Umowa powierzenia przetwarzania danych osobowych

Mając na uwadze, że w wykonaniu Umowy o świadczenie Usługi Platformy (dalej jako ,,Umowa podstawowa’’), Organizator korzystający z Usług Platformy powierza Usługodawcy przetwarzanie danych osobowych swoich uczestników programu, działając na podstawie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku  z  przetwarzaniem danych osobowych i w sprawie swobodnego  przepływu  takich  danych oraz uchylenia  dyrektywy  95/46/WE  (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) (dalej: RODO),

Organizator i Usługodawca postanawiają co następuje:

1. OŚWIADCZENIA STRON

1. Organizator, będący Administratorem oświadcza, że jest administratorem danych osobowych powierzanych do przetwarzania, w rozumieniu art. 26 ust. 1 RODO.
2. Usługodawca, będący Przetwarzającym oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi RODO oraz krajowych przepisów o ochronie danych osobowych i chroniło prawa osób, których dane dotyczą.

2. PRZEDMIOT UMOWY

1. Niniejsza umowa określa warunki przetwarzania przez Przetwarzającego w imieniu Administratora danych osobowych w zakresie usług wykonywanych na podstawie Umowy podstawowej.
2. Administrator powierza Przetwarzającemu dane osobowe określone w Załączniku nr 1 do niniejszej Umowy do przetwarzania w celu wykonania Umowy podstawowej.

3. CZAS PRZETWARZANIA

1. Przetwarzający świadczy usługi związane z przetwarzaniem danych przez cały czas niezbędny do wykonania Umowy podstawowej.
2. Niniejsza Umowa nie może być wypowiedziana przed upływem okresu obowiązywania Umowy podstawowej.
3. Po zakończeniu świadczenia usług związanych z przetwarzaniem Przetwarzający usunie dane osobowe.
4. Zapisu powyższego nie stosuje się w przypadku, gdy prawo Unii Europejskiej lub państwa członkowskiego nakazuje Przetwarzającemu przechowywanie danych osobowych.

4. PRAWA I OBOWIĄZKI ADMINISTRATORA

1. Administrator jest zobowiązany do zapłaty na rzecz Przetwarzającego wynagrodzenia należnego na podstawie Umowy podstawowej. Przetwarzający nie jest uprawniony do dodatkowego wynagrodzenia z tytułu wykonania niniejszej umowy.
2. Administrator, po wcześniejszym ustaleniu z Podmiotem Przetwarzającym terminu, na 30 dni przed ustaloną datą, ma prawo do dokonywania audytów, w tym inspekcji ochrony danych u Przetwarzającego; Administrator może dokonywać audytów osobiście lub upoważnić do tego wybranego przez siebie audytora.

5. PRAWA I OBOWIĄZKI PRZETWARZAJĄCEGO

Przetwarzający zobowiązuje się do:

1. przetwarzania danych osobowych, w tym w szczególności przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, wyłącznie na udokumentowane polecenie Administratora, przy czym:
   • polecenia Administratora mogą być przekazywane Przetwarzającemu w formie elektronicznej (w szczególności za pomocą poczty elektronicznej czy komunikatorów internetowych), pisemnej, telefonicznie i ustnie;
   • Przetwarzający zobowiązuje się do konsekwentnego dokumentowania poleceń Administratora;
2. poinformowania Administratora w formie pisemnej o obowiązku prawnym przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, nałożonego na Przetwarzającego przez prawo Unii Europejskiej lub państwa członkowskiego, któremu podlega Przetwarzający – Przetwarzający jest zwolniony z powyższego obowiązku, jeżeli prawo zabrania mu udzielenia takiej informacji z uwagi na ważny interes publiczny;
3. podjęcia wszelkich środków wymaganych na mocy art. 32 RODO;
4. pomocy Administratorowi, w miarę możliwości – mając na uwadze charakter przetwarzania oraz dostępne mu informacje:
   • wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
   • wywiązać się z obowiązków określonych a art. 32-36 RODO;
5. udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO;
6. umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenia audytów, w tym inspekcji, i przyczyniania się do nich.
7. Administrator uprawnia Przetwarzającego do przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy – dalej EOG).
8. Przetwarzający przekazuje dane do państw trzecich lub poza EOG, zgodnie z przepisami RODO.

6. PODPOWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator wyraża zgodę na powierzenie przetwarzania danych osobowych innym podmiotom przetwarzającym (dalej zwanych ,,Podwykonawcami’’). Informacja o Podwykonawcach stanowi Załącznik nr 2 do niniejszej Umowy.
2. Przetwarzający każdorazowo poinformuje Administratora na 14 dni przed przekazaniem przetwarzania danych osobowych innemu podmiotowi przetwarzającemu o:

1. • zamiarze skorzystania z usług innego podmiotu przetwarzającego dane osobowe;
   • o tożsamości tego podmiotu.

3. Informacja o planowanych zmianach, o których mowa w ppkt 2 powyżej pojawi się na stronie internetowej Platformy.
4. Administrator danych ma prawo wyrażenia sprzeciwu wobec powierzenia danych osobowych innemu podmiotowi przetwarzającemu w terminie 1 dnia od dnia otrzymania informacji od Przetwarzającego. Dla uniknięcia wątpliwości brak wyrażenia sprzeciwu w ww. terminie uznaje się za zgodę Administratora na podpowierzenie przetwarzania danych osobowych.Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania. Administrator przyjmuje do wiadomości, że w przypadku złożenia sprzeciwu, może dojść do rozwiązania umowy podstawowej, z powodu braku możliwości jej wykonania, tj. braku danych osobowych niezbędnych do wykonania umowy przez przetwarzającego, na co Administrator wyraża zgodę.
5. W razie powierzenia przetwarzania danych osobowych innemu podmiotowi powierzającemu, Przetwarzający zastrzeże co najmniej takie same obowiązki, co nałożone na niego na mocy niniejszej umowy.

7. UPOWAŻNIENIE DO PRZETWRZANIA DANYCH OSOBOWYCH

1. Przetwarzający upoważni do przetwarzania danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
2. Ppkt 1 powyżej nie ogranicza w żaden sposób prawa Przetwarzającego do udzielania upoważnień do przetwarzania danych osobowych na postawie art. 29 RODO.

Załącznik nr 1 do Umowy – Zakres powierzenia danych osobowych

I. CHARAKTER I CEL PRZETWARZANIA

1. Przetwarzanie danych osobowych przez Przetwarzającego ma charakter wtórny.
2. Przetwarzający przetwarza dane w celu wykonania Umowy podstawowej na rzecz Administratora.
3. Przetwarzający będzie przetwarzał dane osobowe poprzez wykonywanie operacji na danych osobowych lub zestawach danych osobowych w sposób niezautomatyzowany, częściowo zautomatyzowany lub zautomatyzowany takich jak:
   • utrwalanie;
   • organizowanie;
   • porządkowanie;
   • przechowywanie;
   • adaptowanie lub modyfikowanie;
   • pobieranie;
   • przeglądanie;
   • wykorzystywanie;
   • ujawnienie poprzez przesłanie;
   • dopasowywanie lub łączenie;
   • ograniczanie, usuwanie lub niszczenie.

II. RODZAJ DANYCH OSOBOWYCH

1. Administrator powierza Przetwarzającemu do przetwarzania wyłącznie dane zwykłe w szczególności:
   • imię/imiona i nazwisko;
   • firma;
   • adres korespondencyjny albo adres zamieszkania;
   • numer telefonu;
   • NIP;
   • data urodzenia;
   • adres e-mail.
2. Zakres powyżej wskazanych danych zwykłych może zostać rozszerzony przez Administratora, za pośrednictwem danych wprowadzonych przez niego na Platformie.
3. Strony ustalają, że Administrator nie będzie wprowadzać danych wrażliwych na Platformę.

III. KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ

Powierzone do przetwarzania dane dotyczą uczestników programów prowadzonych przez Organizatorów w ramach Platformy, stanowiących kategorię osób pełnoletnich.

Załącznik nr 2 do Umowy – Podwykonawcy