały środki zapewniające ograniczenie dostępu do budynków i pomieszczeń, w których przetwarzane są Dane Osobowe oraz zapewniające rozliczalność przetwarzania przez poszczególnych pracowników (np. karty dostępu, identyfikatory, drzwi zamykane na klucz, konta z hasłami dostępu w systemie informatycznym itp.)
  3. stworzone zostały procedury zapewniające bezpieczną utylizację nośników, które zawierają lub zawierały Dane Osobowe,
  4. wprowadzony został zakaz nieautoryzowanego wynoszenia danych osobowych poza obszar przetwarzania kontrolowany przez Procesora oraz zakaz korzystania z prywatnych nośników danych przy korzystaniu ze stacji roboczych Procesora.

 

§ 5. [PRACOWNICY I WSPÓŁPRACOWNICY PROCESORA]
  1. Procesor zobowiązuje się do dopuszczenia do przetwarzania powierzonych mu Danych Osobowych wyłącznie osoby posiadające stosowne upoważnienie do przetwarzania Danych Osobowych.
  2. Procesor zobowiązuje się do prowadzenia oraz bieżącej aktualizacji ewidencji osób upoważnionych do przetwarzania Danych Osobowych oraz udostępniania tej ewidencji na każde żądanie Administratora.
  3. Procesor zobowiązuje się zapewnić, że każdy z jego pracowników złożył uprzednio pisemne zobowiązanie do zachowania poufności Danych Osobowych, zgodnie z przepisami RODO – obowiązujące niezależnie od okresu obowiązywania niniejszej Umowy. Procesor zobowiązuje się również udzielić swoim pracownikom stosownych wyjaśnień i przeprowadzić niezbędne szkolenia w celu zapewnienia bezpieczeństwa Danych Osobowych.
  4. Za działania i zaniechania swoich pracowników, współpracowników Procesora w zakresie przetwarzania Danych Osobowych Procesor odpowiada wobec Administratora jak za działania własne.
§ 6. [ODPOWIEDZIALNOŚĆ]
  1. Procesor ponosi odpowiedzialność za nienależyte wykonanie wszelkich zobowiązań określonych i wynikających z niniejszej Umowy. W szczególności Procesor będzie odpowiedzialny w stosunku do Administratora za szkody powstałe w wyniku działań lub zaniedbań Procesora w zakresie przetwarzania Danych Osobowych. Procesor zwolni Administratora z ewentualnych roszczeń odszkodowawczych osób trzecich, jeżeli wynikły one z przyczyn związanych z przetwarzaniem ich Danych Osobowych przez Procesora.

 

§ 7. [OKRES OBOWIĄZYWANIA UMOWY]

Umowa zostaje zawarta na czas określony, rozumiany jako okres obowiązywania Umowy Głównej. W celu uniknięcia wątpliwości Strony potwierdzają, że wygaśnięcie lub rozwiązanie bez względu na przyczynę Umowy Głównej skutkuje wygaśnięciem niniejszej Umowy – z tym samym dniem.

 

§ 8. [POSTANOWIENIA KOŃCOWE]
  1. Strony nie mogą, bez uprzedniej i pisemnej (zastrzeżonej pod rygorem nieważności) zgody drugiej Strony, przenieść na osobę trzecią jakichkolwiek praw i obowiązków wynikających z Umowy.
  2. Strony zgodnie oświadczają, iż w przypadku sporów powstałych w związku z wykonywaniem niniejszej Umowy dążyć będą do polubownego ich rozwiązania. W przypadku, gdy nie dojdzie do rozwiązania sporu w polubowny sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo dla siedziby Procesora.
  3. Wszelkie zmiany Umowy wymagają w formy pisemnej lub dokumentowej.
  4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

 

 

 
tel: (+48) 572 195 794

email: biuro@skaleo.pl

ul. Rybałtów 12 /40
02-886 Warszawa

NIP: 9512501715