Trust Hub

Zbiór zasobów prawnych w PeopleForce

Umowa powierzenia przetwarzania danych osobowych
icon

Umowa o przetwarzaniu danych

Warunki

Niniejsze Warunki Przetwarzania Danych Osobowych stanowią Umowę pomiędzy Podmiotem Prawnym, PEOPLEFORCE LTD, zarejestrowanym i działającym zgodnie z prawem Anglii i Walii, o numerze spółki 12537808, z siedzibą pod adresem 10 John Street, London, WC1N 2EB, (która przetwarza Dane Osobowe w imieniu Administratora Danych) (zwana dalej "Podmiotem Przetwarzającym") oraz strona, która zawarła z Podmiotem Przetwarzającym Umowę o Świadczenie Usług w zakresie korzystania z platformy PeopleForce („Regulamin”) (która określa cele i sposoby przetwarzania) (zwana dalej "Administratorem Danych"), zwane dalej łącznie Stronami.

Niniejsza Umowa powierzenia przetwarzania danych określa wymagania techniczne, które Administrator Danych i Podmiot Przetwarzający muszą spełnić przy przetwarzaniu danych. Obejmuje to określenie warunków przechowywania, ochrony, przetwarzania, dostępu i wykorzystywania danych.

Preambuła

Mając na uwadze, że:

  1. (A) Podmiot Przetwarzający, jako Dostawca Usług, udostępnia platformę Peopleforce (zwaną dalej „Platformą”) Administratorowi Danych, zgodnie z Umową o Świadczenie Usług na korzystanie z Platformy PeopleForce (zwanej dalej „Umową o Świadczenie Usług”) podpisaną przez Strony.
  2. (B) Korzystając z Usług Podmiotu Przetwarzającego, Administrator Danych będzie musiał przesłać Dane Osobowe do systemów Podmiotu Przetwarzającego, w odniesieniu do których Administrator Danych działa jako Administrator Danych, a Podmiot Przetwarzający jako Podmiot Przetwarzający.
  3. (C) Ustawodawstwo o ochronie danych, oznacza: Ogólne Rozporządzenie o Ochronie Danych (RODO);
  4. (D) Strony dążą do wdrożenia Umowy Przetwarzania Danych Osobowych zgodnie z Ustawodawstwem o Ochronie Danych;
  5. (E) Strony pragną określić swoje prawa i obowiązki.

Strony postanowiły zawrzeć umowę o następującej treści:

1. Definicje

  1. O ile nie zdefiniowano inaczej, wszelkie terminy pisane w niniejszej Umowie Powierzenia Przetwarzania Danych Osobowych wielką literą mają będą miały następujące znaczenie:

a. „Umowa” oznacza niniejszą Umowę Powierzenia Przetwarzania Danych Osobowych oraz wszelkie załączniki  do niej;

b. „Dane Osobowe Administratora Danych” oznaczają wszelkie Dane Osobowe przetwarzane przez Podmiot Przetwarzający w imieniu Administratora Danych zgodnie z Umową o Świadczenie Usług i niniejszą Umową;

c. „Przetwarzanie” oznacza jakąkolwiek operację lub zestaw operacji, które są wykonywane na Danych Osobowych lub na zbiorach Danych Osobowych, niezależnie od tego, czy są one wykonywane automatycznie, takie jak zbieranie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultacja, używanie, ujawnianie przez przekazywanie, rozpowszechnianie lub w inny sposób udostępnianie, wyrównywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

d. „Podmiot Przetwarzający” - podmiot, który przetwarza Dane Osobowe w imieniu Administratora;

e. „Prawo Ochrony Danych” oznacza RODO i w zakresie, w jakim będzie miało zastosowanie w konkretnych przypadkach, prawo ochrony danych lub prawo ochrony prywatności innych krajów;

f. „EOG” oznacza Europejski Obszar Gospodarczy;

g. „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

h. „Transfer Danych” oznacza:

-przeniesienie Danych Osobowych Administratora Danych z Administratora Danych do Podmiotu Przetwarzającego; lub

-dalsze przeniesienie Danych Osobowych Administratora Danych do dalszych podmiotów przetwarzających, lub między dwoma dalszymi podmiotami przetwarzającymi;

i. „Umowa Zasadnicza” oznacza umowę zawartą pomiędzy Stronami („Regulamin”), o której mowa w punkcie (A) powyżej;

j. „Usługi” oznaczają usługi świadczone przez Podmiot Przetwarzający dla Administratora Danych zgodnie z Umową Zasadniczą;

k. „Dalszy Podmiot Przetwarzający” oznacza każdą osobę i / lub jednostkę wyznaczoną przez lub na rzecz Podmiotu Przetwarzającego do przetwarzania Danych Osobowych w imieniu Administratora Danych w związku z niniejszą Umową;

l. Inne terminy, w tym między innymi: „Komisja”, „Administrator”, „Podmiot Danych”, „Państwo Członkowskie”, „Dane Osobowe”, „Naruszenie Ochrony Danych Osobowych”, „Przetwarzanie” i „Organ Nadzorczy” będą miały takie samo znaczenie, jakie przypisano im w RODO, a ich pokrewne terminy będą interpretowane odpowiednio.

2. Przedmiot i zakres umowy, cel i charakter przetwarzania danych osobowych

  1. Na podstawie art. 28 ust. 3 RODO Administrator Danych powierza Podmiotowi Przetwarzającemu Dane Osobowe do przetwarzania, a Podmiot Przetwarzający zobowiązuje się do ich przetwarzania zgodnie z Umową.
  2. Celem przetwarzania Danych Osobowych jest wykonanie Umowy Zasadniczej, w szczególności świadczenie Usług takich jak gromadzenie, utrwalanie, organizacja, porządkowanie, przechowywanie, odzyskiwanie, łączenie i usuwanie Danych Osobowych w ramach Platformy PeopleForce Podmiotu Przetwarzającego.
  3. Dane osobowe będą przetwarzane przez Podmiot Przetwarzający w formie elektronicznej w systemach informatycznych. Strony oświadczają, że w celu wykonania swoich obowiązków wynikających z Umowy Zasadniczej będą przekazywać sobie dane osobowe wyłącznie w zakresie niezbędnym do tego celu, tj.:

    a. dane osobowe przedstawicieli każdej ze Stron takie jak: imię, nazwisko i stanowisko,
    b. dane osobowe pracowników Administratora Danych biorących udział w realizacji Umowy takie jak: imię, nazwisko, stanowisko, adres e-mail oraz numer telefonu służbowego.
  4. Każda ze Stron przetwarza dane osób, o których mowa w Umowie Zasadniczej w celu wykonania i rozliczenia Umowy Zasadniczej oraz w celach wynikających z prawnie uzasadnionych interesów polegających na ustaleniu, dochodzeniu lub obronie roszczeń prawnych wynikających z lub w związku z Umowa Zasadniczą.
  5. Dla uniknięcia wątpliwości Strony potwierdzają, że w przypadku udostępnienia drugiej stronie Danych Osobowych, druga strona staje się odrębnym administratorem tych Danych Osobowych w rozumieniu art. 4 ust. 7 RODO, tj. to ona je przetwarza w różnych celach i samodzielnie decyduje o środkach ich przetwarzania.
  6. Podmiot Przetwarzający zobowiązuje się do wypełnienia w imieniu Administratora Danych obowiązku informacyjnego wobec wskazanych przez siebie osób, o którym powyżej, w tym poinformowania ich o przekazaniu danych Administratorów Danych w zakresie i w celach opisanych powyżej, w szczególności poprzez wskazanie informacji wymaganych na podstawie art. 13 i 14 RODO.

3. Zasady przetwarzania danych osobowych

  1. Podmiot Przetwarzający może przetwarzać Dane Osobowe Administrator Danych wyłącznie w zakresie i celu przewidzianym w Umowie i Umowie Zasadniczej. Administrator Danych zleca Podmiotowi Przetwarzającemu przetwarzanie Danych Osobowych Administrator Danych w konkretnym celu świadczenia Usług. Ponieważ korzystając z Usług Podmiotu Przetwarzającego, Administrator Danych samodzielnie przesyła Dane Osobowe do systemów Podmiotu Przetwarzającego, w stosunku do których Usługodawca pełni rolę Przetwarzającego Dane, strony uzgodniły w szczególności pewne ograniczenia odpowiedzialności Przetwarzającego Dane, a mianowicie:

    a. Administrator Danych przekazuje swoje Dane Osobowe, a Podmiot Przetwarzający zbiera Dane Osobowe Administratora Danych jako osoby, której dane dotyczą, wyłącznie w celu zapewnienia dostępu do Platformy (jej modułów), w szczególności takie dane jak imię i nazwisko użytkownika lub pełna nazwa firmy, dane rejestrowe, adres e-mail, inne dane niezbędne do rejestracji;
    b. Po udostępnieniu Administratorowi Danych dostępu do Platformy, Administrator Danych samodzielnie i według własnego uznania zbiera i przesyła Dane Osobowe swoich pracowników, osób rekrutujących, osób trzecich do systemów Podmiotu Przetwarzającego; W związku z tym Podmiot Przetwarzający nie gromadzi Danych Osobowych Administratora Danych, a jedynie je przechowuje, w związku z czym nie ponosi odpowiedzialności za ich rzetelność, prawidłowość, legalność, legalny sposób ich gromadzenia itp.;
    c. Administrator Danych ponosi wyłączną odpowiedzialność wobec Podmiotów Danych, których dane Administrator samodzielnie zbiera i przesyła do systemów Podmiotu Przetwarzającego, w tym Dane Osobowe uzyskane z systemów integrujących się z Platformą, a mianowicie za ich legalność, prawidłowość, rzetelność, zgodny z prawem sposób gromadzenia, itp.
    d. Zgodnie z postanowieniami, mimo że moduły platformy PeopleForce umożliwiają użytkownikom dodawanie dodatkowych pól i wprowadzanie danych do tych pól, Procesor Danych nie ułatwia wprowadzania ani przechowywania danych wrażliwych przez użytkowników platformy. Dotyczy to między innymi, lecz nie ogranicza się do informacji osobistych dotyczących dzieci, danych związanych z zdrowiem i kart medycznych użytkowników, danych bankowych itp.
  2. Przetwarzając dane osobowe, Podmiot Przetwarzający zobowiązuje się do przestrzegania przepisów o ochronie danych osobowych, w szczególności RODO.
  3. Jeżeli Przetwarzanie dotyczy Danych Osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne na potrzeby jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia lub życia seksualnego lub seksualnego tej osoby, orientacji lub danych dotyczących wyroków skazujących i wykroczeń, Podmiot Przetwarzający zastosuje określone ograniczenia i/lub dodatkowe zabezpieczenia.
  4. Podmiot Przetwarzający oświadcza, że posiada zasoby, doświadczenie, wiedzę specjalistyczną oraz wykwalifikowany personel umożliwiający prawidłowe wykonanie RODO oraz wdraża odpowiednie środki techniczne i organizacyjne zapewniające, że przetwarzanie spełnia wymogi określone przepisami prawa.
  5. Podmiot Przetwarzający oświadcza, że zapewnił skuteczne środki techniczne i organizacyjne zabezpieczające Dane Osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz uszkodzeniem, zniszczeniem, utratą lub niezgodną z prawem modyfikacją. Przetwarzający oświadcza, że stosowane przez niego środki pozostają w zgodzie z przepisami RODO dotyczącymi bezpieczeństwa przetwarzania, w tym z art. 32 RODO.
  6. Podmiot Przetwarzający zobowiązuje się do zachowania poufności Danych Osobowych oraz wprowadzenia środków zapewniających ich zabezpieczenie, w tym również na okres po rozwiązaniu Umowy, a także zobowiązuje się do dopilnowania, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych Danych Osobowych Administratora Danych zobowiązują się do przechowywania Danych Osobowych oraz ich środków bezpieczeństwa w tajemnicy, także po wygaśnięciu Umowy.
  7. Podmiot Przetwarzający zobowiązuje się, biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje, pomóc Administratorowi Danych w wypełnieniu obowiązków określonych w art. 32-36 RODO; w szczególności Podmiot Przetwarzający zobowiązuje się do przekazania Administratorowi Danych wystarczających informacji oraz wykonania jego poleceń dotyczących sposobów zabezpieczenia powierzonych Danych Osobowych, naruszeń Danych Osobowych będących przedmiotem RODO oraz powiadomienia organu nadzorczego lub osób, którym dane osobowe dotyczą, pomocy w przeprowadzaniu ocen skutków dla ochrony danych oraz we wcześniejszych konsultacjach z organem nadzorczym i wdrażaniu zaleceń tego organu.
  8. Podmiot Przetwarzający zobowiązuje się niezwłocznie przekazać Administratorowi Danych informację o naruszeniu powierzonych Podmiotowi Przetwarzającemu Danych Osobowych, zawierającą informacje niezbędne Administratorowi Danych do zgłoszenia naruszenia organowi nadzorczemu, o którym mowa w art. 33 ust. 3 RODO.
  9. Podmiot Przetwarzający zobowiązuje się w miarę możliwości pomagać Administratorowi Danych za pomocą odpowiednich środków technicznych i organizacyjnych oraz na podstawie odrębnych ustaleń, w wypełnianiu obowiązku odpowiadania na żądania osób, których Dane Osobowe dotyczą, w ramach realizacji przysługujących im praw określonych w Rozdz. III RODO.
  10. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora Danych, jeżeli w ocenie Podmiotu Przetwarzającego wydane mu polecenia stanowią naruszenie RODO lub innych przepisów prawa o ochronie danych osobowych.
  11. Podmiot Przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora Danych o:

a. wszczęciu kontroli przez organ nadzorczy zajmujący się ochroną Danych Osobowych w związku z powierzeniem Podmiotowi Przetwarzającemu Danych Osobowych, a także wszelkich decyzji administracyjnych wydanych wobec Podmiotu Przetwarzającego w związku z powyższym;

b. wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Przetwarzającemu Danych Osobowych, a także wszelkimi decyzjami, nakazami lub wyrokami wydanymi przeciwko Podmiotowi Przetwarzającemu w związku z powyższym;

c. wszelkich zdarzeniach dotyczących Danych Osobowych powierzonych do przetwarzania przez Podmiot Przetwarzający, w tym przypadkowym lub nieuprawnionym dostępie do powierzonych Danych Osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych Danych Osobowych.

4. Pracownicy podmiotu przetwarzającego

  1. Podmiot Przetwarzający podejmie niezbędne kroki, aby zapewnić wiarygodność każdego pracownika, agenta lub kontrahenta Podmiotu Przetwarzającego lub dowolnego Podmiotu Przetwarzającego, który może mieć dostęp do Danych Osobowych, zapewniając w każdym przypadku, że dostęp jest ściśle ograniczony do tych osób, które muszą wiedzieć/ dostępu do odpowiednich Danych Osobowych, jeśli jest to absolutnie konieczne do celów Umowy Głównej, oraz do przestrzegania obowiązujących przepisów w kontekście obowiązków tej osoby wobec Podmiotu Przetwarzającego, zapewniając, że wszystkie takie osoby podlegają zobowiązaniom do zachowania poufności lub obowiązkom zawodowym lub ustawowym do zachowania poufności.

5. Bezpieczeństwo

  1. Biorąc pod uwagę aktualny stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i nasileniu dla praw i wolności osób fizycznych, Podmiot Przetwarzający w odniesieniu do Danych Osobowych Administratora Danych powinien wdrożyć odpowiednie techniczne i organizacyjne środki, aby zapewnić poziom bezpieczeństwa odpowiadający temu ryzyku, w tym, w odpowiednich przypadkach, środki określone w art. 32 ust. 1 RODO. Podmiot Przetwarzający ma obowiązek stosowania nie gorszych środków technicznych i organizacyjnych niż wskazane w Załączniku nr 2.
  2. Oceniając odpowiedni poziom bezpieczeństwa, Podmiot Przetwarzający powinien uwzględnić ryzyka wynikające z przetwarzania Danych Osobowych, w szczególności związane z Naruszeniem Ochrony Danych Osobowych.

6. Prawa podmiotu danych

  1. Biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający zobowiązuje się wspierać w miarę możliwości Administratora Danych poprzez odpowiednie środki techniczne i organizacyjne i wywiązać się z obowiązku odpowiadania na żądania osoby, której Dane Osobowe dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
  2. Podmiot Przetwarzający powinien:

a. niezwłocznie (ale nie później niż w ciągu 3 dni od otrzymania takiego żądania) powiadomić Administratora Danych, jeśli otrzyma żądanie od Podmiotu Danych na mocy jakiegokolwiek przepisu prawa o ochronie danych dotyczącego Danych Osobowych Administratora Danych; oraz

b. upewnić się, że nie odpowie na to żądanie, z wyjątkiem przypadków, gdy jest to wymagane przez obowiązujące przepisy prawa o ochronie danych, których podmiotem jest Podmiot Przetwarzający. W takim przypadku Podmiot Przetwarzający powinien, o ile jest to dozwolone przez obowiązujące przepisy, poinformować Administratora Danych o tym wymogu prawnym przed wysłaniem odpowiedzi na żądanie Podmiotu Danych.

7. Obowiązki administratora danych

  1. Administrator Danych od momentu pozyskania Danych Osobowych zobowiązuje się do wykonania obowiązków nałożonych na niego odpowiednimi przepisami prawa, w tym RODO.
  2. Administrator Danych zobowiązuje się w szczególności do uzyskania we własnym zakresie odpowiedniej podstawy prawnej do przetwarzania Danych Osobowych przekazanych Podmiotowi Przetwarzającemu.

8. Obowiązki podmiotu przetwarzającego

  1. W przypadku gdy Podmiot Przetwarzający działa w imieniu Administratora Danych, Podmiot Przetwarzający ma obowiązek wypełniać obowiązki nałożone na Administratora Danych przez RODO, w tym m.in.:
    a. przekazać osobie, której dane dotyczą, informację o przetwarzaniu danych osobowych zgodnie z art. 13 i 14 RODO;
    b. zawrzeć umowy, dla wykonania których niezbędne jest przetwarzanie danych osobowych.
  2. Oprócz obowiązków Podmiotu Przetwarzającego w zakresie pomocy Administratorowi Danych, Podmiot Przetwarzający będzie ponadto pomagał Administratorowi Danych w zapewnieniu zgodności z następującymi obowiązkami, biorąc pod uwagę charakter przetwarzania danych i informacje dostępne dla Podmiotu Przetwarzającego:
    a. obowiązek przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę Danych Osobowych („ocena skutków dla ochrony danych”), w przypadku gdy rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych osoby;
    b. obowiązek zasięgnięcia opinii właściwych organów nadzorczych przed przetwarzaniem, jeżeli ocena skutków dla ochrony danych wskazuje, że Przetwarzanie wiązałoby się z wysokim ryzykiem w przypadku braku środków podjętych przez Administratora danych w celu ograniczenia ryzyka;
    c. obowiązek zapewnienia prawidłowości i aktualności danych osobowych, poprzez niezwłoczne poinformowanie Administratora danych, jeżeli Procesor poweźmie informację, że przetwarzane przez niego dane osobowe są nieprawidłowe lub zdezaktualizowane.
  3. Podmiot Przetwarzający powinien być w stanie na żądanie Administratora Danych wykazać spełnienie obowiązków określonych w niniejszym paragrafie.

9. Dalsze przetwarzanie danych osobowych

  1. Podmiot Przetwarzający posiada ogólne upoważnienie Administratora Danych do angażowania Dalszych Podmiotów Przetwarzających w zakresie niezbędnym do świadczenia usług zgodnie z Umową Zasadniczą. Niniejsza zgoda obejmuje podmioty wskazane w Załączniku nr 3, a także inne podmioty, o udziale których Podmiot Przetwarzający powiadomi Administratora Danych (w formie pisemnej lub elektronicznej), a wobec których Administrator nie zgłosi sprzeciwu w terminie 7 dni od dnia otrzymania powiadomienia (w formie pisemnej lub elektronicznej).
  2. W przypadku zgłoszenia sprzeciwu Podmiot Przetwarzający podejmie próbę zmiany zaangażowania kolejnego podmiotu zgodnie ze zgłoszonym sprzeciwem. Administrator Danych nie powinien sprzeciwiać się zaangażowaniu Dalszych Podmiotów Przetwarzających, jeżeli przetwarzanie Danych Osobowych przy pomocy wskazanego Dalszego Podmiotu Przetwarzającego będzie możliwe bez naruszenia prawa lub będzie powodować istotne ryzyko dla praw lub wolności osób, których dane mają być przetwarzane.
  3. Podmiot Przetwarzający zapewni, że z każdym Dalszym Podmiotem Przetwarzającym zostanie zawarta odpowiednia umowa o udostępnianiu danych oraz, że taka umowa będzie zawierać odpowiednie środki ochrony Danych Osobowych, na poziomie nie mniej rygorystycznym niż wynikający z niniejszej Umowy.
  4. Podmiot Przetwarzający może przekazać powierzone mu do przetwarzania Dane Osobowe podmiotom zlokalizowanym w krajach spoza EOG. Podmiot Przetwarzający zadba o to, aby w każdym przypadku, gdy dla takiego państwa nie została wydana decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, zastosowany został odpowiedni mechanizm umożliwiający zgodne z prawem przekazanie danych, a także, jeśli zajdzie taka potrzeba, odpowiednie Zabezpieczenia.

10. Naruszenie ochrony danych osobowych

  1. Podmiot Przetwarzający powinien niezwłocznie powiadomić Administratora Danych (ale nie później niż w ciągu 72 godzin od wystąpienia Naruszenia Ochrony Danych Osobowych) po tym, jak Podmiot Przetwarzający dowie się o Naruszeniu Ochrony Danych Osobowych dotyczącego Danych Osobowych Administratora Danych, dostarczając Administratorowi Danych wystarczających informacji, tak aby umożliwić Administratorowi Danych spełnienie wszelkich obowiązków zgłoszeniowych lub informacyjnych wobec Podmiotów Danych i organów nadzorczych o Naruszeniu Ochrony Danych Osobowych, na mocy przepisów o ochronie danych.
  2. W przypadku Naruszenia Ochrony Danych Osobowych dotyczącego Danych Osobowych Administratora Danych, Podmiot Przetwarzający powinien wspierać Administratora Danych poprzez:
    a. (na pisemne żądanie Administratora Danych) w zgłoszeniu Naruszenia Ochrony Danych Osobowych właściwym organom nadzorczym, bez nieuzasadnionej zwłoki po tym, jak Administrator Danych dowiedział się o Naruszeniu, chyba że Naruszenie Ochrony Danych Osobowych nie spowoduje ryzyka dla praw i wolności osób fizycznych;
    b. w uzyskaniu następujących informacji, które, zgodnie z art. 33(3) RODO, powinny być podane w zawiadomieniu, i muszą zawierać przynajmniej:

    i. rodzaj Danych Osobowych, w tym, tam gdzie to możliwe, kategorie i przybliżoną liczbę Podmiotów Danych, których dotyczy Naruszenie Ochrony Danych Osobowych oraz kategorie i przybliżoną liczbę rekordów Danych Osobowych;
    ii. prawdopodobne konsekwencje Naruszenia Ochrony Danych Osobowych;
    iii. środki podjęte lub proponowane w celu rozwiązania Naruszenia Ochrony Danych Osobowych, w tym, w odpowiednich przypadkach, środki mające na celu złagodzenie jego możliwych negatywnych skutków.

    Jeżeli nie jest możliwe dostarczenie wszystkich ww. informacji jednocześnie, pierwsze zawiadomienie powinno zawierać dostępne wówczas informacje, a dalsze informacje powinny być dostarczane bez nieuzasadnionej zwłoki, gdy staną się dostępne dla Stron Umowy.
  3. Podmiot Przetwarzający powinien współpracować z Administratorem Danych i podjąć wszystkie niezbędne kroki, zgodnie z wytycznymi Administratora Danych, w celu wspierania w dochodzeniu, łagodzeniu i naprawie każdego Naruszenia Ochrony Danych Osobowych.

11. Ocena skutków dla ochrony danych, uprzednie konsultacje i prawa do audytu

  1. Podmiot Przetwarzający powinien wspierać Administratora Danych w przeprowadzeniu ocen skutków dla ochrony danych oraz w uprzednich konsultacjach z organami nadzorczymi lub innymi właściwymi organami ds. ochrony danych osobowych, które Administrator Danych uzna za konieczne na mocy artykułu 35 lub 36 RODO lub podobnych przepisów jakiejkolwiek ustawy o ochronie danych lub prywatności, w związku z przetwarzaniem Danych Osobowych Administratora Danych przez Podmiot Przetwarzający, biorąc pod uwagę charakter przetwarzania oraz informacje dostępne dla Podmiotu Przetwarzającego i Dalszych Podmiotów Przetwarzających.
  2. Podmiot Przetwarzający powinien udostępnić Administratorowi Danych wszystkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej Umowie oraz wynikającymi bezpośrednio z RODO lub innych obowiązujących ustaw o ochronie danych. Na żądanie Administratora Danych, Podmiot Przetwarzający powinien również zezwolić na i wspierać audyty działań przetwarzania objętych niniejszą Umową, w rozsądnych odstępach czasu lub gdy występują oznaki niezgodności. Decydując o przeglądzie lub audycie, Administrator Danych może wziąć pod uwagę odpowiednie certyfikaty posiadane przez Podmiot Przetwarzający.
  3. Administrator Danych lub upoważniony przez niego audytor zewnętrzny ma prawo sprawdzić przestrzeganie przez Procesora zasad przetwarzania Danych Osobowych, o których mowa w RODO oraz obowiązujących przepisach prawa, w szczególności poprzez żądanie informacji na temat przetwarzania Danych Osobowych przez Administratora Podmiot przetwarzający niezbędny do wykazania spełnienia określonych obowiązków określonych w art. 28 RODO, środki techniczne i organizacyjne służące zapewnieniu, że przetwarzanie odbywa się zgodnie z prawem lub kontroli Przetwarzającego, po wcześniejszym uzgodnieniu przez Strony na 10 dni przed planowaną kontrolą. Procesor dokona niezbędnych działań, aby Administrator mógł skorzystać z tego prawa.
  4. Administrator Danych może na żądanie udostępnić informacje, o których mowa w niniejszym paragrafie, w tym wyniki ewentualnych audytów właściwemu Organowi Nadzorczemu.

12. Transfer danych

  1. W przypadku przekazania danych osobowych przetwarzanych na podstawie niniejszej Umowy z państwa należącego do EOG do państwa spoza EOG Strony zapewniają odpowiednią ochronę danych osobowych. Każdorazowo, gdy dla takiego państwa nie została wydana decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony, stosowany jest odpowiedni mechanizm umożliwiający zgodne z prawem przekazanie danych, a także, jeżeli jest to wymagane, odpowiednie zabezpieczenia. Aby to osiągnąć, Strony, o ile nie uzgodniono inaczej, będą opierać się na zatwierdzonych przez UE standardowych klauzulach umownych dotyczących przekazywania danych osobowych.

13. Poufność

  1.  Strony muszą zachować w tajemnicy niniejszą Umowę oraz informacje, które otrzymują o drugiej Stronie i jej działalności w związku z niniejszą Umową oraz wszelkie Dane Osobowe otrzymane od drugiej Strony („Informacje Poufne”) i nie może wykorzystywać ani ujawniać tych Informacji Poufnych bez uprzedniej pisemnej zgody drugiej Strony, chyba że:
    a. ujawnienie jest wymagane przez przepisy obowiązującego prawa;
    b. odpowiednie informacje są już w domenie publicznej (chyba że znajdują się w domenie publicznej w wyniku naruszenia obowiązku zachowania poufności).

14. Czas obowiązywania umowy

  1. Umowa zostaje zawarta na czas obowiązywania Umowy Zasadniczej pomiędzy Stronami.
  2. Przetwarzanie danych osobowych na podstawie RODO będzie odbywać się przez okres niezbędny do realizacji usług na rzecz Administratora Danych, nie dłużej jednak niż do czasu rozwiązania RODO lub Umowy Zasadniczej. Rozwiązanie którejkolwiek z umów, o których mowa w zdaniu poprzedzającym, powoduje automatyczne rozwiązanie obu umów.

15. Nieprzestrzeganie umowy i wypowiedzenie

  1. Bez uszczerbku dla jakichkolwiek przepisów RODO, w przypadku naruszenia przez Podmiot Przetwarzający swoich obowiązków wynikających z Umowy lub obowiązujących przepisów o ochronie danych, Administrator Danych może nakazać Podmiotowi Przetwarzającemu zawieszenie przetwarzania Danych Osobowych Administratora Danych do czasu, aż ten zastosuje się do niniejszej Umowy i przepisów o ochronie danych lub do momentu zakończenia niniejszej Umowy. Podmiot Przetwarzający powinien niezwłocznie poinformować Administratora Danych w przypadku, gdy nie jest w stanie zastosować się do niniejszej Umowy lub przepisów o ochronie danych, z jakiegokolwiek powodu.
  2. Administrator Danych będzie uprawniony do rozwiązania niniejszej Umowy (oraz Umowy Zasadniczej), jeśli bez uprzedzenia:
    a. przetwarzanie Danych Osobowych Administratora Danych przez Podmiot Przetwarzający zostanie zawieszone przez Administratora Danych, a zgodność przetwarzania z przepisami o ochronie danych nie zostanie przywrócona w rozsądnym czasie, a w każdym przypadku nie później niż w ciągu 14 dni od zawieszenia;
    b. Podmiot Przetwarzający dopuści się istotnego lub uporczywego naruszenia Umowy lub swoich obowiązków wynikających z RODO;
    c. Podmiot Przetwarzający nie zastosuje się do wiążącej decyzji właściwego sądu lub właściwego organu nadzorczego dotyczącej jego obowiązków na mocy niniejszej Umowy i/lub RODO oraz/lub innych przepisów o ochronie danych.
    Powody do rozwiązania umowy wymienione powyżej nie powinny być interpretowane jako ograniczenie jakiegokolwiek prawa do rozwiązania Umow Zasadniczej.
  3. Podmiot Przetwarzający będzie uprawniony do rozwiązania Umowy, jeżeli po poinformowaniu Administratora Danych, że jego polecenia naruszają obowiązujące wymogi prawne w zakresie ochrony danych osobowych, Administrator Danych nalega na zastosowanie się do tych poleceń.

16. Usunięcie lub zwrot danych osobowych

  1. Podmiot przetwarzający niezwłocznie po zaprzestaniu świadczenia jakichkolwiek Usług związanych z przetwarzaniem Danych Osobowych Administratora Danych (w tym między innymi po usunięciu konta Administratora Danych zgodnie z Umową Zasadniczą lub rozwiązaniu niniejszej Umowy), według wyboru: Administratora Danych, usunie wszystkie Dane Osobowe przetwarzane w imieniu Administratora Danych i poświadczy Administratorowi Danych, że to uczynił, lub zwróci wszystkie Dane Osobowe Administratorowi Danych i usunie istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga przechowywania Danych Osobowych. Do czasu usunięcia lub zwrotu danych Podmiot Przetwarzający będzie w dalszym ciągu zapewniał przestrzeganie zapisów Umowy.

17. Postanowienia końcowe

  1. Strony zgodnie ustalają, że odpowiedzialność Podmiotu Przetwarzającego wobec Administratora Danych powstaje w wyniku udowodnionego, bezpośredniego lub pośredniego naruszenia lub niewykonania przez Podmiot Przetwarzający jakiegokolwiek obowiązku związanego z ochroną Danych Osobowych określonego w niniejszej Umowie bądź RODO.
  2. Strony zgodnie ustalają, że Podmiot Przetwarzający nie jest odpowiedzialny za działania Administratora Danych określone w punkcie 5, a mianowicie za zbieranie przez Administratora Danych i przesyłanie do systemów Podmiotu Przetwarzającego, Danych Osobowych pracowników, rekruterów i  jakichkolwiek osób trzecich Administratora Danych, w tym Danych Osobowych, które Administrator Danych zbiera z systemów integrujących się z platformą Podmiotu Przetwarzającego.
  3. Wszelkie powiadomienia i komunikaty przewidziane w Umowie muszą być sporządzone co najmniej w formie dokumentowej i wysłane pocztą elektroniczną na adres: [email protected] or DPO [email protected].
  4. Niniejszą Umowę należy czytać i interpretować w świetle przepisów RODO. Umowa nie może być interpretowana w sposób sprzeczny z prawami i obowiązkami przewidzianymi w RODO lub w sposób naruszający podstawowe prawa lub wolności Podmiotów Danych.

Ostatnia aktualizacja: 29 lutego 2024