UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu 17.04.2024 r. w Poznaniu pomiędzy:
Justyna Bietkał zamieszkała w Białystok, Łąkowa 1, oraz adres poczty elektronicznej:
sche_green@wp.pl
zwaną/ym dalej „ADMINISTRATOREM”
a
spółką LH.PL SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ z siedzibą w Poznaniu (adres siedziby: ul. ks.
Jakuba Wujka 7/26, 61-581 Poznań), wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod nr
0000503852; sąd rejestrowy, w którym przechowywana jest dokumentacja spółki: Sąd Rejonowy Poznań – Nowe
Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego, nr NIP: 7831711517 oraz REGON:
302693647, adres poczty elektronicznej: info@lh.pl
reprezentowaną przy niniejszej czynności przez:
Marek Panek – prezes zarządu
zwaną dalej „PROCESOREM”
łącznie zwanymi dalej „Stronami” lub „Stroną”.
ZWAŻYWSZY ŻE:
Dla potrzeb współpracy prowadzonej przez Strony na podstawie odrębnej Umowy Głównej konieczne jest
powierzenie przez Administratora przetwarzania danych osobowych Procesorowi, a w związku z powyższym
powierzeniem RODO (w szczególności art. 28 RODO) nakłada na Strony szereg obowiązków, w tym zawarcie
Umowy Powierzenia;
Obie Strony zdają sobie sprawę z obowiązków wynikających z RODO i dołożą należytej staranności, aby
współpraca między Stronami oraz przetwarzanie danych na podstawie niniejszej Umowy Powierzenia przez
Strony było zgodne z RODO;
STRONY ZAWIERAJĄ NINIEJSZĄ UMOWĘ POWIERZENIA DANYCH OSOBOWYCH O NASTĘPUJĄCEJ TREŚCI:
I. DEFINICJE
1. Strony zgodnie postanawiają, iż niżej podane terminy będą miały następujące znaczenie:
2. UMOWA GŁÓWNA – umowa serwer272642 z dnia 17.04.2024 zawarta pomiędzy Stronami, w
związku z którą zawierana jest niniejsza Umowa Powierzenia;
3. UMOWA POWIERZENIA, UMOWA – niniejsza umowa powierzenia przetwarzania danych wraz
załącznikami do niej stanowiącymi jej integralną część;
4. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o
ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
II. PRZEDMIOT UMOWY
1. Na podstawie niniejszej Umowy Administrator powierza Procesorowi, w trybie art. 28 RODO,
przetwarzanie danych osobowych wskazanych w Umowie oraz na warunkach wskazanych w Umowie.
2. Powierzenie przetwarzania danych osobowych następuje w związku z realizacją Umowy Głównej
zawartej między Stronami.
3. Szczegółowe określenie przedmiotu powierzenia, czasu trwania przetwarzania, charakteru i celu
przetwarzania, rodzaju danych osobowych oraz kategorii osób, których dane dotyczą zawiera
załącznik numer 1 do Umowy.
4. Postanowienia objęte załącznikiem numer 1 do Umowy mogą być zmienione, rozszerzone lub
ograniczone przez Administratora, co wymaga uprzedniego zawarcia przez Strony aneksu do Umowy.
5. Procesowi z tytułu realizacji niniejszej Umowy nie przysługuje dodatkowe wynagrodzenie ponad to,
które zostało określone przez Strony w Umowie Głównej, z zastrzeżeniem uzasadnionego przypadku o
którym mowa w § 6 ust. 3 Umowy.
III. OŚWIADCZENIA I ZAPEWNIENIA STRON
1. Administrator oświadcza, że:
a. w stosunku do osób, których powierzane na podstawie niniejszej Umowy dane
dotyczą, jest administratorem danych osobowych zgodnie z RODO, a powierzone
Procesorowi dane będą przetwarzane w imieniu Administratora;
b. przetwarzanie przez niego danych powierzonych Procesorowi na podstawie niniejszej
Umowy oraz w ramach Umowy Głównej nie narusza RODO oraz innych przepisów
powszechnie obowiązujących, w szczególności Administrator oświadcza, że
przestrzega zasad dotyczących przetwarzania danych osobowych wskazanych w art.
5 RODO oraz posiada stosowne podstawy prawne do przetwarzania powierzonych
danych i ich powierzenia Administratorowi zgodnie z Umową.
2. Procesor oświadcza, że:
a. zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i
organizacyjnych, by przetwarzanie na podstawie niniejszej Umowy spełniało wymogi
RODO i chroniło prawa osób, których dane dotyczą;
b. przetwarza dane osobowe powierzone na podstawie Umowy wyłącznie na
udokumentowane polecenie Administratora i w imieniu Administratora – co dotyczy
też przekazywania danych osobowych do państwa trzeciego lub organizacji
międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo
państwa członkowskiego, któremu podlega Procesor; w takim przypadku przed
rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku
prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny
interes publiczny;
c. zapewnia, by osoby upoważnione do przetwarzania danych osobowych
powierzonych na podstawie Umowy zobowiązały się do zachowania tajemnicy lub by
podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
IV. ZASADY PRZETWARZANIA POWIERZONYCH DANYCH
1. Procesor przetwarzając powierzone na podstawie Umowy dane podejmuje wszelkie środki wymagane
na mocy art. 32 RODO.
2. Procesor, biorąc pod uwagę charakter przetwarzania powierzonych mu na podstawie Umowy danych,
w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne
wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie
wykonywania jej praw określonych w rozdziale III RODO.
3. Procesor, uwzględniając charakter przetwarzania powierzonych mu na podstawie Umowy danych oraz
dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art.
32–36 RODO.
4. Procesor, po zakończeniu świadczenia usług na podstawie Umowy Głównej związanych z
przetwarzaniem danych i powierzonych na podstawie Umowy, zależnie od decyzji Administratora
usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że
prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
5. Procesor po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je
administratorowi zgodnie z art. 33 ust. 2 RODO.
6. Procesor odpowiada zgodnie z art. 82 ust. 2 RODO za szkody spowodowane przetwarzaniem
powierzonych na podstawie Umowy danych wyłącznie, gdy nie dopełnił obowiązków, które RODO
nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem
instrukcjami Administratora lub wbrew tym instrukcjom. Procesor zostaje zwolniony z
odpowiedzialności wynikającej z art. 82 ust. 2 RODO, jeżeli udowodni, że w żaden sposób nie ponosi
winy za zdarzenie, które doprowadziło do powstania szkody. Odpowiedzialność Procesora na
podstawie Umowy w żadnym wypadku nie może przewyższać odpowiedzialności Procesora określonej
zgodnie z Umową Główną, z zastrzeżeniem bezwzględnie wiążących przepisów prawa, których nie
można wyłączyć ani ograniczyć w drodze umowy.
7. Procesor jest uprawniony do przekazywania powierzonych mu przez Administratora na podstawie
Umowy danych swoim pracownikom i współpracownikom jedynie w przypadku, gdy takie przekazanie
danych będzie niezbędne do realizacji Umowy lub Umowy Głównej oraz jedynie w zakresie i na czas
niezbędny do realizacji tego celu.
V. PODPOWIERZENIE PRZETWARZANIA DANYCH
1. Procesor, w przypadku korzystania przy przetwarzaniu powierzonych mu na podstawie Umowy
danych z usług innego podmiotu przetwarzającego, przestrzega warunków korzystania z takiego
podmiotu, o których mowa w art. 28 RODO ust. 2 i 4.
2. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z usług innych podmiotów
przetwarzających będących podwykonawcami lub partnerami Procesora w związku z realizacją
Umowy Głównej lub Umowy do przetwarzania danych powierzonych mu na podstawie Umowy.
Procesor zapewnia, że korzystanie z usług innego podmiotu przetwarzającego będzie miało miejsce
jedynie gdy będzie ono niezbędne do realizacji Umowy lub Umowy Głównej oraz jedynie w zakresie i
na czas niezbędny do realizacji tego celu oraz zgodnie z Umową.
3. Procesor zobowiązuje się informować Administratora o wszelkich zamierzonych zmianach
dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym
Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
4. Procesor, w przypadku gdy do wykonania w imieniu Administratora konkretnych czynności
przetwarzania na podstawie Umowy korzysta z usług innego podmiotu przetwarzającego,
zobowiązany jest nałożyć na ten inny podmiot – na mocy odrębnej umowy lub innego aktu prawnego,
które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych
jak w Umowie lub innym akcie prawnym między Administratorem a Procesorem, o których to
obowiązkach mowa w art. 28 ust. 3 RODO, w szczególności obowiązek zapewnienia wystarczających
gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie
odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze
spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora
za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze.
5. Administrator uprawnia Procesora do nadawania upoważnień, wydawania instrukcji i poleceń w
rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
VI. AUDYT PRZETWARZANIA POWIERZONYCH DANYCH
1. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia
obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi
upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji przetwarzania
powierzonych danych na podstawie Umowy pod kątem zgodności z RODO, i przyczynia się do nich. W
związku z obowiązkiem określonym w zdaniu poprzednim Procesor niezwłocznie informuje
Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych
przepisów Unii lub państwa członkowskiego o ochronie danych.
2. W przypadku audytu lub inspekcji, o których mowa w § 6 ust. 1 Umowy Administrator powiadomi
Procesora w tradycyjnej formie pisemnej o zamiarze przeprowadzeniu audytu lub inspekcji wraz ze
wskazaniem osób upoważnionych, proponowanego terminu, zakresu, czasu trwania oraz potrzebnych
informacji i dokumentów. Procesor w takim wypadku wyznaczy możliwe terminy w ciągu 21 dni
roboczych od otrzymania powiadomienia od Administratora.
3. Wszelkie koszty poniesione przez Administratora w wyniku przeprowadzenia audytu, w tym
przeprowadzenia inspekcji ponosi Administrator. Uwzględniając zakres, czas trwania, ilość i
szczegółowość potrzebnych informacji i dokumentów będących przedmiotem audytu lub inspekcji
oraz koszty z tym związane Procesor ma prawo uprzednio pobrać od Administratora opłatę,
uwzględniając administracyjne koszty udzielenia informacji, udostępnienia dokumentów, prowadzenia
komunikacji lub podjęcia innych żądanych lub koniecznych działań w związku z audytem lub
inspekcją. Audyt w miejscach przetwarzania danych osobowych to koszt 450 zł netto za godzinę
pracy każdego pracownika przydzielonego do Audytu. W przypadku Audytu przeprowadzanego na
terenie serwerowni, Procesor dodatkowo doliczy koszt dojazdu do obiektu wg cennika 1 zł za 1 km.
Administrator po otrzymaniu informacji o wysokości opłaty ma prawo zmienić swoje żądanie audytu
lub inspekcji, co może spowodować aktualizację przez Procesora wysokości opłaty.
4. Przeprowadzany audyt lub inspekcja Administratora nie może zakłócać funkcjonowania Procesora – w
przypadku wystąpienia takiej sytuacji Procesor ma prawo przerwać audyt lub inspekcję w trakcie ich
trwania. Audyt lub inspekcja może odbyć się wyłącznie w wyznaczonym przez Procesora czasie i pod
kontrolą wyznaczonej przez Procesora osoby.
5. Prawo audytu lub inspekcji dotyczy wyłącznie danych powierzonych przez Administratora na
podstawie Umowy oraz miejsca ich przetwarzania i nie może objąć kontroli w zakresie innych danych
przetwarzanych przez Procesora. Administrator nie może wykorzystywać uzyskanych informacji i
dokumentów w celach innych niż wynikających z Umowy oraz przepisów prawa.
6. Procesor ma prawo odmowy udzielenia lub ograniczenia zgody na audyt, inspekcję, udzielenia
informacji lub udostępnienia dokumentów i miejsc, w zakresie w jakim te działania mogłyby
doprowadzić do naruszenia powszechnie obowiązujących przepisów, w szczególności jeżeli te
działania mogłyby w sposób bezprawny zagrozić ujawnieniu lub bezpieczeństwu innych danych
osobowych przetwarzanych przez Procesora. W takim przypadku Procesor jest obowiązany w sposób
jasny i wyczerpujący uzasadnić Administratorowi swoje stanowisko i w miarę możliwości zapewnić
przeprowadzenie audytu lub inspekcji lub udzielić informacji i udostępnić dokumenty w inny sposób.
7. Procesor ma prawo odmówić przekazania Administratorowi informacji objętych tajemnicą prawnie
chronioną, w tym tajemnicą przedsiębiorstwa Procesora lub podmiotów trzecich, a także informacji
stanowiących dane osobowe nie objęte Umową, jeśli informacje te mogą zostać zastąpione innymi
informacjami (w tym oświadczeniami Procesora), zaś w przypadku gdy nie będzie to możliwe –
informacje te zostaną udostępnione Administratorowi (lub wyznaczonym przez niego osobom)
wyłącznie w siedzibie Procesora, po uprzednim zawarciu przez Strony i wszystkie osoby, którymi
Administrator się posługuje, stosownej umowy zobowiązującej do należytej ochrony tych informacji.
8. Wszelkie informacje oraz dokumenty udzielane lub udostępniane przez Procesora Administratorowi, a
także wykonywane przez niego czynności wykonywane będą niezwłocznie, nie później niż w terminie
30 dni od otrzymania stosownego żądania, chyba że z przepisów prawa lub niniejszej Umowy wynika
inny termin.
VII. PRAWA WŁASNOŚCI
Żadne z postanowień niniejszej Umowy nie będzie interpretowane jako udzielenie lub przekazanie Stronie
otrzymującej dane osobowe jakichkolwiek praw do powierzonych danych.
VIII. OBOWIĄZYWANIE UMOWY
1. Umowa obowiązuje od dnia jej zawarcia i obowiązuje przez czas nieoznaczony, nie dłużej jednak niż
Umowa Główna. Umowa Powierzenia wygasa wraz z wygaśnięciem Umowy Głównej bez względu na
przyczynę wygaśnięcia.
2. Strona ma prawo rozwiązać Umowę bez wypowiedzenia w przypadku, gdy druga Strona mimo
uprzedniego wezwania z wyznaczeniem odpowiedniego terminu nie wypełnia obowiązków
wskazanych Umowie, w RODO lub innych powszechnie obowiązujących przepisach. Zaistnienie
podstaw do rozwiązania Umowy bez wypowiedzenia uprawnia Strony do rozwiązania Umowy Głównej
bez wypowiedzenia.
IX. POSTANOWIENIA KOŃCOWE
1. Jeżeli którekolwiek z postanowień Umowy okaże się nieważne w całości lub w części, pozostałe
postanowienia pozostają w mocy, Strony zaś zobowiązują się na wniosek którejkolwiek z nich do
zastąpienia nieważnych postanowień postanowieniami, których moc prawna i skutek ekonomiczny są
najbardziej zbliżone do postanowień zastępowanych.
2. Prawem właściwym dla niniejszej Umowy jest prawo polskie.
3. W zakresie nieuregulowanym Umową stosuje się przede wszystkim RODO oraz inne właściwe
przepisy.
4. Wszelkie załączniki do Umowy stanowią jej integralną część.
5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.