Umowa powierzenia danych osobowych.

Pomiędzy:

zwanym dalej „Zleceniodawcą” lub „Administratorem danych”,

a

Krzysztofem Winnikiem prowadzącym działalność gospodarczą pod firmą „Pracuj-Legalnie.PL Krzysztof Winnik”, ul. Stroma 6, 34-480 Jabłonka, NIP: 7351598920,

zwanym dalej „Zleceniobiorcą” lub „Podmiotem przetwarzającym”,

zważywszy, że Zleceniobiorca będzie świadczyć na rzecz Zleceniodawcy usługi związane z pomocą przy zatrudnianiu cudzoziemców, a w związku z tym Zleceniobiorca będzie przetwarzać dane osobowe gromadzone przez Zleceniodawcę,

została zawarta umowa następującej treści:

§ 1

Oświadczenia Stron

  1. Administrator danych powierza Zleceniobiorcy do przetwarzania dane osobowe swoich pracowników lub potencjalnych pracowników, w związku, z których zatrudnieniem korzysta z usług Zleceniobiorcy. Dane te zawarte mogą być, w szczególności, na dokumentach takich jak dowód osobisty, paszport, wiza, karta pobytu, dokumenty legalizujące zatrudnienie, umowy będące podstawą zatrudnienia.
  2. Zleceniobiorca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym niniejszą umową.
  3. Zleceniobiorca zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do przetwarzania danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia usług na rzecz Administratora danych. Ponadto, Zleceniobiorca zobowiązuje się do zachowania pełnej poufności w zakresie powierzonych mu do przetwarzania danych.
  4. Zleceniobiorca oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.

§ 2

Cel, zakres, miejsce przetwarzania powierzonych danych osobowych

  1. Administrator danych powierza Zleceniobiorcy przetwarzanie danych osobowych, o których mowa w § 1 ust. 1 umowy wyłącznie w celu świadczenia usług w zakresie analizy, weryfikacji, przygotowywania, kompletowania dokumentacji pracowniczej.
  2. Zleceniobiorca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych ze świadczeniem usług i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
  3. Na wniosek Administratora danych lub osoby, której dane dotyczą Zleceniobiorca wskaże miejsca, w których przetwarza powierzone dane.

§ 3

Zasady przetwarzania danych osobowych

  1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów stron w zakresie przetwarzania powierzonych danych osobowych.
  2. Zleceniobiorca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  3. Zleceniobiorca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
  4. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
  5. Podmiot przetwarzający jest zobowiązany zawiadomić Administratora danych o każdym podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych — nie później niż w terminie 24 (słownie: dwudziestu czterech) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych. W zawiadomieniu Podmiot przetwarzający jest zobowiązany wskazać okoliczności zdarzenia, prawdopodobne przyczyny oraz środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją. Podmiot przetwarzający jest zobowiązany zapewnić Administratorowi danych możliwość uczestniczenia w wyjaśnianiu okoliczności zdarzenia. Podmiot przetwarzający jest zobowiązany udzielić wszystkich informacji oraz wyjaśnień, jak również podjąć wszelkie działania, które umożliwią Administratorowi danych osobowych wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych.
  6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
  7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
  8. Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
  9. Administrator danych kontroluje sposób przetwarzania powierzonych danych po uprzednim poinformowaniu Zleceniobiorcy o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są dane oraz do wglądu do dokumentacji związanej z przetwarzaniem danych. Administrator danych uprawniony jest do żądania od Podmiotu przetwarzającego udzielenia informacji dotyczących przebiegu przetwarzania danych oraz udostępnienia rejestrów przetwarzania (z zastrzeżeniem tajemnicy handlowej Zleceniobiorcy).

§ 4

Podpowierzenie

  1. Podmiot przetwarzający może powierzyć konkretne operacja przetwarzania danych osobowych w drodze pisemnej umowy podpowierzenia innym podmiotom przetwarzającym, pod warunkiem uprzedniej akceptacji podprzetwarzającego przez Administratora danych lub braku sprzeciwu. Zawierając niniejszą umowę, Zleceniodawca akceptuje następujących podprzetwarzających:
    • Smarthost Sp. z o.o. – w zakresie przechowywania danych na serwerze,
    • Google Ireland Limited – w zakresie przechowywania danych na Dysku Google,
    • Firmao Polska Sp. z o.o. – w zakresie przechowywania danych w systemie Firmao,
    • Inflow CRM sp. z o.o. – w zakresie przechowywania danych w systemie Inflow CRM.
  2. Powierzenie przetwarzania danych podprzetwarzającym spoza listy, o której mowa w ust. 1 powyżej, wymaga uprzedniego zgłoszenia Administratorowi danych w celu umożliwienia wyrażenia sprzeciwu. Administrator danych może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia danych konkretnemu podprzetwarzającemu. W razie zgłoszenia sprzeciwu Zleceniobiorca nie ma prawa powierzyć danych poprzetwarzającemu objętego sprzeciwem, a jeżeli sprzeciw dotyczy aktualnego podprzetwarzającego, musi niezwłocznie zakończyć podpowierzenie temu podprzetwarzającemu. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Zleceniobiorca zgłosi Zleceniodawcy w czasie umożliwiającym zapewnienie ciągłości przetwarzania.
  3. Dokonując podpowierzenia, Zleceniobiorca ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Zleceniobiorcy wynikających z niniejszej umowy, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.

§ 5

Odpowiedzialność stron

  1. Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. Powyższe nie wyłącza odpowiedzialności Zleceniobiorcy za przetwarzanie powierzonych danych niezgodnie z umową.
  3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

§ 6

Postanowienia końcowe

  1. Wszelkie zmiany niniejszej umowy powinny być dokonane w formie pisemnej pod rygorem nieważności
  2. W przypadku, gdy niniejsza umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
  3. Umowa zostanie sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
  4. Umowa powierzenia przetwarzania danych zawierana jest na:
A - czas realizacji usługi zleconej przez Administratora danych Zleceniobiorcy, która to usługa wiąże się z przetwarzaniem powierzonych danych B - czas realizacji usługi zleconej przez Administratora danych Zleceniobiorcy, która to usługa wiąże się z przetwarzaniem powierzonych danych. Ponieważ elementem usługi jest przypominanie o kończących się terminach ważności dokumentów, czas obowiązywania umowy obejmuje okres ważności dokumentów legalizujących pobyt oraz zatrudnienie cudzoziemca C - czas współpracy stron, która to współpraca wiążę się z przetwarzaniem powierzonych danych.
Zgadzam się na przetwarzanie udostępnionych przeze mnie danych osobowych