Umowa powierzenia przetwarzania danych osobowych

zawarta zgodnie z art. 28 ust. 3 zd. 1 RODO

  • – zwana dalej Umową Powierzenia

pomiędzy

  • Użytkownikiem StronyGratis.pl
  • – zwanym dalej Zleceniodawcą

a

  • nazwa:webme GmbH
  • ulica:Rednitzstrasse 18
  • kod pocztowy, miejscowość, kraj:90449 Nürnberg, Niemcy
  • rejestr handlowy/ numer:Sąd rejonowy w Nürnberg, HRB 28959
  • Prezes zarządu:Benjamin Lochmann
  • – zwaną dalej Zleceniobiorcą
  • – Zleceniobiorca i Zleceniodawca zwani są dalej łącznie Stronami

Załączniki

  • Załącznik nr 1 „Polityka bezpieczeństwa”
  • Załącznik nr 2 „Stosunki podpowierzenia”

1. Przedmiot powierzenia, kategorie danych, osoby, których dane dotyczą, rodzaj, zakres i cel przetwarzania (Art. 28 ust. 3, Art. 30 ust. 2 RODO)

1.1. Przedmiot niniejszej Umowy Powierzenia, dane osobowe przetwarzane na podstawie niniejszej Umowy Powierzenia (art. 4 pkt 1 RODO; zwane dalej „Danymi”), osoby, których dane dotyczą (zwane dalej „osobami których dane dotyczą”), jak również rodzaj, zakres i cel przetwarzania uregulowane są w ramach następujących stosunków prawnych istniejących między Stronami (zwanych dalej Umową Główną):

Stosunki umowne dotyczące korzystania z portalu Stronygratis i związanych z nim usług i funkcji.

Postanowienia niniejszej Umowy Powierzenia mają pierwszeństwo w stosunku do postanowień Umowy Głównej.

1.2. Rodzaj Danych:

  • Dane do umowy (np. imię i nazwisko, adres).
  • Dane kontaktowe (np. e-mail, numer telefonu).
  • Dane dotyczące treści (np. tekst, zdjęcia, wideo).
  • Dane dotyczące umowy (np. przedmiot umowy, czas trwania umowy, kategorie klientów).
  • Dane dotyczące płatności (np. numer konta bankowego, historia płatności).
  • Dane dotyczące korzystania (np. zainteresowania, odwiedzone strony internetowe, zachowania konsumpcyjne, dane dostępu, dane dotyczące rejestrowanych operacji).
  • Metadane/ dane komunikacyjne (np. ID urządzeń, adres IP).

1.3. Przetwarzanie szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO):

  • Co do zasady nie przetwarzamy szczególnych kategorii danych osobowych, chyba, zostaną nam przekazane przez Zleceniodawcę / jego klientów, użytkowników bądź współpracowników itp.

1.4. Kategorie osób, których dane dotyczą:

  • klienci / interesanci.
  • użytkownicy i odwiedzający strony internetowe utworzone za pomocą Stronygratis.

1.5. Cel przetwarzania:

  • Usługi hostingowe.
  • Usługi SaaS.
  • Rejestracja domen.
  • Administrowanie serwerami / konserwacja hardware.

2. Odpowiedzialność i prawo wydawania poleceń

2.1. Zleceniodawca, jako administrator w rozumieniu art. 4 pkt 7 RODO, odpowiedzialny jest za przestrzeganie przepisów prawa o ochronie danych osobowych, w szczególności za wybór podmiotu przetwarzającego, danych do niego przekazywanych, jak również wydane polecenia (Art. 28 ust. 3 lit. a, art. 29 i 32 ust. 4 RODO).

2.2. Zleceniobiorca uprawniony jest do przetwarzania Danych wyłącznie w ramach Umowy Głównej oraz na polecenie Zleceniodawcy (co dotyczy w szczególności uprawnienia do przetwarzania, usuwania i ograniczenia przetwarzania) i wyłącznie jeżeli jest to niezbędne, chyba, że obowiązek przetwarzania Danych nakłada na Zleceniobiorcę prawo Unii lub prawo państwa członkowskiego, któremu podlega Zleceniobiorca; w takim przypadku przed rozpoczęciem przetwarzania Zleceniobiorca informuje Zleceniodawcę o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny (art. 28 ust. 3 zd. 2 lit. a RODO).

2.3. Zleceniodawca uprawniony jest do udzielania w każdym czasie dodatkowych poleceń dotyczących przetwarzania Danych i stosowanych środków bezpieczeństwa.

2.4. Zleceniobiorca niezwłocznie informuje Zleceniodawcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie obowiązujących przepisów o ochronie Danych. Zleceniobiorca uprawniony jest w tym przypadku wstrzymać się z wykonaniem polecenia do momentu potwierdzenia polecenia przez Zleceniodawcę, a w razie ewidentnej sprzeczności z prawem polecenia, do odmowy jego wykonania.

2.5. Zleceniobiorca uprawniony jest do odmowy wykonania polecenia, jeżeli jego wykonanie jest dla Zleceniobiorcy niemożliwe bądź nieracjonalne (w szczególności gdy jego wykonanie wiązałoby się z nieproporcjonalnym nakładem bądź ze względu na brak możliwości technicznych jego wykonania). Odmowa może nastąpić wyłącznie po uwzględnieniu usprawiedliwionego interesu ochrony Danych osoby, której dane dotyczą i uprawnia Zleceniobiorcę do rozwiązania Umowy Powierzenia w trybie nadzwyczajnym, jeśli jej dalszego obowiązywania nie można od Zleceniobiorcy racjonalnie oczekiwać. Jeżeli rozwiązanie Umowy Powierzenia następuje przed upływem uzgodnionego okresu obowiązywania umowy, Zleceniodawca jest zobowiązany do dalszej zapłaty uzgodnionego wynagrodzenia, chyba że Zleceniobiorca ponosi odpowiedzialność za wydanie polecenia stanowiącego przyczynę rozwiązania Umowy Powierzenia bądź leży ono w zakresie jego ryzyka.

2.6. W przypadku, gdy dodatkowe polecenia Zleceniodawcy wykraczają poza obowiązek świadczenia Zleceniobiorcy i nie wynikają one z niewłaściwego działania Zleceniobiorcy, Zleceniodawca zobowiązany jest do wyrównania dodatkowych kosztów poniesionych przez Zleceniobiorcę w osobnym zakresie.

2.7. Strony mogą wyznaczyć osoby uprawnione do wydawania i odbierania poleceń (w szczególności, gdy nie wynika to z Umowy Głównej) i są zobowiązane niezwłocznie informować o zmianach w tym zakresie.

3. Bezpieczeństwo przetwarzania i związane z tym obowiązki

3.1. Zleceniobiorca będzie kształtował wewnątrzzakładową organizacje w sferze jego odpowiedzialności zgodnie z wymogami prawa, a w szczególności wdrażał odpowiednie środki techniczne i organizacyjne (zwane dalej: „TOM”), w celu zapewnienia odpowiedniego bezpieczeństwa, poufności, integralności i dostępności Danych Zleceniodawcy, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, a także zapewniał ich przestrzeganie (art. 28 ust. 3 i art. 32 – 39 w zw. z art 5 RODO). Do TOM-ów należą w szczególności: kontrola fizycznego dostępu do urządzeń przetwarzania danych, kontrola używania urządzeń przetwarzania danych, kontrola dostępu do danych, kontrola dalszego przekazywania danych, kontrola powierzania, kontrola dostępności, kontrola oddzielnego przetwarzania danych i zabezpieczenia praw osób, których dane dotyczą.

3.2. TOM gwarantowane niniejszą Umową Powierzenia zostały określone w załączniku nr. 1 do Umowy („Polityka bezpieczeństwa”). Środki te mogą być ulepszane zgodnie z postępem technicznym oraz zastępowane innymi adekwatnymi środkami ochrony, o ile nie spowoduje to obniżenia poziomu bezpieczeństwa zapewnionego przez zagwarantowane w niniejszej Umowie Powierzenia środki oraz pod warunkiem poinformowania Zleceniodawcy o istotnych zmianach.

3.3. Zleceniobiorca zapewnia, że osoby upoważnione do przetwarzania danych osobowych Zleceniodawcy zobowiązane są do zachowania tajemnicy oraz zostały pouczone o postanowieniach RODO lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 zd. 2 lit. b i art. 29, art. 32 ust. 4 RODO).

3.4. Dane, nośniki danych oraz wszelkie ich kopie, przekazane w ramach Umowy Powierzenia, pozostają własnością Zleceniodawcy, a Zleceniobiorca zobowiązany jest do starannego ich zabezpieczenia przed nieuprawnionym dostępem osób trzecich i mogą być zniszczone wyłącznie za zgodą Zleceniodawcy oraz z zachowaniem przepisów o ochronie danych osobowych. Kopie danych mogą być wykonywane wyłącznie, gdy są one niezbędne do wypełnienia głównych i pobocznych zobowiązań Zleceniobiorcy wobec Zleceniobiorcy (np. tworzenie kopii zapasowych).

3.5. Zleceniobiorca powołuje inspektora ochrony danych osobowych, spełniającego wymogi przewidziane prawem, jeżeli obowiązek ten wynika z przepisów RODO bądź przepisów uzupełniających, w szczególności prawa krajowego oraz informuje o tym odpowiednio Zleceniodawcę (art. 37 – 39 RODO).

4. Obowiązki informacyjne i obowiązek współdziałania

4.1. Osoby, których dane dotyczą realizują swoje uprawnienia względem Zleceniodawcy, przy czym Zleceniobiorca zgodnie z art. 28 ust. 3 zd. 2 lit. e RODO pomaga Zleceniodawcy wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a w szczególności informuje go o wpływających do niego zapytaniach osób, których dane dotyczą.

4.2. Zleceniodawca zobowiązany jest niezwłocznie informować Zleceniobiorcę w sposób wyczerpujący, jeżeli zauważy błędy w zakresie przetwarzania Danych bądź niespójności w zakresie przestrzegania Umowy Powierzenia bądź mających zastosowanie przepisów o ochronie danych.

4.3. W przypadku, gdy Zleceniobiorca ustali fakty uzasadniające przypuszczenie, że doszło do naruszenia ochrony przetwarzanych dla Zleceniodawcy danych, Zleceniobiorca jest zobowiązany do natychmiastowego i wyczerpującego poinformowania Zleceniodawcy o tym fakcie, niezwłocznego podjęcia niezbędnych środków ochronnych oraz wsparcia Zleceniodawcy w wypełnianiu jego obowiązków zgodnie z art. 33 i 34 RODO.

4.4. Jeżeli bezpieczeństwo danych Zleceniodawcy zostanie zagrożone (zastaw, zajęcie, postępowanie upadłościowe itp.) przez działania osób trzecich (np. wierzycieli, urzędów, sądów itp.), Zleceniobiorca niezwłocznie poinformuje osoby trzecie, że Dane należą wyłącznie do Zleceniodawcy i podlegają wyłącznie jego władztwu oraz w razie potrzeby, po konsultacji ze Zleceniodawcą podejmie odpowiednie środki ochronne (np. wniesienie sprzeciwu, wniosków itp.).

4.5. Zleceniobiorca poinformuje Zleceniodawcę niezwłocznie, jeżeli organ nadzorczy podejmie działania względem Zleceniobiorcy, a jego działanie może mieć wpływ na Dane przetwarzane dla Zleceniobiorcy. Zleceniobiorca wspiera Zleceniodawcę przy wykonywaniu jego obowiązków względem organu nadzorczego (w szczególności obowiązku informowania i znoszenia kontroli; art. 31 RODO).

4.6. Zleceniobiorca udziela Zleceniodawcy informacji dotyczących przetwarzania danych w ramach niniejszej Umowy Powierzenia, które są niezbędne do wypełnienia obowiązków prawnych (obejmujących w szczególności zapytania osób, których dane dotyczą i organów oraz obowiązek rozliczalności zgodnie z art. 5 ust. 2 RODO jak również dokonywania oceny skutków dla ochrony danych zgodnie z art. 35 RODO), o ile Zleceniodawca nie może uzyskać tych informacji we własnym zakresie. Informacje te muszą być dostępne dla Zleceniobiorcy i nie ma on obowiązku pozyskiwania ich od osób trzecich, przy czym pracownicy, pełnomocnicy i podwykonawcy Zleceniodawcy nie są uznawani za osoby trzecie.

4.7. W przypadku, gdy udostępnianie niezbędnych informacji i współdziałanie wykraczają poza zakres obowiązku świadczenia Zleceniobiorcy wynikający z Umowy Głównej i nie opierają się na niewłaściwym działaniu Zleceniobiorcy, Zleceniodawca zobowiązany jest do wyrównania dodatkowych kosztów poniesionych przez Zleceniobiorcę w osobnym zakresie.

5. Uprawnienia kontrolne

5.1. Zleceniodawca uprawniony jest do kontrolowania w każdym czasie i w odpowiednim zakresie przestrzegania przez Zleceniobiorcę przepisów prawa, postanowień niniejszej Umowy Powierzenia, a w szczególności TOM-ów (art. 28 ust. 3 lit. h RODO).

5.2. Kontrole w siedzibie Zleceniobiorcy przeprowadzane są w zwykłych godzinach pracy, wymagają uprzedniego zgłoszenia Zleceniobiorcy przez Zleceniodawcę z zachowaniem odpowiedniego terminu (min. 14 dni, za wyjątkiem sytuacji wyjątkowych), a Zleceniobiorca ma obowiązek wspierania kontroli (np. poprzez udostępnienie personelu).

5.3. Kontrole winny być ograniczone do niezbędnego zakresu i muszą uwzględniać ochronę tajemnicy przedsiębiorstwa i tajemnic handlowych Zleceniobiorcy oraz danych osobowych osób trzecich (np. innych klientów lub pracowników Zleceniobiorcy). Uprawnionymi do przeprowadzania kontroli są wyłącznie osoby kompetentne, mogące się wylegitymować i które są zobowiązane do zachowania tajemnicy przedsiębiorstwa i tajemnic handlowych Zleceniobiorcy oraz procedur u Zleceniobiorcy oraz danych osobowych osób trzecich.

5.4. Zamiast przeprowadzania inspekcji i kontroli na miejscu, Zleceniobiorca może odesłać Zleceniodawcę do kontroli przeprowadzonej przez niezależne podmioty trzecie (np. niezależnych kontrolerów ochrony danych), zapewnienia zgodności z zatwierdzonymi kodeksami postępowania (art. 40 RODO) lub uzyskanego odpowiedniego certyfikatu ochrony danych lub bezpieczeństwa IT zgodnie z art. 42 RODO. Ma to zastosowanie w szczególności w przypadku, gdy przeprowadzenie kontroli mogłoby zagrażać tajemnicy przedsiębiorstwa i tajemnicom handlowym Zleceniobiorcy lub danym osobowym osób trzecich.

5.5. W przypadku, gdy znoszenie kontroli i współdziałanie przy kontroli, bądź innych adekwatnych środkach stosowanych przez Zleceniodawcę, wykraczają poza obowiązek świadczenia Zleceniobiorcy wynikający z Umowy Głównej i nie opierają się na niewłaściwym działaniu Zleceniobiorcy, Zleceniodawca zobowiązany jest do wyrównania dodatkowych kosztów poniesionych przez Zleceniobiorcę w osobnym zakresie.

6. Stosunki podpowierzania

6.1. Jeżeli do wykonania w imieniu Zleceniodawcy konkretnych czynności przetwarzania Zleceniobiorca korzysta z usług innego podmiotu przetwarzającego (tj. podmiotu podprzetwarzającego), na ten inny podmiot podprzetwarzający nałożone zostają na mocy umowy bądź w inny sposób zgodny z RODO te same obowiązki ochrony danych do których zobowiązał się Zleceniobiorca w niniejszej Umowie Przetwarzania (w szczególności obowiązek wykonywania poleceń, przestrzegania TOM, udzielania informacji, znoszenia kontroli). Ponadto Zleceniobiorca zobowiązany jest starannie wybrać podmiot podprzetwarzający, sprawdzić jego wiarygodność i monitorować czy zachowuje zgodność z wymogami umownymi i prawnymi (art. 28 ust. 2 i ust. 4 RODO).

6.2. Zleceniodawca wyraźnie oświadcza, że przyjmuje do wiadomości, iż Zleceniobiorca uprawniony jest do posługiwania się podmiotami podprzetwarzającymi, bez uszczerbku dla jakichkolwiek ograniczeń wynikających z Umowy Głównej.

6.3. Stosunki podpowierzenia istniejące w chwili zawarcia Umowy Powierzenia określone zostały przez Zleceniobiorcę w Załączniku nr. 2 („Stosunki Podpowierzenia” i są uznane za zatwierdzone przez Zleceniobiorcę.

6.4. Zleceniobiorca poinformuje Zleceniodawcę o zmianach wśród podmiotów podprzetwarzających, które są istotne dla realizacji usługi. Zleceniodawca ma prawo sprzeciwić się zmianom lub nowym podmiotom podprzetwarzającym tylko zgodnie z zasadami dobrej wiary, zasadności i uczciwości.

6.5. Stosunki umowne, w ramach których Zleceniobiorca korzysta z usług osób trzecich jako usług czysto pomocniczych w celu prowadzenia swojej działalności gospodarczej (np. sprzątanie, ochrona lub usługi transportowe), nie stanowią przetwarzania danych w ramach podpowierzenia w rozumieniu powyższych postanowień niniejszej Umowy Powierzenia. Niemniej jednak przetwarzający dane musi zapewnić, np. poprzez zawarcie umów lub udzielenie informacji i instrukcji, że bezpieczeństwo danych nie zostanie w ten sposób zagrożone oraz że przestrzegane będą postanowienia niniejszej Umowy Powierzenia i przepisy o ochronie danych.

7. Przetwarzanie danych w państwach trzecich

7.1. Przetwarzanie danych osobowych zgodnie z umową odbywa się wyłącznie w kraju członkowskim UE bądź w innym państwie Europejskiego Obszaru Gospodarczego (EOG).

7.2. Przetwarzanie danych w imieniu administratora w państwie trzecim, jak również wskutek podpowierzenia, wymaga uprzedniej zgody Zleceniodawcy i może nastąpić wyłącznie, gdy spełnione są przesłanki art. 44 i nast. RODO, chyba, że Zleceniobiorca zobowiązany jest do przetwarzania danych w państwie trzecim na podstawie prawa UE bądź prawa państwa członkowskiego, któremu podlega. W takim przypadku przed rozpoczęciem przetwarzania Zleceniobiorca informuje Zleceniodawcę o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny (art. 28 ust. 3 zd. 2 lit. a RODO).

7.3. Zgodę Zleceniodawcy na przetwarzanie danych w państwie trzecim uważa się za udzieloną w odniesieniu do operacji przetwarzania danych, o których mowa w załączniku nr 2 „Stosunki podpowierzenia”.

8. Czas trwania powierzenia, ustanie umowy, usuwanie danych

8.1. Niniejsza Umowa Powierzenia obowiązuje od momentu jej zawarcia, zawarta jest na czas nieokreślony i ustaje najpóźniej z wygaśnięciem Umowy Głównej.

8.2. Stronom przysługuje prawo do rozwiązania umowy w trybie nadzwyczajnym, w szczególności w przypadku poważnego naruszenia postanowień niniejszej Umowy Powierzenia lub obowiązującego prawa o ochronie danych osobowych. Co do zasady oświadczenie o rozwiązaniu umowy w trybie nadzwyczajnym musi być poprzedzone ostrzeżeniem o naruszeniach w rozsądnym terminie, przy czym nie jest ono konieczne, jeżeli nie należy się spodziewać, że naruszenia, będące powodem rozwiązania umowy, zostaną wstrzymane lub gdy są one tak poważne, że nie można oczekiwać od strony rozwiązującej zachowania obowiązywania Umowy Powierzenia.

8.3. Po zakończeniu świadczenia usług związanych z przetwarzaniem w ramach niniejszej Umowy Powierzenia, zależnie od decyzji Zleceniodawcy, Zleceniobiorca usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie (oraz wszelkie dokumenty, efekty przetwarzania i używania jak i zbiory danych, w których posiadanie wszedł w związku z świadczeniem usług związanych z przetwarzaniem), chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych (art. 28 ust. 1 zd. 2 lit. g RODO). Prawo zatrzymania względem przetwarzanych danych i przynależnych im nośników danych nie przysługuje. W odniesieniu do usunięcia lub zwrotu danych, odpowiednie zastosowanie mają postanowienia niniejszej Umowy Powierzenia dotyczące prawa do informacji, udowodnienia i kontroli.

8.4. W pozostałym zakresie postanowienia niniejszej Umowy w odniesieniu do danych przetwarzanych na polecenie Zleceniodawcy pozostają w mocy także po wygaśnięciu niniejszej umowy.

8.5. W przypadku, gdy usunięcie bądź zwrot danych wykraczają poza obowiązek świadczenia Zleceniobiorcy wynikający z Umowy Głównej i nie wynikają z niewłaściwego działania Zleceniobiorcy, Zleceniodawca zobowiązany jest do wyrównania dodatkowych kosztów poniesionych przez Zleceniobiorcę w osobnym zakresie.

9. Wynagrodzenie

9.1. Wynagrodzenie wynikające z Umowy Powierzenia obejmuje również rekompensatę za godziny pracy personelu zaangażowanego przez Zleceniobiorcę, jak również niezbędne wydatki (np. koszty podróży lub koszty materiałów). W przypadku, gdy będzie to możliwe, przewidywalne i uzasadnione, Zleceniobiorca poinformuje Zleceniodawcę o wysokości wynagrodzenia w drodze odpowiedniego oszacowania.

9.2. W przypadku, gdy na podstawie niniejszej Umowy Powierzenia Zleceniobiorca uprawniony będzie do wynagrodzenia, zostanie ono obliczone na podstawie stawki godzinowej w wysokości 100,00 euro. W pozostałym zakresie zastosowanie mają przepisy Umowy Głównej.

10. Odpowiedzialność

10.1. W stosunkach wewnętrznych ze Zleceniobiorcą, Zleceniodawca jest wyłącznie odpowiedzialny wobec osoby, której dane dotyczą za szkody poniesione przez osobę, której dane dotyczą w wyniku przetwarzania lub wykorzystywania danych, w sposób niedopuszczalny bądź niezgodny z przepisami o ochronie danych w ramach przetwarzania danych na zlecenie Zleceniodawcy, o ile Zleceniodawca ponosi winę za szkody lub jest prawnie lub umownie zobowiązany do przejęcia odpowiedzialności.

10.2. Każda ze stron Umowy zwalnia drugą z odpowiedzialności, jeżeli jedna ze stron Umowy udowodni, że nie ponosi żadnej odpowiedzialności za okoliczności, w wyniku których doszło do powstania szkody u osoby, której dane dotyczą.

11. Postanowienia końcowe, pierwszeństwo, zmiany, forma komunikowania się, wybór prawa i sądu właściwego

11.1. Zmiany, dodatkowe ustalenia i uzupełnienia niniejszej Umowy Powierzenia oraz załączniki do niej wymagają formy pisemnej oraz wyraźnego wskazania, że zmieniają bądź uzupełniają niniejszą Umowę Powierzenia. Powyższe stosuje się także w stosunku do rezygnacji z formy pisemnej.

11.2. Niniejsza Umowa Powierzenia jest wiążąca dla Zleceniobiorcy tylko, jeżeli jest to konieczne do wypełnienia ustawowych obowiązków, w szczególności zgodnie z art. 28 i nast. RODO i nie stwarza dla Zleceniobiorcy żadnych dodatkowych zobowiązań.

11.3. Z zastrzeżeniem obowiązku zachowania formy pisemnej, o którym mowa w niniejszej Umowie Powierzenia i w Umowie Głównej, komunikacja pomiędzy Zleceniobiorcą i Zleceniodawcą w ramach niniejszej Umowy (w szczególności w zakresie poleceń i udostępniania informacji) wymaga co najmniej formy dokumentowej (np. e-mail). Mniej sformalizowana forma (np. ustna) może być dopuszczalna zamiast formy dokumentowej w zależności od okoliczności danego przypadku (np. nagłe wypadki), jednak komunikat musi zostać niezwłocznie potwierdzony co najmniej w formie dokumentowej. Przez formę pisemną rozumie się formę pisemną w rozumieniu RODO.

11.4. W przypadku, gdy Zleceniobiorca jest przedsiębiorcą a nie konsumentem bądź ma miejsce zamieszkania bądź stałego pobytu poza granicami UE, do umowy stosuje się prawo niemieckie. W przypadku, gdy Zleceniodawca jest przedsiębiorcą, osobą prawną prawa publicznego lub specjalnym funduszem prawa publicznego, jak również, gdy Zleceniodawca nie ma właściwości miejscowej w Niemczech, sądem wyłącznie właściwym dla rozstrzygania wszystkich sporów wynikających z niniejszej Umowy Powierzenia lub z nią związanych jest sąd właściwy ze względu na siedzibę Zleceniobiorcy. Zleceniobiorca ma również prawo dochodzenia swoich roszczeń w sądzie właściwym miejscowo zgodnie z przepisami ustawowymi.

Powierzenie danych osobowych do przetwarzania

Załącznik nr 1 – Polityka bezpieczeństwa

Środki techniczne i organizacyjne zgodnie z art. 32 RODO

1. Polityka ochrony danych, prawa osób, których dane dotyczą, ochrona danych w fazie projektowania oraz na poziomie pracowników

Podstawowe środki służące ochronie praw osób, których dane dotyczą, zapewnieniu natychmiastowej reakcji w nagłych wypadkach, zgodności z zasadą ochrony danych w fazie projektowania i ochronie danych na poziomie pracowników:

  • obowiązuje wewnętrzny system zarządzania ochroną danych, którego przestrzeganie jest stale monitorowane, podlegający ewaluacji co najmniej raz na pół roku oraz w sytuacji, gdy jest taka potrzeba.
  • Obowiązuje polityka zapewniająca ochronę praw osób, których dane dotyczą (informowanie, korygowanie, usuwanie lub ograniczenie przetwarzania, przekazywanie danych, odwołania i sprzeciwy) z zachowaniem ustawowych terminów. Obejmuje ona obowiązujące formularze, instrukcje i procedury wykonawcze, a także wyznaczenie osób odpowiedzialnych za ich wdrożenie.
  • Istnieje polityka zapewniająca natychmiastową i zgodną z prawem reakcję na naruszenia danych osobowych (audyt, dokumentacja, sprawozdawczość). Obejmuje ona obowiązujące formularze, instrukcje i procedury wykonawcze, a także wyznaczenie osób odpowiedzialnych za wdrożenie.
  • Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzani, ochrona danych osobowych będzie uwzględniania już na etapie tworzenia bądź wyboru urządzeń komputerowych, oprogramowania oraz procedur zgodnie z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych (art. 25 RODO).
  • Pracownicy zostają zobowiązani oraz pouczeni i przeszkoleni w zakresie obowiązku zachowania poufności jak również pouczeni o możliwej odpowiedzialności. Dla pracowników wykonujących pracę poza zakładem pracy bądź korzystających z prywatnego sprzętu do wykonywania obowiązków służbowych, wprowadzone zostały szczególne przepisy służące ochronie danych oraz zabezpieczeniu praw Zleceniodawcy zlecającego przetwarzanie.
  • Klucze, karty dostępu lub kody wydawane pracownikom, jak również udzielone upoważnienia w zakresie przetwarzania danych osobowych zostaną odebrane z chwilą opuszczenia zakładu pracy bądź zmiany zakresu obowiązków.
  • Personel sprzątający, pracownicy ochrony i inni usługodawcy zaangażowani w realizację zadań pomocniczych są starannie wybierani i dbają o przestrzeganie zasad ochrony danych osobowych.

2. Kontrola fizycznego dostępu

Środki mające na celu uniemożliwienie osobom nieupoważnionym fizycznego dostępu do sprzętu służącego do przetwarzania danych lub korzystania z danych osobowych:

  • Za wyjątkiem komputerów stacjonarnych i urządzeń mobilnych, urządzenia przetwarzające dane osobowe nie są przechowywane w siedzibie firmy. Dane Zleceniodawcy są przechowywane przez zewnętrznych dostawców usług hostingowych zgodnie z wymogami przetwarzania powierzonych danych.
  • Obowiązują zasady fizycznego dostępu dla osób spoza przedsiębiorstwa.
  • Odwiedzający muszą zgłosić swoją wizytę na recepcji, która zostaje odnotowana oraz są odbierani przez pracowników (serwerownie).
  • Odwiedzający serwerownię są rejestrowani.
  • Fizyczny dostęp do urządzeń przetwarzania danych (serwerowni) Zleceniobiorcy jest całkowicie niedostępny dla osób nieupoważnionych i przysługuje wyłącznie upoważnionym pracownikom.
  • W serwerowniach zainstalowano system alarmowy.
  • Fizyczny dostęp jest zabezpieczony przez ręczny system zamykania zamkami bezpieczeństwa.
  • Obowiązuje polityka dotycząca kluczy i kart dostępu (rejestracja wydawania).
  • Wejścia są monitorowane za pomocą kamer wideo (serwerownie).

3. Kontrola używania urządzeń

Środki mające na celu zabezpieczenie przed korzystaniem z systemów przetwarzania danych przez osoby nieuprawnione:

  • Obowiązuje polityka przyznawania uprawnień / ról, za pomocą której definiuje się uprawnienia dostępu pracowników, przedstawicieli i innych osób (np. użytkowników w systemie) i sięgają one tylko w takim zakresie, w jakim są one wymagane do określonego użytku.
  • Wszystkie urządzenia służące do przetwarzania danych są zabezpieczone hasłem.
  • Obowiązuje polityka dotycząca haseł nakazująca, aby wszelkie hasła posiadały odpowiednią długość i stopień trudności zgodnie ze stanem techniki i wymogami bezpieczeństwa.
  • Stosuje się oprogramowanie do zarządzania hasłami.
  • Rejestracja w systemie przetwarzania danych jest rejestrowana.
  • Stosowany jest program antywirusowy.
  • Stosowany jest hardware – firewall.
  • Stosowany jest software- firewall.
  • Strony internetowe i dostępy do oprogramowania online szyfrowane są przy pomocy aktualnych TLS/SSL.
  • Systemy wewnętrzne chronione są przed nieuprawnionym dostępem za pomocą Firewall jak również nazw użytkownika i haseł lub certyfikatów klienta.
  • Mobilne nośniki danych są szyfrowane.

4. Kontrola dostępu do danych i wprowadzania danych

Środki zapewniające, że osoby upoważnione do używania systemów przetwarzania danych mają dostęp wyłącznie do danych objętych ich upoważnieniem oraz, że w toku przetwarzania, korzystania oraz po zapisaniu, Dane nie będą wprowadzane, czytane, kopiowane, zmieniane bądź usuwane bez upoważnienia; środki umożliwiające następcze odtworzenie procedur przetwarzania:

  • Obowiązuje polityka przyznawania uprawnień / ról, za pomocą której definiuje się uprawnienia dostępu pracowników, przedstawicieli i innych osób (np. użytkowników w systemie) i sięgają one tylko w takim zakresie, w jakim są one wymagane do określonego użytku.
  • Rejestrowanie każdego etapu przetwarzania danych, w szczególności dostępu do aplikacji, w szczególności przy wprowadzaniu, zmienianiu i usuwaniu danych.
  • Dostęp pracowników do danych w obszarach o znaczeniu krytycznym z punktu widzenia bezpieczeństwa jest rejestrowany. W przypadku, gdy poszczególne dostępy nie zostały zarejestrowane, zapewnia się możliwość prześledzenia, kto i kiedy miał dostęp do jakich danych (np. poprzez rejestrowanie korzystania z oprogramowania lub wnioskowanie z czasów dostępu i polityki autoryzacji).
  • Rejestrowanie każdego kroku, w szczególności dostępu do aplikacji, m.in. w ramach wprowadzania, zmiany i usuwania danych.
  • Nośniki danych zawierające informacje istotne z punktu widzenia bezpieczeństwa lub dane osobowe są bezpiecznie przechowywane.
  • Obowiązuje polityka usuwania określająca zasady właściwości i obowiązki rejestrowania. Pracownicy zostali poinformowani o wymogach prawnych, okresach usuwania danych i wytycznych dotyczących niszczenia danych i urządzeń przez dostawców usług.
  • Przetwarzanie danych, które nie są usuwane (np. w wyniku prawnych obowiązków archiwizacji) jest ograniczone poprzez powiadomienia o blokowaniu i selekcję.
  • Formularze, z których dane zostały przeniesione do operacji automatycznego przetwarzania, przechowuje się, jeżeli wynika to z polecenia Zleceniodawcy lub jeżeli forma papierowa ma znaczenie prawne.

5. Kontrola dalszego przekazywania

Środki zapewniające, że podczas elektronicznej transmisji danych bądź ich transportu albo zapisywania na nośnikach danych, dane osobowe nie będą w sposób nieuprawniony odczytywane, kopiowane, zmieniane lub usuwane oraz że możliwe jest sprawdzenie i ustalenie punktów, do których dane osobowe mogą być przekazywane za pomocą urządzeń transmisji danych:

  • Określa się osoby upoważnione do dostarczania nośników danych oraz osoby upoważnione do ich odbioru.
  • Istnieje rejestr inwentaryzacyjny i kontrola inwentaryzacji nośników danych.
  • Określony jest okres, przez który możliwy jest dostęp do danych.
  • W przypadku transportu fizycznego wybierane będą bezpieczne pojemniki transportowe lub opakowania albo bezpieczeństwo danych zapewnione zostanie poprzez osobisty nadzór, o ile jest to wystarczające ze względu na zagrożenia dla danych.
  • W przypadku zdalnego dostępu do danych stosuje się środki rejestrowania zapewniające możliwość śledzenia transmisji danych lub ujawniania informacji.
  • Tworzony i sprawdzany jest przegląd procesów regularnego pobierania i przesyłania danych.
  • W przypadku, gdy jest to konieczne, możliwe i uzasadnione, dane będą przekazywane w formie zanonimizowanej lub w formie pseudonimicznej.

6. Kontrola powierzenia

Środki zapewniające, że dane osobowe powierzone do przetwarzania, będą przetwarzane wyłącznie zgodnie z poleceniami Zleceniodawcy:

  • Zobowiązanie pracowników i wykonawców do przestrzegania poleceń.
  • Pisemne potwierdzanie i dokumentowanie poleceń.
  • Zapewnia się przestrzeganie postanowień umownych i przepisów prawa dotyczących powierzenia danych do przetwarzania podmiotom podprzetwarzającym poprzez zawieranie umów i zabezpieczanie niezbędnych gwarancji oraz ich kontrolę.
  • Zapewnia się, że po zakończeniu przetwarzania na podstawie podpowierzenia, Dane zostaną zwrócone bądź zniszczone.

7. Kontrola dysponowania

Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą:

  • Stosuje się solidne systemy serwerowe i usługi zaprojektowane podwójnie lub wielokrotnie, podlegające testom obciążalności i testom sprzętowym, posiadające zabezpieczenie DdoS i oferujące bezprzerwowe zasilanie (np. RAID, zasilacze HA).
  • Stosuje się systemy serwerowe i usługi, które wyposażone są w czujki wilgotności, czujki pożarowe i dymu oraz odpowiednie gaśnice lub gaśnice w pomieszczeniu elektronicznego przetwarzania danych.
  • Stosuje się systemy i usługi serwerowe oferujące niezawodną i kontrolowaną koncepcję tworzenia kopii zapasowych i odzyskiwania danych. Kopie zapasowe są wykonywane codziennie.
  • Kopie zapasowe są również tworzone i kontrolowane w celu przetwarzania danych na komputerach na stanowiskach pracowniczych i urządzeniach mobilnych (serwer lub przechowywanie w chmurze).
  • Dostępność systemów przetwarzania danych jest stale monitorowana.

8. Zapewnienie ograniczenia celu / zasada separacji

Środki zapewniające, że dane osobowe pozyskiwane do różnych celów, przetwarzane będą oddzielnie:

  • Gdy jest to konieczne, możliwe i uzasadnione, dane są fizycznie rozdzielane (np. poprzez używanie różnych serwerów). W przypadku, gdy dane nie są oddzielone w sposób fizyczny, rozdziela się je w sposób logiczny (np. w różnych bazach danych lub poprzez oznaczenie odpowiadającymi im atrybutami celu lub polami danych).
  • Stosuje się politykę autoryzacji zapobiegającą ingerencji nieupoważnionych osób lub procesów.
  • Systemy produkcyjne i badawcze są oddzielone, jeżeli jest to konieczne dla zachowania ograniczenia celu.

Powierzenie danych osobowych do przetwarzania

Załącznik nr 2 – Stosunki podpowierzenia

  • Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia
    Cel: Google Analytics, Google Suite;
    Podstawa umowna: Umowa powierzenia z dnia 26.03.2018;
    Gwarancja w przypadku państw trzecich: Privacy Shield.
  • QSC AG, Mathias-Brüggen-Str. 55, 50829 Köln, Niemcy;
    Cel: Lokalizacja własnego serwera internetowego, połączenie internetowe, usługi w zakresie bezpieczeństwa, usługi konserwacji technicznej;
    Podstawa umowna: Umowa powierzenia w toku.
  • LeaseWeb Deutschland GmbH, Kleyerstraße 75-87, 60326 Frankfurt am Main, Niemcy;
    Cel: miejsce przechowywania i usługi baz danych, usługi w zakresie bezpieczeństwa, usługi konserwacji technicznej;
    Podstawa umowna: Umowa powierzenia z dnia 16.04.2018;
  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen Niemcy;
    Cel: miejsce przechowywania i usługi baz danych, usługi w zakresie bezpieczeństwa, usługi konserwacji technicznej
    Podstawa umowna: Umowa powierzenia z dnia 16.03.2018;
  • Binect GmbH, Robert-Koch-Str. 9, 64331 Weiterstadt, Niemcy;
    Cel: Wysyłka poczty;
    Podstawa umowna: Umowa powierzenia z dnia 17.04.2018;