REGULAMIN RODO


POWIERZANIE PRZETWARZANIA DANYCH OSOBOWYCH





§ 1


  1. W trybie art. 31 ut. 1 Ustawy oraz art. 28 ut. 3 RODO, Administrator danych powierza Przetwarzającemu przetwarzanie danych osobowych wskazanych w ustępie 4 i 5 niniejszego paragrafu w imieniu i na rzecz Administratora danych w celu wykonywania Umowy, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z Ustawą, RODO, niniejszą Umową powierzenia przetwarzania danych osobowych oraz z Umową.

  2. Przetwarzający jest podmiotem przetwarzającym dane osobowe na zlecenie Administratora danych w rozumieniu art. 29 RODO.

  3. Przetwarzający nie decyduje o celach przetwarzania powierzonych mu do przetwarzania danych osobowych.

  4. Przetwarzający zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą: kierowcy, księgowość, pracownicy biurowi, dane klientów

  5. Zakres powierzonych Przetwarzającemu do przetwarzania danych osobowych obejmuje następujące dane osobowe:

imię i nazwisko, adres e-mail, telefon, adres załadunku i rozładunku, NIP, PESEL, REGON

  1. Celem przetwarzania danych osobowych wskazanych w ustępie 4 i 5 niniejszego paragrafu jest wykonanie Umowy.

  2. Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych: zbieranie, utrwalanie, porządkowanie, przechowywanie, wykorzystywanie (do celów wskazanych w ustępie 6 niniejszego paragrafu), ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy lub na polecenie Administratora, usuwanie.

  3. Przetwarzający będzie przetwarzał dane osobowe w formie elektronicznej w systemach informatycznych oraz w formie papierowej.



§ 2


  1. Przetwarzający zobowiązuje się przy przetwarzaniu danych osobowych przestrzegać zasad wskazanych w niniejszej Umowie, w RODO, w Ustawie oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanego dalej „Rozporządzeniem MSWiA”.

  2. Przetwarzający oświadcza, iż dysponuje niezbędnymi dla prawidłowego wykonania niniejszej Umowy środkami technicznymi i organizacyjnymi, doświadczeniem, wiedzą i wykwalifikowanym personelem.

  3. Przetwarzający oświadcza, że podjął skuteczne środki zabezpieczające dane osobowe, a w szczególności że:

a) zastosował środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a w szczególności, że zabezpieczył dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem;

b) podjął stosowne środki organizacyjne, aby dane osobowe były udostępniane wyłącznie podmiotom upoważnionym do żądania informacji na podstawie przepisów prawa;

c) podjął stosowne środki organizacyjne aby dostęp do danych osobowych miały wyłącznie osoby posiadające upoważnienie do przetwarzania danych;

d) prowadzi ewidencję osób upoważnionych do dostępu do danych osobowych;

e) prowadzi dokumentację opisującą sposób przetwarzania danych osobowych, w której skład wchodzą Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;

f) podjął stosowne środki organizacyjne, aby osoby mające dostęp do danych osobowych zachowywały je w tajemnicy, przy czym również po ustaniu zatrudnienia tych osób;

g) podjął stosowne środki organizacyjne dotyczące przechowywania dokumentów i nośników elektronicznych zawierających dane osobowe w sposób gwarantujący ochronę dokumentów, nośników przed ich utratą, uszkodzeniem, zniszczeniem,

4. Administrator danych uprawniony jest do żądania od Przetwarzającego wyjaśnień dotyczących:

a) stosowanych przez Przetwarzającego środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w tym stosowanych środków sprzętowych i programowych;

b) przetwarzania powierzonych danych osobowych;

5. Przetwarzający jest zobowiązany do przekazania Administratorowi danych każdorazowo na żądanie Administratora danych, w terminie 14 dni kalendarzowych od daty otrzymania takiego żądania, informacji, o których mowa w ust. 4 niniejszego paragrafu.

6. Przetwarzający zobowiązuje się powiadamiać Administratora danych niezwłocznie o:

a) wszczęciu kontroli przez Prezesa Urzędu Ochrony Danych Osobowych lub przez inny organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem Przetwarzającemu przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Przetwarzającego w związku z powyższym;

b) wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Przetwarzającemu przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Przetwarzającego w związku z powyższym;

c) wszelkich incydentach dotyczących powierzonych do przetwarzania danych osobowych przez Procesora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych Przetwarzającemu danych osobowych;

7. Przetwarzający nie może przekazywać powierzonych mu do przetwarzania danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.

8. Przetwarzający zobowiązuje się do:

a) umożliwienia Administratorowi danych dokonania kontroli w miejscach, w których są przetwarzane powierzone dane osobowe, w zakresie stosowania niniejszej Umowy, w terminie ustalonym przez Strony nie później jednak niż w ciągu 5 dni kalendarzowych od dnia powiadomienia Przetwarzającego przez Administratora danych o zamiarze przeprowadzenia kontroli, w celu sprawdzenia prawidłowości przetwarzania oraz zabezpieczania danych osobowych,

b) w przypadku powzięcia przez Administratora danych wiadomości o rażącym naruszeniu przez Przetwarzającego zobowiązań wynikających z Ustawy, RODO, Rozporządzenia MSWiA lub niniejszej Umowy, Przetwarzający umożliwi Administratorowi danych dokonanie kontroli bez zachowania wymogów, o których mowa w lit. a,

c) zastosowania się do zaleceń pokontrolnych Administratora danych, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania,

9. Administrator danych ma w szczególności prawo do:

a) wstępu w godzinach pracy Przetwarzającego za okazaniem imiennego upoważnienia do pomieszczenia w którym zlokalizowany jest zbiór danych powierzonych do przetwarzania oraz pomieszczeń, w których są przetwarzane dane osobowe poza pomieszczeniem gdzie zlokalizowany jest zbiór danych osobowych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania z przepisami i niniejszą umową;

b) żądać złożenia pisemnych wyjaśnień lub ustnych oraz wzywać i przesłuchiwać pracowników w zakresie niezbędnym do ustalenia stanu faktycznego;

c) wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania kopii;

10. W zakresie przestrzegania przepisów dotyczących zabezpieczenia danych osobowych

Przetwarzający ponosi odpowiedzialność jak Administrator danych osobowych.





§ 3

1. Do przetwarzania danych osobowych mogą być dopuszczeni jedynie pracownicy Przetwarzającego posiadający imienne upoważnienie do przetwarzania danych osobowych. Upoważnienie wygasa z chwilą ustania zatrudnienia upoważnionego pracownika bądź odwołania upoważnienia.

2. Administrator danych umocowuje Przetwarzającego do wydawania i odwoływania pracownikom Przetwarzającego imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Przetwarzający w swojej siedzibie.



§ 4

  1. Administrator danych nie wyraża zgody na dalsze powierzenie (tzw. podpowierzenie) przetwarzania danych osobowych będących przedmiotem niniejszej Umowy przez Przetwarzającego podwykonawcom.

  2. Strony zgodnie postanawiają, że w przypadku, gdy Przetwarzający będzie chciał skorzystać z usług innego podmiotu przetwarzającego w celu przetwarzania całości bądź części danych osobowych przekazanych Przetwarzającemu przez Administratora danych uzyska on uprzednią pisemną zgodę Administratora danych. Przetwarzający zwróci się do Administratora danych o udzielenie zgody na możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi przetwarzającemu na co najmniej 30 dni kalendarzowych przed zamiarem skorzystania z usług innego podmiotu przetwarzającego.

  3. Strony zgodnie postanawiają, że Przetwarzający występując do Administratora danych o udzielnie zgody na skorzystanie z usług innego podmiotu przetwarzającego przekaże Administratorowi danych co najmniej następujące informacje:

  1. jakie czynności przetwarzania, za które odpowiada Przetwarzający zostaną scedowane na inny podmiot przetwarzający;

  2. jaki rodzaj danych osobowych, które dotychczas przetwarzał Przetwarzający zostanie przekazany do przetwarzania innemu podmiotowi przetwarzającemu;

  3. pełna nazwa i forma prawna innego podmiotu przetwarzającego;

  4. oświadczenie innego podmiotu przetwarzającego, że wdrożył odpowiednie środki organizacyjne i techniczne gwarantujące, że przetwarzanie danych osobowych będzie odpowiadało wymogom Ustawy, aktów wykonawczych do Ustawy, RODO oraz Rozporządzenia MSWiA;

  5. wzór umowy pomiędzy Przetwarzającym a innym podmiotem przetwarzającym, której przedmiotem będzie świadczenie usług w zakresie przetwarzania danych osobowych, z wyłączeniem warunków, które mają charakter finansowy;

  1. Strony zgodnie postanawiają, że w przypadku braku przekazania Administratorowi danych którejkolwiek z informacji lub któregokolwiek z dokumentów, o których mowa w ustępie 3 niniejszego paragrafu, Administrator danych nie przystąpi do oceny wniosku Przetwarzającego w przedmiocie wyrażenia zgody.

  2. Strony zgodnie postanawiają, że w przypadku, gdy wniosek Przetwarzającego zawiera co najmniej informacje, o których mowa w ustępie 3 niniejszego paragrafu Administrator danych w ciągu 14 dni kalendarzowych od jego otrzymania, a w przypadku, gdy wniosek nie był kompletny od dnia uzupełnienia brakujących informacji lub dokumentów wyrazi zgodę lub odmówi wyrażenia zgody na powierzenie przetwarzania danych osobowych przez Przetwarzającego innemu podmiotowi przetwarzającemu.

  3. Strony zgodnie postanawiają, że w przypadku, gdy innym podmiot przetwarzający podejmie się świadczenia usług w zakresie przetwarzania danych osobowych na rzecz Przetwarzającego, a nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, pełna odpowiedzialność za wypełnienie obowiązków tego innego podmiotu przetwarzającego będzie spoczywać na Przetwarzającym.



§ 5

1. Przetwarzający zobowiązuje się podjąć wszelkie środki służące zachowaniu danych osobowych w poufności przez pracowników Przetwarzającego mających dostęp do danych osobowych.

2. Przetwarzający zobowiązuje się do zachowania w poufności wszystkich danych osobowych, jak również sposobu ich zabezpieczania, powierzonych mu w trakcie obowiązywania niniejszej Umowy lub uzyskanych w związku z wykonywaniem czynności objętych niniejszą Umową, jak również po wygaśnięciu niniejszej Umowy.

3. Przetwarzający zobowiąże swoich pracowników i będzie od nich wymagał:

a) zachowania danych osobowych, a także sposobu ich zabezpieczania w poufności, zarówno w trakcie obowiązywania niniejszej Umowy, jak również po jej wygaśnięciu;

b) pracowania jedynie z dokumentami niezbędnymi do wykonywania obowiązków wynikających z warunków przetwarzania danych osobowych określonych w niniejszej Umowie;

c) przechowywania dokumentów i nośników w czasie nie dłuższym niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone;

d) nietworzenia kopii dokumentów innych niż niezbędne do realizacji warunków wynikających z niniejszej Umowy;

e) zabezpieczenia dokumentów przed dostępem osób nieupoważnionych, przetwarzaniem z naruszeniem Ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem;

4. Przetwarzający oświadcza, że pracownicy skierowani przez niego do wykonania niniejszej Umowy zobowiązani są do podpisania oświadczenia o poufności, którego treść znajduje się w Załączniku nr 1 do niniejszej Umowy. Podpisane oświadczenia Przetwarzający przekaże Administratorowi danych w terminie 5 dni kalendarzowych od daty zawarcia niniejszej Umowy.

    5. W przypadku skierowania przez Przetwarzającego dodatkowych pracowników do wykonania niniejszej Umowy, Przetwarzający przekaże Administratorowi danych podpisane przez nich oświadczenia o poufności zgodnie ze wzorem wskazanym w Załączniku nr 1 do niniejszej Umowy.

6. Przetwarzający zobowiązany jest do niezwłocznego sporządzenia i przekazania Administratorowi danych listy pracowników, skierowanych przez niego do wykonania niniejszej Umowy zgodnie ze wzorem wskazanym w Załączniku nr 2 do niniejszej Umowy. W przypadku zmiany danych pracowników Przetwarzającego skierowanych do wykonania niniejszej Umowy Przetwarzający zobowiązany jest do zaktualizowania listy pracowników oraz przekazania jej do Administratora danych.

7. Przetwarzający będzie stale nadzorował osoby upoważnione do przetwarzania danych osobowych w zakresie zabezpieczenia przetwarzania danych osobowych.

8. Przetwarzający odpowiada za szkody wyrządzone Administratorowi danych i powstałe w wyniku przetwarzania przez Przetwarzającego danych osobowych w sposób niezgodny z niniejszą Umową lub powszechnie obowiązującymi przepisami prawa.






§ 6


  1. Przetwarzający zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanymi poleceniami Administratora danych, przy czym za takie udokumentowane polecenia uważa się polecenia przekazywane drogą elektroniczną lub na piśmie.

2. Przetwarzający zobowiązuje się:

a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych osobowych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym

środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, o których

mowa w art. 32 RODO;

b) uwzględniając charakter przetwarzania oraz dostępne mu informacje pomagać Administratorowi danych w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO; w szczególności, Przetwarzający zobowiązuje się przekazywać Administratorowi danych informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczania powierzonych danych osobowych, przypadków naruszenia ochrony danych osobowych będących przedmiotem niniejszej Umowy oraz zawiadamiania o tym organu nadzorczego lub osób, których dane osobowe dotyczą, przeprowadzenia oceny skutków dla ochrony danych, oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu;

c) przekazywać Administratorowi danych, w ciągu 24 godzin od wykrycia zdarzenia, informacje o naruszeniu ochrony powierzonych Przetwarzającemu dane osobowe, w tym informacje niezbędne Administratorowi danych do zgłoszenia naruszenia ochrony danych organowi nadzorczemu, o którym mowa w art. 33 ust. 3 RODO, zgłoszenie takie powinno odbywać się na adres e-mail: SPEDCOM.KATARZYNA@GMAIL.COM oraz bezpośrednio do osoby odpowiedzialnej za zarządzanie incydentami;

d) w miarę możliwości pomagać Administratorowi danych, poprzez odpowiednie środki techniczne i organizacyjne oraz na podstawie odrębnych ustaleń, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;

e) niezwłocznie informować Administratora danych, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów dotyczących ochrony danych;

f) stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.



§ 7


  1. Strony zgodnie ustanawiają odpowiedzialność za niewykonania lub nienależyte wykonanie niniejszej Umowy w formie kar umownych, zgodnie z niniejszym paragrafem.

  2. Strony zgodnie postanawiają, że w przypadku gdy Przetwarzający nie będzie utrzymywał w trakcie trwania niniejszej umowy środków organizacyjnych i technicznych niezbędnych do zapewnienia bezpieczeństwa przetwarzania danych osobowych, a okoliczność ta zostanie stwierdzona w trakcie kontroli u Przetwarzającego, Administrator danych naliczy Przetwarzającemu karę umowną w wysokości 5 000 zł (słownie złotych: pięć tysięcy) płatną w terminie 7 dni kalendarzowych od daty wezwania do zapłaty.

  3. Strony zgodnie postanawiają, że w przypadku gdy Przetwarzający nie będzie przestrzegał postanowień wskazanych w paragrafie 6 niniejszej Umowy, Administrator danych naliczy Przetwarzającemu karę umowną w wysokości 5 000 zł (słownie złotych: pięć tysięcy) płatną w terminie 7 dni kalendarzowych od daty wezwania do zapłaty.

  4. Strony zgodnie postanawiają, że w przypadku gdy Przetwarzający udostępni dane osobowe powierzone mu do przetwarzania przez Administratora danych jakiemukolwiek podmiotowi trzeciemu, który nie będzie posiadał upoważnienia Przetwarzającego zgodnie z §3 niniejszej Umowy, Administrator danych naliczy Przetwarzającemu karę umowną w wysokości 5 000 zł (słownie złotych: pięć tysięcy) płatną w terminie 7 dni kalendarzowych od daty wezwania do zapłaty.

  5. Strony zgodnie postanawiają, że w przypadku gdy Przetwarzający posłuży się do wykonywania czynności objętych niniejszą umową podmiotem trzecim – tj. zleci mu niektóre albo wszystkie czynności przetwarzania danych osobowych objęte niniejszą umową bez uprzedniej szczegółowej albo ogólnej pisemnej zgody Administratora danych Administrator danych naliczy Przetwarzającemu karę umowną w wysokości 10 000 zł (słownie złotych: dziesięć tysięcy) płatną w terminie 7 dni kalendarzowych od daty wezwania do zapłaty.

  6. Strony zgodnie postanawiają, że w przypadku gdy Przetwarzający uniemożliwi Administratorowi danych przeprowadzani kontroli, o której mowa w §2 ust. 8 niniejszej Umowy Administrator danych naliczy Przetwarzającemu karę umowną w wysokości 5 000 zł (słownie złotych: pięć tysięcy) płatną w terminie 7 dni kalendarzowych od daty wezwania do zapłaty.

  7. Strony zgodnie postanawiają, że w przypadku gdy Przetwarzający nie udostępni Administratorowi danych zgodnie z §2 ust. 5 na jego żądanie danych i informacji związanych z przetwarzaniem danych osobowych udostępnionych Przetwarzającemu przez Administratora danych, Administrator danych naliczy Przetwarzającemu karę umowną w wysokości 5 000 zł (słownie złotych: pięć tysięcy) płatną w terminie 7 dni kalendarzowych od daty wezwania do zapłaty.

  8. W przypadku szkody przewyższającej wysokość zastrzeżonej kary umownej, Administrator danych będzie uprawniony do dochodzenia odszkodowania uzupełniającego na zasadach ogólnych kodeksu cywilnego.




§ 8

    1. Niniejsza Umowa wchodzi w życie z dniem podpisania i zostaje zawarta na czas obowiązywania Umowy.

    2. Administrator danych może rozwiązać Umowę i niniejszą umowę ze skutkiem natychmiastowym w przypadku naruszenia przez Przetwarzającego postanowień §2-§6 niniejszej Umowy.

    3. W przypadku rozwiązania Umowy, Przetwarzający niezwłocznie usunie wszelkie powierzone mu dane osobowe z własnych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczy nośniki papierowe i elektroniczne jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dane osobowe. Dalsze przetwarzanie danych osobowych przez Przetwarzającego jest niedopuszczalne, za wyjątkiem sytuacji określonych przepisami prawa.

    4. Usunięcie powierzonych danych, o którym mowa w ust. 3 niniejszego paragrafu, zostanie potwierdzone protokołem usunięcia, który zostanie przekazany w wersji papierowej Administratorowi danych oraz oświadczeniem, że Przetwarzający nie posiada żadnych danych osobowych które zostały mu powierzone w związku z realizacją Umowy.

    5. W sprawach nieuregulowanych niniejszą Umową mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny. (tj. Dz.U. z 2017 r., poz. 459 z późn.zm.), Ustawy, aktów wykonawczych do Ustawy oraz RODO (od rozpoczęcia stosowania RODO).

    6. Wszelkie spory mogące wyniknąć z niniejszej Umowy, Strony poddają pod rozstrzygnięcie właściwego sądu powszechnego dla siedziby Administratora danych.

    7. Wszelkie zmiany i uzupełnienia niniejszej Umowy oraz załączników do niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

    8. W przypadku uchylenia całości lub części Ustawy lub Rozporządzenia MSWiA, wszelkie odniesienia do Ustawy lub Rozporządzenia MSWiA w niniejszej Umowie powinny być – w miarę możliwości – traktowane jako odniesienia do odpowiednich przepisów RODO i innych obowiązujących przepisów prawa. W celu uniknięcia wątpliwości Strony przyjmują, że w przypadku uchylenia Ustawy lub Rozporządzenia MSWiA, Strony nie będą zobowiązane do spełnienia wymogów tam wskazanych.

    9. Niniejsza Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.


Copyright SPEDCOM 2015 - 2018. All Rights Reserved. Realizacja: M. Wtorek