UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Ewindykator.pl | Internetowy System Do Windykacji > UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa  zostaje  zawarta  pomiędzy  poniżej  wymienionymi  stronami  zwanymi  dalej  oddzielnie

Procesorem i Administratorem oraz łącznie Stronami:

Procesor danych osobowych („Procesor”):

Netinteractive sp. z o.o. z siedzibą w Warszawie 03-914, ul. Saska 103/1, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Warszawie XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000612484, REGON: 364134276, NIP: 5272766291, o kapitale zakładowym w wysokości 500 000 zł, w imieniu i na rzecz której działają:

  1. Jan Pisula – Prezes Zarządu
  2. Jacek Grochowina – Wiceprezes Zarządu

a

Administrator danych osobowych („Administrator”)

Każdy podmiot lub osoba korzystająca z systemu eWindykator.pl

Reprezentowana przez:

………………………………………………………………………………………………………….

………………………………………………………………………………………………………….

1. WPROWADZENIE
Niniejsza Umowa powierzenia przetwarzania danych osobowych określa główne zasady przetwarzania danych osobowych i stanowi integralną część istniejącej umowy między stronami o świadczenie usług („Umowa główna”).

 

Niniejsza Umowa powierzenia przetwarzania danych osobowych stanowi porozumienie o przetwarzaniu danych między Stronami i jest dalej określany jako „Umowa”.

2. GŁÓWNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

2.1. Ochrona danych osobowych
Procesor traktuje kwestie ochrony i bezpieczeństwa Danych osobowych z należytą starannością i przetwarza takie informacje zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych oraz Umową. W celu świadczenia usług, Procesor może przetwarzać dane osobowe dotyczące Użytkowników i innych osób, które uzyskują dostęp do usług. Procesor może ujawnić dane osobowe stronom trzecim, zgodnie z Umową.

3. CEL UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Celem niniejszej Umowy jest uregulowanie praw i obowiązków zgodnie z obowiązującym ustawodawstwem dotyczącym ochrony danych w związku z przetwarzaniem danych osobowych przez Procesora w imieniu Administratora.

 

  •  „Umowa” oznacza niniejszą umowę powierzenia i przetwarzania danych osobowych
  • „Prawodawstwo w zakresie ochrony danych” oznacza ogólne rozporządzenie UE o ochronie danych 2016/679 („RODO”) po wejściu w życie, a także krajowe przepisy dotyczące ochrony danych osobowych w kraju, w którym Administrator ma swoją siedzibę, z późniejszymi zmianami, w tym przepisy wdrażające lub uzupełniające RODO.
  •  „Dane osobowe”- za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, W szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy , takie jak imię i nazwisko, dane kontaktowe takie jak adres e-mail, numer telefonu, adres itp.(„Podmiot danych”).
  •  „Subprocesor”- za subprocesora uważa się osoby działające na polecenie i za zgodą oraz upoważnieniem Procesora, które mają dostęp do Danych osobowych, za które w pełni odpowiada Procesor przed Administratorem.
  •  „Polityka Ochrony Danych Osobowych”- dokument, w którym Administrator danych wskazuje cel, podstawy prawne i zakres przetwarzania danych osobowych, a także informacje o podmiotach, którym dane mogą być udostępnione oraz o prawach przysługujących osobom, których dane są przetwarzane.
  •  „Użytkownik”- za użytkownika uważa się użytkownika końcowego systemu po stronie Administratora oraz pracownika Administratora w zależności od sposobu korzystania z usług przez Administratora.
  •  „Umowa główna” – oznacza zawartą pomiędzy Stronami umowę na świadczenie usługi eWindykator.pl

 

Umowa zapewnia przetwarzanie Danych osobowych zgodnie z Prawodawstwem w zakresie ochrony danych i ma na celu zapobieganie wykorzystywaniu Danych osobowych niezgodnie z prawem oraz przekazywaniu Danych osobowych jakiejkolwiek nieuprawnionej osobie trzeciej.

4. ZAKRES PRZETWARZANIA
4.1. Założenia ogólne

  • Administrator określa cele i sposób przetwarzania Danych Osobowych.
  • Procesor, jego Subprocesorzy i inne osoby działające z upoważnienia Procesora, które mają dostęp do powierzonych im Danych Osobowych, przetwarzają Dane Osobowe wyłącznie w imieniu Administratora, zgodnie z niniejszą Umową i udokumentowanymi instrukcjami Administratora, chyba że co innego wynika z przepisów prawa powszechnie obowiązującego.

 

4.2. Zakres przetwarzania
Umowa Przetwarzania dotyczy przetwarzania przez Procesora Danych Osobowych w imieniu Administratora w związku ze świadczeniem usług, na zasadach określonych w niniejszej Umowie.

 

4.3. Cel przetwarzania
Charakter i cel przetwarzania, w tym operacje i podstawowe czynności przetwarzania, są ukierunkowane na zapewnienie świadczenia usług w sposób opisany w niniejszej Umowie.

 

4.4. Kategorie Danych Osobowych i Podmioty Danych

Przetwarzanie obejmuje przetwarzanie informacji związanych z użytkownikami końcowymi Administratora, klientami lub pracownikami Administratora w zależności od sposobu korzystania z usług przez Administratora. Przetwarzanie dotyczy następujących – o ile takie dane zostały przekazane przez Administratora – kategorii Danych Osobowych, z zastrzeżeniem korzystania przez Podmioty danych z usług Administratora:

 

  •  Podstawowe dane , takie jak imię i nazwisko, dane kontaktowe takie jak adres e-mail, numer telefonu, adres zmieszkania itp.
  • Dane związane z treścią komunikacji, takie jak e-maile, wiadomości głosowe, SMS / MMS, dane odczytywania/odsłuchiwania wiadomości itp. zawierające informacje o zadłużeniu Podmiotów danych.

5. OBOWIĄZKI ADMINISTRATORA

  1.  Administrator gwarantuje, że Dane Osobowe są przetwarzane w celach zgodnych z prawem, oraz że Procesor nie przetwarza więcej danych osobowych niż jest to wymagane do spełnienia tych celów.
  2.  Administrator zobowiązuje się do zapewnienia, że w momencie przekazania Danych Osobowych Procesorowi, istnieć będzie ważna podstawa prawna do ich przetwarzania.
  3.  Wszelkie instrukcje dotyczące przetwarzania Danych osobowych zgodnie z niniejszą Umową będą przekazywane Procesorowi.

6. POUFNOŚĆ

  1.  Procesor, jego Subprocesorzy i inne osoby działające z upoważnienia Procesora, które mają dostęp do Danych osobowych, podlegają obowiązkowi zachowania poufności i zachowują tajemnicę zawodową w zakresie przetwarzania Danych osobowych i Polityki Ochrony Danych Osobowych zgodnie z obowiązującym Prawodawstwem w zakresie ochrony danych. Procesor zobowiązuje się zapewnić, aby każdy Subprocesor lub inne osoby działające pod jego zwierzchnictwem, przestrzegały w/w zobowiązania do zachowania poufności.
  2.  Administrator jest objęty obowiązkiem zachowania poufności w odniesieniu do wszelkiej dokumentacji i informacji otrzymanych od Procesora, związanych z wdrożonymi technicznymi i organizacyjnymi środkami bezpieczeństwa Procesora i jego Podprocesorów, a także innych informacji, które procesor chce zachować w tajemnicy.
  3.  Obowiązek zachowania poufności ma również zastosowanie po rozwiązaniu Umowy Przetwarzania.

7. BEZPIECZEŃSTWO
Wymagania bezpieczeństwa dotyczące przetwarzania danych osobowych przez przetwarzającego są określone w załączniku nr 1 do Umowy.

8. DOSTĘP DO DANYCH OSOBOWYCH I WYKONYWANIE PRAW PODMIOTÓW DANYCH

  1.  O ile nie uzgodniono inaczej lub co innego nie wynika z obowiązujących przepisów, Administrator jest uprawniony do żądania dostępu do wszystkich Danych Osobowych przetwarzanych przez Procesora w imieniu Administratora.
  2.  Jeżeli Procesor lub Subprocesor otrzyma wniosek od Podmiotu Danych związany z przetwarzaniem Danych osobowych, Procesor prześle taki wniosek do Administratora, w celu dalszego przetwarzania przez Administratora, chyba że co innego wynika z obowiązujących przepisów prawa lub instrukcji przekazanych przez Administratora.
  3.  Procesor wspiera Administratora przy realizacji jego obowiązku w zakresie udzielania odpowiedzi na wnioski o skorzystanie z praw Podmiotu danych określonych w przepisach dotyczących ochrony danych, w tym prawa Podmiotu danych do: (i) dostępu do jego Danych osobowych, (ii) sprostowania jego Danych osobowych; (iii) usunięcia jego Danych osobowych; (iv) ograniczenie przetwarzania jego Danych osobowych lub całkowitego sprzeciwu wobec przetwarzania jego Danych osobowych; oraz (v) prawa do otrzymywania Danych osobowych w ustrukturyzowanym, powszechnie używanym i możliwym do odczytu komputerowego formacie (możliwość przenoszenia danych).

9. POZOSTAŁE WSPARCIE DLA ADMINISTRATORA

  1.  Jeżeli Procesor lub Subprocesor otrzyma żądanie udzielenia dostępu lub informację od właściwego organu nadzorczego dotyczącą zarejestrowanych Danych osobowych lub przetwarzania danych objętych niniejszą Umową, Procesor o tym fakcie powiadomi Administratora i przekaże mu otrzymane żądanie, chyba że Procesor jest uprawniony do samodzielnego rozpatrzenia takiego żądania.
  2.  Jeżeli Administrator jest zobowiązany do przeprowadzenia oceny skutków i / lub skonsultowania się z organem nadzorczym w związku z przetwarzaniem Danych osobowych przetwarzanych w ramach niniejszej Umowy, Procesor zapewni Administratorowi wsparcie w tym zakresie.

10. POWIADOMIENIE O NARUSZENIU DANYCH OSOBOWYCH

  1. Procesor powiadamia Administratora niezwłocznie (jednak nie później niż w czasie 24 godzin) po powzięciu wiadomości o naruszeniu związanego z przetwarzaniem Danych osobowych („naruszenie danych osobowych”). Administrator jest odpowiedzialny za powiadomienie o naruszeniu Danych osobowych właściwy organu nadzoru.
  2.  W powiadomieniu Administratora należy przynajmniej opisać (i) charakter naruszenia Danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę zainteresowanych Podmiotów danych oraz kategorie i przybliżoną liczbę Danych osobowych, których dotyczy naruszenie; (ii) prawdopodobne negatywne skutki jakie może spowodować naruszenie Danych osobowych; (iii) środki podjęte lub proponowane przez Procesora w celu wyeliminowania naruszenia Danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie ich ewentualnych negatywnych skutków.
  3.  W przypadku, gdy Administrator jest zobowiązany do poinformowania Podmiotów danych o naruszeniu ich Danych osobowych, Procesor współpracuje w tym zakresie z Administratorem, w tym udziela Administratorowi, jeśli jest w posiadaniu takich danych, niezbędnych informacji kontaktowych do zainteresowanych Podmiotów danych. Administrator ponosi wszelkie koszty związane z komunikacją z Podmiotem danych, którego Danych osobowych dotyczy naruszenie. Jeżeli naruszenie danych osobowych jest spowodowane przez okoliczności, za które odpowiedzialny jest Procesor, to on ponosi koszty komunikacji z Podmiotem danych, którego Danych osobowych dotyczy naruszenie.

11. SUBPROCESORZY

  1. Administrator wyraża zgodę na wykorzystanie przez Procesora innego procesora („Subprocesor”) do dalszego przetwarzania danych w ramach świadczenia usług objętych Umową główną, przy założeniu że Procesor zapewni, że:
    a. obowiązki w zakresie ochrony Danych osobowych określone w niniejszej Umowie i Prawodawstwie z zakresu ochrony danych są nakładane na wszelkich Subprocesorów w drodze pisemnej umowy.
    b. Każdy Subprocesor zapewnia w szczególności niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności z Prawodawstwem w zakresie ochrony danych oraz zapewnienia Administratorowi i właściwym organom nadzoru dostępu i informacji niezbędnych do weryfikacji takiej zgodności. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania Subprocesora
  2.  Procesor ponosi pełną odpowiedzialność wobec Administratora za działania Subprocesora.

12. AUDYT

  1.  Administrator i organ nadzoru zgodnie z odpowiednim Prawodawstwem dotyczącym ochrony danych są uprawnieni do przeprowadzania audytów, w tym kontroli wewnętrznych i oceny procesu przetwarzania Danych osobowych, systemów i sprzętu wykorzystywanych w tym celu, wdrożonych środków technicznych i organizacyjnych, w tym Polityki Bezpieczeństwa oraz działalności Subprocesorów. Administrator nie ma dostępu do informacji dotyczących innych klientów Procesora i informacji objętych obowiązkiem poufności.
  2.  Administrator ma prawo przeprowadzać opisane powyżej audyty raz w roku. Jeżeli Administrator wyznacza zewnętrznego audytora do przeprowadzenia audytów, taki zewnętrzny audytor jest związany obowiązkiem zachowania poufności. Administrator ponosi wszelkie koszty związane z audytami przeprowadzonymi na żądanie Administratora, w tym również koszty wynagrodzenia dla Procesora za rozsądny czas spędzony przez niego i jego pracowników, którzy uczestniczą w audycie wewnętrznym. Procesor ponosi jednak koszty audytu, jeżeli kontrola wykaże niezgodność przetwarzania Danych osobowych z niniejszą Umową lub Prawodawstwem w zakresie ochrony danych.

13. OKRES OBOWIĄZYWANIA I WARUNKI WYPOWIEDZENIA

  1. Niniejsza Umowa jest ważna tak długo, jak długo Procesor przetwarza Dane osobowe w imieniu Administratora, niezależnie od czasu trwania umowy głównej.
  2.  W przypadku naruszenia przez Przetwarzającego postanowień niniejszej Umowy lub Prawodawstwa w zakresie ochrony danych, Administrator może (i) polecić Procesorowi zaprzestanie dalszego przetwarzania Danych Osobowych ze skutkiem natychmiastowym; i / lub (ii) wypowiedzieć Umowę Przetwarzania ze skutkiem natychmiastowym.

14. SKUTKI WYPOWIEDZENIA

  1. Po rozwiązaniu Umowy Przetwarzania, Procesor – według uznania Administratora – usunie wszystkie dane osobowe, w tym kopie zapasowe, o ile odrębne przepisy prawa nie stanowią inaczej.
  2.  Procesor zobowiązuje się do złożenia Administratorowi na piśmie oświadczenia potwierdzającego usunięcie Danych zgodnie z Umową Przetwarzania oraz instrukcjami Administratora.

15. ODPOWIEDZIALNOŚĆ

  1. Procesor ponosi odpowiedzialność wobec drugiej strony za szkody w związku z naruszeniem zobowiązań umownych, deliktem (w tym w szczególności na skutek zaniedbania), odpowiedzialnością za produkt lub w jakikolwiek inny sposób. Procesor ponosi również odpowiedzialność za szkody spowodowane oszustwem, rażącym niedbalstwem lub umyślnym niewłaściwym postępowaniem.
  2.  W przypadku wyrządzenia szkód wymienionych w pkt. 16.1. i Procesor będzie pociągnięty do odpowiedzialności finansowej do wysokości łącznego 6-krotnego wynagrodzenia za ostatni okres rozliczeniowy korzystania z usług, przed którym nastąpiło zdarzenie powodujące odpowiedzialność Procesora.

16. ZAWIADOMIENIA I ANEKSY

  1. Wszelkie powiadomienia dokonywane w ramach realizacji niniejszej Umowy należy składać na adres e-mail: biuro@ewindykator.pl
  2.  W przypadku gdy zmiany w Prawodawstwie w zakresie ochrony danych, wydanie orzeczenia sądu lub opinii pochodzącej z innego wiarygodnego źródła powodują zmianę w interpretacji Prawodawstwa w zakresie ochrony danych lub gdy zmiany w zakresie lub sposobie świadczenia usług wymagają wprowadzenia stosownych zmian w Umowie Przetwarzania, strony zobowiązują się do współpracy w dobrej wierze w celu dokonania stosownej aktualizacji zapisów niniejszej Umowy.
  3.  Wszelkie zmiany lub poprawki do niniejszej Umowy będą skuteczne tylko wtedy, gdy zostaną uzgodnione na piśmie i podpisane przez obie strony.

17. PRAWO WŁAŚCIWE I WŁAŚCIWOŚĆ SĄDU

Uzgodnione w Umowie głównej prawo właściwe, metoda rozstrzygania sporów oraz właściwość sądów stosuje się odpowiednio.

Procesor

 

 

 

__________________________________

Administrator

 

 

 

__________________________________

ZAŁĄCZNIK NR 1 – BEZPIECZEŃSTWO

1. WYMÓG ZAPEWNIENIA BEZPIECZEŃSTWA

INFORMACJI

1.1. Procesor, który zgodnie z Umową przetwarza Dane osobowe w imieniu Administratora, wdraża odpowiednie środki techniczne i organizacyjne określone w Prawodawstwie w zakresie ochronie danych i / lub obowiązkach nałożonych przez odpowiedni organ nadzorczy zgodnie z Prawodawstwem w zakresie ochrony danych lub innym obowiązującym prawem ustawowym, w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.

1.2 Procesor ocenia odpowiedni poziom bezpieczeństwa i bierze pod uwagę ryzyko związane z przetwarzaniem Danych w związku z usługami, w tym ryzyko przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

1.3 Wszelkie transfery Danych osobowych między Procesorem a Administratorem lub między Procesorem a jakąkolwiek stroną trzecią odbywają się przy zapewnieniu wymaganego poziomu bezpieczeństwa lub w inny sposób uzgodniony między Stronami.

1.4 Poniżej przedstawiono ogólny opis środków technicznych i organizacyjnych, które Procesor wdroży w celu zapewnienia odpowiedniego poziomu bezpieczeństwa.

2. ŚRODKI TECHNICZNE I ORGANIZACYJNE
2.1. Kontrola dostępu
Procesor podejmie proporcjonalne środki w celu uniemożliwienia nieautoryzowanego fizycznego dostępu do pomieszczeń Procesora i urządzeń, w których przechowywane są Dane osobowe. Środki te mogą obejmować:
• Proceduralne i / lub fizyczne systemy kontroli dostępu
• Blokowanie drzwi lub inne elektroniczne środki kontroli dostępu
• System alarmowy, monitor wideo / CCTV lub inne urządzenia monitorujące
• Rejestrowanie wejść / wyjść z obiektu
• ID, klucz lub inne wymagania dostępu

 

2.2. Kontrola dostępu do systemów

Procesor podejmie odpowiednie środki, aby zapobiec nieuprawnionemu dostępowi do systemów przechowujących Dane Osobowe. Środki te mogą obejmować:
• Procedury haseł (w tym np. Wymagania dotyczące długości haseł lub znaków specjalnych, wymuszona zmiana hasła w częstym trybie itd.)
• Dostęp do systemów podlegających zatwierdzeniu przez kierownictwo działu HR lub administratorów systemów informatycznych
• Brak dostępu do systemów dla użytkowników-gości lub anonimowych kont
• Centralne zarządzanie dostępem do systemu
• Procedury ręcznego blokowania, gdy stacje robocze pozostają bez nadzoru, oraz automatyczna blokada w ciągu maksymalnie 5 minut
• Ograniczenia w korzystaniu z nośników wymiennych, takich jak pendrive, dyski CD / DVD lub przenośne dyski twarde, a także wymagania szyfrowania

 

2.3. Kontrola dostępu do danych
Procesor podejmie proporcjonalne środki, aby uniemożliwić uprawnionym użytkownikom dostęp do danych poza ich uprawnieniami dostępu oraz zapobiec nieuprawnionemu dostępowi do danych, ich usuwaniu, modyfikowaniu lub ujawnianiu. Środki te mogą obejmować:
• Zróżnicowane prawa dostępu, zdefiniowane zgodnie z obowiązkami
• Zautomatyzowany dziennik dostępu użytkownika za pośrednictwem systemów IT

 

2.4. Kontrola wprowadzania danych
Procesor podejmie proporcjonalne środki w celu sprawdzenia i ustalenia, czy i przez kogo Dane osobowe zostały wprowadzone do systemów, zmodyfikowane lub usunięte. Środki te mogą obejmować :
• Zróżnicowane prawa dostępu oparte na zakresie obowiązków
• Zautomatyzowany dziennik dostępu użytkowników i częste przeglądanie dzienników zabezpieczeń w celu wykrycia i monitorowania ewentualnych incydentów
• Zapewnienie, że możliwe jest sprawdzenie i ustalenie, do których organów dane osobowe zostały lub mogą zostać przekazane lub udostępnione za pomocą sprzętu do przesyłania danych

 

2.5. Kontrola jawności
Procesor podejmie proporcjonalne środki, aby zapobiec nieuprawnionemu dostępowi, zmianie lub usunięciu danych osobowych podczas przesyłania danych. Środki te mogą obejmować:
• Wykorzystanie nowoczesnego szyfrowania na wszystkich elektronicznych przesyłach danych
• Szyfrowanie za pomocą sieci VPN w celu zdalnego dostępu, transportu i przesyłania danych
• Korzystanie z całkowicie prywatnych sieci do przesyłania danych

 

2.6. Kontrola dostępności

Procesor podejmie proporcjonalne środki w celu zapewnienia ochrony danych przed przypadkowym zniszczeniem lub utratą. Środki te mogą obejmować:
• Regularne tworzenie kopii zapasowych danych
• Zdalny magazyn
• Wykorzystanie ochrony antywirusowej / zapory systemowej
• Monitorowanie systemów w celu wykrycia wirusa itp.
• Zapewnienie, że zapisane dane nie mogą zostać uszkodzone w wyniku nieprawidłowego działania systemu
• Zapewnienie, że zainstalowane systemy mogą zostać przywrócone w przypadku przerwania
• Nieprzerwane zasilanie (UPS)
• Procedurę ciągłości działania

 

2.7. Kontrola rozdzielenia danych
Procesor podejmie proporcjonalne środki w celu zapewnienia, że dane zbierane do różnych celów są przetwarzane osobno. Środki te mogą obejmować:
• Ograniczenia dostępu do danych przechowywanych w różnych celach w oparciu o obowiązki
• Segregacja biznesowych systemów informatycznych

 

2.8. Kontrola pracy/podwykonawcy
Procesor wdraża środki w celu zapewnienia, że w przypadku przetwarzania danych osobowych na zlecenie dane są przetwarzane ściśle zgodnie z instrukcjami Administratora. Środki te mogą obejmować:
• Jednoznaczne sformułowanie instrukcji kontraktowych
• Monitorowanie realizacji zamówienia

 

2.9. Szkolenie pracowników
Procesor zapewnia, że wszyscy pracownicy zapoznali się z procedurami dotyczące bezpieczeństwa i poufności, w szczególności poprzez:
• Jednoznaczne zapisy w umowach o pracę dotyczące poufności, bezpieczeństwa i zgodności z procedurami wewnętrznymi
• Wewnętrzne procedury i kursy dotyczące wymagań przetwarzania danych osobowych w celu tworzenia świadomości.