Umowa powierzenia przetwarzania danych osobowych

UMOWA dalszego powierzenia (podpowierzenia) danych osobowych

zawarta w dniu 20.03.2024 r. w Warszawie pomiędzy:

Cyber Solutions Sp. z o.o. ("Powierzający")

a

DataGuard Security Inc. ("Odbierający")

Definicje

1. Ogólne rozporządzenie o ochronie danych osobowych lub RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

2. Przepisy o ochronie danych osobowych - RODO oraz inne przepisy krajowe lub unijne mające zastosowanie do przetwarzania danych osobowych.

3. Terminy użyte w Umowie, które zostały zdefiniowane w przepisach RODO mają znaczenie nadane im w tym przepisie.

Oświadczenia Stron

1. Powierzający dane oświadcza, że działa jako podmiot przetwarzający na polecenie administratora/administratorów danych: Global Corp.

2. Odbierający dane oświadcza, że będzie przetwarzał powierzone dane osobowe wyłącznie na udokumentowane polecenie administratora, zakomunikowane mu przez Powierzającego dane oraz na każde dodatkowe udokumentowane polecenia Powierzającego.

3. Administrator lub Powierzający dane może wydawać dalsze udokumentowane polecenia dotyczące przetwarzania danych w okresie obowiązywania umowy.

4. Powierzający oświadcza, że wydawane przez niego dodatkowe polecenia nie będą sprzeczne z poleceniami administratora.

5. Odbierający dane niezwłocznie informuje Powierzającego lub administratora, jeżeli nie może wykonać wydanego mu polecenia.

6. Powierzający gwarantuje, że nałożył takie same obowiązki ochrony danych na Odbierającego - na mocy prawa Unii lub prawa państwa członkowskiego - jak w umowie lub innym akcie prawnym między administratorem a Powierzającym.

Cel i zakres powierzenia

1. Powierzający dane przekazuje Odbierającemu dane w celu/celach przechowywania i przetwarzania danych w chmurze.

2. Odbierający przetwarza dane osobowe wyłącznie w określonym celu/określonych celach przekazywania, chyba że działa na podstawie dalszych poleceń administratora lub Powierzającego.

3. Powierzenie na mocy Umowy obejmuje:

a) Dane osób: klientów

b) W zakresie: imię, nazwisko, adres email, numer telefonu

c) W ramach czynności: gromadzenie, przesyłanie, kopiowanie, analizowanie, przechowywanie, sortowanie, usuwanie.

4. Powierzenie obejmuje dane szczególnych kategorii:

a) Dane osób: pracowników

b) W zakresie: dane medyczne

c) W ramach czynności: gromadzenie, przesyłanie, kopiowanie, analizowanie, przechowywanie, sortowanie, usuwanie.

d) Dodatkowe zabezpieczenia wymagane w związku z przetwarzaniem danych szczególnych kategorii zostały wskazane w załączniku nr 1.

5. Jeżeli Odbierający zda sobie sprawę, że otrzymane przez niego dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki Powierzającego. W takim przypadku Odbierający dane współpracuje z Powierzającym w celu ich sprostowania lub usunięcia.

6. Odbierający niezwłocznie informuje Powierzającego, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania postanowień niniejszej Umowy.

Bezpieczeństwo danych

1. Odbierający dane wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do tych danych (zwanego dalej "naruszeniem ochrony danych osobowych").

2. Przy ocenie odpowiedniego poziomu bezpieczeństwa Odbierający uwzględnia stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą.

3. W przypadku przesyłania i przechowywania danych należy stosować rozwiązania w postaci szyfrowania lub pseudonimizacji danych.

4. Odbierający dane zobowiązuje się wdrożyć i stosować do powierzonych danych co najmniej środki techniczne i organizacyjne określone w załączniku nr 1 do Umowy.

5. Gdy powierzenie obejmuje dane szczególnych kategorii, Odbierający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia opisane w załączniku nr 1.

6. Odbierający dane zobowiązuje się przeprowadzać regularne audyty skuteczności przyjętych środków ochrony danych.

7. Odbierający udziela dostępu do danych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonania umowy, zarządzania umową oraz jej monitorowania, na podstawie upoważnienia do przetwarzania danych.

8. Odbierający zapewnia, że każda osoba upoważniona jest zobligowana do zapewnienia poufności przetwarzanych danych.

Prawo do kontroli przetwarzania

1. Odbierający niezwłocznie i w odpowiedni sposób rozpatruje zapytania Powierzającego lub administratora dotyczące przetwarzania na mocy niniejszej Umowy.

2. Strony będą w stanie wykazać przestrzeganie niniejszej Umowy. W szczególności Odbierający dane przechowuje odpowiednią dokumentację czynności przetwarzania wykonanych w imieniu administratora.

3. Odbierający dane udostępnia Powierzającemu wszelkie informacje niezbędne, aby wykazać przestrzeganie obowiązków określonych w niniejszej Umowie, a Powierzający przekazuje te informacje administratorowi.

4. Odbierający dane umożliwia przeprowadzanie przez Powierzającego audytów czynności przetwarzania objętych niniejszą Umową w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niespełnienia tych obowiązków, a także wnosi wkład w te audyty. Dotyczy to również sytuacji, w których Powierzający żąda audytu wykonania polecenia administratora. Podejmując decyzję dotyczącą przeprowadzenia audytu, Powierzający może uwzględnić odpowiednie certyfikacje posiadane przez Odbierającego.

5. Jeżeli audyt dotyczy polecenia administratora, Powierzający informuje, że udostępni wyniki administratorowi.

6. Powierzający może przeprowadzić audyt samodzielnie lub zlecić jego przeprowadzenie niezależnemu audytorowi. Audyty mogą obejmować kontrole w siedzibie lub obiektach Odbierającego dane i, w stosownych przypadkach, przeprowadzane są po powiadomieniu z rozsądnym wyprzedzeniem.

7. Strony udostępniają właściwym organom nadzorczym na żądanie informacje, pozwalające wykazać zgodność przetwarzania z przepisami, w tym wyniki wszelkich audytów.

Dalsze przekazywanie danych

1. Odbierający nie może zlecać w ramach podwykonawstwa żadnych czynności przetwarzania realizowanych w imieniu Powierzającego podwykonawcy przetwarzania bez uzyskania uprzedniej szczegółowej pisemnej zgody Powierzającego lub administratora.

2. Odbierający przedstawia wniosek o udzielenie szczegółowej zgody wskazanemu dalszemu podmiotowi przetwarzającemu przynajmniej 30 dni przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami:

a) o celu dalszego powierzenia;

b) kategoriach danych, które miałyby podlegać dalszemu powierzeniu;

c) zakresie danych, które miałyby podlegać dalszemu powierzeniu;

d) czynnościach na danych, jakie miałby wykonywać dalszy podmiot przetwarzający;

e) uzasadnieniu konieczności dalszego powierzenia;

f) gwarancjach ochrony danych, jakie daje dalszy podmiot przetwarzający.

3. Odbierający dokonuje dalszego powierzenia danych w drodze umowy, która nakłada na ten dalszy podmiot przetwarzający takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na Odbierającego zgodnie z niniejszą Umową.

4. Odbierający zapewnia, aby dalszy podmiot przetwarzający wypełniał obowiązki, którym podlega Odbierający na mocy niniejszej umowy oraz RODO.

5. Na wniosek Przetwarzającego Odbierający przekazuje mu kopię umowy, jaką zawarł z dalszym podmiotem przetwarzającym, a w razie wprowadzenia zmian przekazuje także każdą jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Odbierający może utajnić tekst umowy przed jej udostępnieniem.

6. Odbierający pozostaje w pełni odpowiedzialny przed Powierzającym za wykonanie obowiązków Odbierającego zgodnie z niniejszą Umową.

7. Odbierający powiadamia Powierzającego, a w stosownych przypadkach także administratora, o każdym przypadku niewywiązania się przez dalszy podmiot przetwarzający z jego zobowiązań umownych.

8. Odbierający dane uzgadnia z dalszym podmiotem przetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą - jeżeli Odbierający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny - Powierzający ma prawo rozwiązać umowę z dalszym podmiotem przetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.

Przekazywanie danych do państwa trzeciego

1. Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez Odbierającego odbywa się wyłącznie na udokumentowane polecenie Powierzającego lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Odbierający, i odbywa się zgodnie z rozdziałem V RODO.

2. Jeżeli Odbierający korzysta z usług dalszego podmiotu przetwarzającego, które wiążą się z przekazywaniem danych osobowych do państwa trzeciego w rozumieniu rozdziału V RODO, Powierzający wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V RODO za pomocą standardowych klauzul umownych przyjętych przez Komisję UE zgodnie z art. 46 ust. 2 RODO, pod warunkiem, że spełnione są warunki stosowania tych standardowych klauzul umownych

Postępowanie przy naruszeniu ochrony danych

1. W przypadku naruszenia ochrony powierzonych danych osobowych Odbierający zastosuje odpowiednie środki w celu zaradzenia temu naruszeniu, w tym środki w celu zminimalizowania jego negatywnych skutków.

2. Po stwierdzeniu naruszenia Odbierający zgłasza naruszenie bez zbędnej zwłoki, w terminie maksimum 72 godzin od stwierdzenia naruszenia, Powierzającemu oraz - w razie potrzeby i w miarę możliwości - administratorowi.

3. Zgłoszenie naruszenia zawiera co najmniej:

a) szczegóły dotyczące punktu kontaktowego, w którym można uzyskać więcej informacji,

b) opis charakteru naruszenia (w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie),

c) możliwe konsekwencje naruszenia,

d) środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

4. Jeżeli oraz w zakresie, w jakim niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, pierwotne zgłoszenie zawiera informacje dostępne w danym momencie, a dalszych informacji Odbierający udziela sukcesywnie, bez zbędnej zwłoki w miarę, jak staną się one dostępne.

5. Odbierający dane współpracuje z Powierzającym i pomaga mu wypełnienie obowiązków określonych w przepisach RODO, w szczególności obowiązku powiadomienia administratora, aby ten mógł z kolei powiadomić właściwy organ nadzorczy i poszkodowane osoby, których dane dotyczą, uwzględniając charakter przetwarzania oraz informacje, do których podmiot odbierający dane ma dostęp.

Czas trwania umowy

1. Umowa zostaje zawarta do dnia 31.12.2025

2. W przypadku gdy Odbierający narusza postanowienia niniejszej Umowy lub nie może zapewnić przestrzegania jej postanowień, Powierzający do chwili ponownego zapewnienia przestrzegania lub rozwiązania Umowy, wstrzymuje przekazywanie danych osobowych Odbierającemu.

3. Powierzający jest uprawniony do rozwiązania Umowy, gdy:

1. wstrzymał przekazywanie danych osobowych, a zgodność z postanowieniami Umowy nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od wstrzymania; lub

2. Odbierający w poważnym stopniu lub uporczywie narusza postanowienia Umowy; lub

3. Odbierający nie zastosował się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z Umowy.

4. Dane osobowe przekazane przed rozwiązaniem umowy muszą zostać - w zależności od wyboru dokonanego przez Powierzającego - niezwłocznie zwrócone lub w całości usunięte. To samo dotyczy wszelkich kopii tych danych.

5. W przypadku decyzji o usunięciu danych, Odbierający poświadcza usunięcie danych Powierzającemu.

6. Do czasu usunięcia lub zwrotu danych Odbierający dane nadal zapewnia zgodność przetwarzania z niniejszą Umową.

7. Jeżeli przepisy prawa, którym podlega Odbierający zabraniają zwrotu lub usunięcia powierzonych danych osobowych, Odbierający gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszej Umowy oraz że będzie przetwarzał dane wyłącznie w zakresie i w czasie wymaganym przez te przepisy.

Realizowanie praw osób, których dane dotyczą

1. Odbierający dane niezwłocznie powiadamia Powierzającego i - w stosownych przypadkach - administratora o każdym żądaniu otrzymanym od osoby, której dane dotyczą, i nie odpowiada na to żądanie, chyba że został do tego upoważniony przez administratora.

2. Odbierający dane postępuje zgodnie z poleceniem administratora przekazanym przez Powierzającego.

3. Odbierający dane pomaga administratorowi, w razie potrzeby we współpracy z Powierzającym, w wypełnianiu jego obowiązków w zakresie odpowiadania na żądania osób, których dane dotyczą, związane z wykonywaniem praw przysługujących tym osobom na podstawie przepisów RODO.

4. Odbierający dane oświadcza, że posiada niezbędne środki techniczne oraz organizacyjne, które umożliwiają zrealizowanie praw osób, których dane dotyczą, określonych w przepisach RODO.

Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą Umową zastosowanie znajdują przepisy powszechnie obowiązującego prawa, w szczególności kodeksu cywilnego.

2. Wszelkie zmiany mowy wymagają formy pisemnej pod rygorem nieważności.

3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

Jan Kowalski                                     Anna Nowak w imieniu Powierzającego                                w imieniu Odbierającego

ZAŁĄCZNIK nr 1

ŚRODKI TECHNICZNE I ORGANIZACYJNE, W TYM ŚRODKI TECHNICZNE I ORGANIZACYJNE MAJĄCE NA CELU ZAPEWNIENIE BEZPIECZEŃSTWA DANYCH

UWAGA WYJAŚNIAJĄCA: Środki techniczne i organizacyjne muszą być opisane w sposób szczegółowy (a nie ogólny).

Opis środków technicznych i organizacyjnych wdrożonych przez Odbierającego (w tym odpowiednich certyfikacji) w celu zapewnienia odpowiedniego poziomu ochrony, biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania oraz ryzyko dla praw i wolności osób fizycznych.

Przykłady ewentualnych środków:

* Środki dotyczące pseudonimizacji i szyfrowania danych osobowych:

◦ Szyfrowanie danych w spoczynku przy użyciu AES-256

◦ Szyfrowanie danych w tranzycie przy użyciu TLS 1.3

◦ Pseudonimizacja danych osobowych przed ich przetwarzaniem

◦ Wykorzystanie kluczy szyfrujących zarządzanych przez HSM

◦ Regularna rotacja kluczy szyfrujących

◦ Stosowanie wieloskładnikowego uwierzytelniania

◦ Kontrola dostępu oparta na rolach

◦ Regularne audyty bezpieczeństwa

* Środki mające na celu ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

* Środki mające na celu zapewnienie zdolności szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

* Procedury regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;

* Środki identyfikacji i autoryzacji użytkowników;

* Środki ochrony danych podczas przekazywania;

* Środki ochrony danych podczas przechowywania;

* Środki mające na celu zapewnienie bezpieczeństwa fizycznego miejsc, w których odbywa się przetwarzanie danych osobowych;

* Środki mające na celu zapewnienie ewidencji zdarzeń;

* Środki mające na celu zapewnienie konfiguracji systemu, w tym konfiguracji domyślnej

* Środki wewnętrznego zarządzania i kierowania w zakresie technologii informacji i bezpieczeństwa informatycznego;

* Środki certyfikacji/zapewnienia procesów i produktów;

* Środki mające na celu zapewnienie minimalizacji danych;

* Środki mające na celu zapewnienie jakości danych;

* Środki mające na celu zapewnienie ograniczonego zatrzymywania danych;

* Środki mające na celu zapewnienie odpowiedzialności;

* Środki mające na celu umożliwienie przenoszenia danych;

ZAŁĄCZNIK III

WYKAZ PODWYKONAWCÓW PRZETWARZANIA

UWAGA WYJAŚNIAJĄCA: Niniejszy załącznik wymaga uzupełniania o moduły drugi i trzeci w przypadku szczególnego upoważnienia podwykonawców przetwarzania (klauzula 9 lit. a), wariant pierwszy).

Administrator zezwolił na korzystanie z usług następujących podwykonawców przetwarzania:

1. Nazwa: Cloud Hosting Solutions Ltd.

   Adres: Londyn, Wielka Brytania

   Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: John Smith, Dyrektor ds. Bezpieczeństwa, [email protected]

   Opis przetwarzania (w tym wyraźnie rozgraniczenie obowiązków, jeżeli upoważnionych jest kilku podwykonawców przetwarzania): Przechowywanie danych w chmurze

2. Nazwa: Data Analytics Inc.

   Adres: Nowy Jork, USA

   Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: Jane Doe, Analityk Danych, [email protected]

   Opis przetwarzania (w tym wyraźnie rozgraniczenie obowiązków, jeżeli upoważnionych jest kilku podwykonawców przetwarzania): Analiza danych

3. Nazwa: Secure Backup Services GmbH

   Adres: Berlin, Niemcy

   Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: Peter Müller, Specjalista ds. Bezpieczeństwa, [email protected]

   Opis przetwarzania (w tym wyraźnie rozgraniczenie obowiązków, jeżeli upoważnionych jest kilku podwykonawców przetwarzania): Tworzenie kopii zapasowych danych