Ogólne warunki powierzenia przetwarzania

---

>> WERSJA PDF (POBIERZ) <<

OGÓLNE WARUNKI POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ORBICO SP. Z O.O.
v. 1.0 – obowiązujące od 4 lipca 2022 roku

Niniejsze ogólne warunki powierzenia przetwarzania danych osobowych Orbico Sp. z ograniczoną odpowiedzialnością z siedzibą w Warszawie przy Ul. Salsy 2, 02-823 Warszawa, zwaną dalej również: Orbico, będące innym instrumentem prawnym, w rozumieniu art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, stanowią uzupełnienie zawieranych przez Orbico umów na mocy których dochodzi do powierzenia przetwarzania danych osobowych, wzakresie nieuregulowanym w wyżej wskazanych umowach.

§1 Definicje

1. Administrator – Orbico Spółka z ograniczoną odpowiedzialnością z siedzibą w Ul. Salsy 2, 02-823 Warszawa zarejestrowaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie XIII Wydział Gospodarczy KRS pod numerem 0000046562, numer REGON: 277632751, NIP: 6462526337, posiadająca kapitał zakładowy w wysokości 40 841 450,00 zł;

2. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować;

3. Naruszenie – naruszenie ochrony powierzonych danych osobowych przez:
a. naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania,
nieuprawnionego ujawnienia lub
b. nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych na podstawie zawartej umowy oraz niniejszych OWPP;

4. Podmiot przetwarzający– osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora w zakresie i celu określonym w odrębnej Umowie.

5. Polecenie Administratora – oświadczenie Administratora kierowane do Podmiotu przetwarzającego zobowiązujące do przeprowadzenia określonego
przetwarzania w zakresie powierzonych danych osobowych;

6. Powierzone dane – dane osobowe osób, które zostały przekazane Podmiotowi przetwarzającemu do przetwarzania w związku z zawartą przez Orbico umową stanowiącą podstawę współpracy z podmiotem trzecim, w ramach której doszło do powierzenia przetwarzania danych osobowych, na zasadach określonych niniejszymi OWPP;

7. Ogólne Warunki Powierzenia Przetwarzania – niniejszy dokument zawierający postanowienia obowiązujące przy powierzaniu przetwarzania danych osobowych przez Orbico, określający zasady współpracy, w tym wzajemne prawa i obowiązki stron Umowy, stanowiący integralną cześć Umowy zawieranej pomiędzy Orbico a Podmiotem przetwarzającym, dostępny na stronie internetowej www.orbico.com/pl;

8. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;

9. Umowa – umowa bądź porozumienie stanowiące podstawę współpracy Orbico z osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, w związku z zawarciem której dochodzi do powierzenia przez Orbico przetwarzania danych osobowych.

§2 Zakres powierzenia przetwarzania

1. Podmiot przetwarzający będzie przetwarzał powierzone przez Administratora dane osobowe w zakresie i celu ustalonym w Umowie stanowiącej podstawę współpracy ww. podmiotów.
2. Podmiot przetwarzający jest upoważniony do wykonywania wszelkich czynności przetwarzania danych, które są niezbędne do realizacji celu, o którym mowa w ust. 1 powyżej, w odpowiednim zakresie.

§3 Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązany jest do ich zabezpieczenia przez stosowanie odpowiednich środków technicznych iorganizacyjnych, odpowiadających stanowi wiedzy technicznej, zapewniających zgodność z RODO, w tym adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą.

2. Podmiot przetwarzający zobowiązany jest dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

3. Podmiot przetwarzający zobowiązany jest do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe, przy czym będą to jedynie osoby, które mają odpowiednie przeszkolenie z zakresu ochrony danych osobowych i są niezbędne do realizacji celu przetwarzania określonego przez Strony.

4. Podmiot przetwarzający zapewnia, że osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający zapewnia ponadto, że osoby, o których mowa w niniejszym ustępie, będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej. Podmiot Przetwarzający dokonuje okresowej weryfikacji listy osób, którym udzielono dostępu do danych przetwarzanych w imieniu Administratora.

5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, w terminie uzgodnionym z Administratorem, usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

6. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się zobowiązku odpowiadania na żądania osób, których dane dotyczą, oraz z obowiązków określonych w art. 32–36 RODO. Podmiot przetwarzający – w razie wpływu do niego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane – informuje o tym Administratora w terminie 7 dni roboczych od otrzymania wiadomości. Udzielając informacji, Podmiot przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania.

7. W przypadku stwierdzenia jakiegokolwiek naruszenia ochrony danych osobowych Podmiot przetwarzający lub podwykonawca Podmiotu przetwarzającego niezwłocznie, tj. w ciągu 24 godzin od stwierdzenia wystąpienia naruszenia, zgłasza je Administratorowi.

§4 Dalsze powierzenie przetwarzania

1. W celu wykonania Umowy, Administrator wyraża zgodę na powierzenie danych osobowych powierzonych w związku z nią do dalszego przetwarzania przez podwykonawców Podmiotu przetwarzającego, przy czym podwykonawcy Podmiotu przetwarzającego powinni spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający.

2. Wprzypadku zmiany lub dodania innych podwykonawców biorących udział w przetwarzaniu danych powierzonych przez Administratora, Podmiot przetwarzający informuje Administratora o zamierzonych zmianach, dając mu możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni roboczych od przekazania informacji o zamierzonych zmianach.

3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora danych, chyba że taki obowiązek nakłada na Podmiot przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków spoczywających na podwykonawcy,
wynikających z niniejszego OWPP, przepisów RODO oraz innych ustaw.

§5 Prawo kontroli

1. Administrator danych zobowiązuje się realizować prawo kontroli w godzinach pracy Podmiotu przetwarzającego o czym będzie informował Podmiot przetwarzający z minimum 15 dniowym uprzedzeniem. Prawo do przeprowadzenia kontroli obejmuje: wstęp do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych osobowych; żądanie złożenia pisemnych lub ustnych wyjaśnień od osób upoważnionych do przetwarzania powierzonych danych osobowych; wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z celem kontroli; przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych.

2. Podmiot przetwarzający zobowiązany jest do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni od dnia przedstawienia mu pisemnego protokołu kontroli.

3. Powyżej określone zasady kontroli Podmiotu przetwarzającego mają zastosowanie do przeprowadzanych przez Administratora kontroli podwykonawców Podmiotu przetwarzającego, o których mowa w § 4 ust. 1 OWPP.

§6 Raportowanie

1. Na wniosek Administratora Podmiot przetwarzający udostępnia wszelkie informacje niezbędne do realizacji lub wykazania spełnienia obowiązków wynikających z Rozporządzenia. Informacji, o których mowa powyżej, udziela się w terminie 14 dni roboczych od dnia doręczenia wniosku, z zastrzeżeniem ust. 2.

2. Jeżeli wniosek, o którym mowa w ust. 1, dotyczy realizacji obowiązku zgłoszenia naruszenia ochrony danych osobowych lub usunięcia jego skutków, Podmiot przetwarzający udziela informacji w najbliższym możliwym terminie, nie później niż w ciągu 24 godzin od doręczenia wniosku.

§7 Odpowiedzialność Podmiotu Przetwarzającego

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią OWPP, treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Jeżeli wskutek naruszenia przez Podmiot Przetwarzający przepisów ochrony danych oraz zasad określonych w niniejszym OWPP, Administrator będzie obowiązany do zapłaty odszkodowania lub zostanie w inny sposób pociągnięty do odpowiedzialności za dokonane naruszenie, Administrator może żądać od Podmiotu Przetwarzającego naprawy wynikłej stąd szkody.

3. Podmiot przetwarzający jest zobowiązany niezwłocznie poinformować Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych powierzonych przez Administratora, o jakiejkolwiek decyzji administracyjnej lub jakimkolwiek orzeczeniu dotyczących przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

§8 Zasady zachowania poufności

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób, a także danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania wtajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie obowiązków umownych, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§9 Postanowienia końcowe

1. W kwestiach nieuregulowanych postanowieniami OWPP zastosowanie mają przepisy RODO oraz inne obowiązujące przepisy dotyczące ochrony danych osobowych.

2. W przypadku jakichkolwiek sporów wynikłych pomiędzy Stronami odnośnie zawarcia, interpretacji, wykonania i skutków prawnych OWPP, Strony w dobrej wierze podejmą negocjacje w celu polubownego rozstrzygnięcia sporu. W razie braku rozwiązania sporu na drodze polubownej Strony oddadzą spór pod rozstrzygnięcie sądowi powszechnemu właściwemu dla siedziby Administratora.

3. OWPP są publikowane i dostępne do pobrania na stronie internetowej www.orbico.com/pl. OWPP i ich zmiany obowiązują po ich opublikowaniu na stronie internetowej www.orbico.com/pl od daty tam wskazanej w nagłówku OWPP i obejmują stosunki prawne powstałe od tej daty.

4. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych na czas trwania Umowy, chyba że przepisy prawa stanowią inaczej.

5. Z dniem rozwiązania lub wygaśnięcia Umowy, postanowienia OWPP w zakresie powierzenia iochrony danych osobowych przestają obowiązywać, natomiast Podmiot przetwarzający zobowiązany jest do zaprzestania przetwarzania powierzonych mu danych osobowych, chyba że Strony postanowią inaczej.

6. W pozostałych sprawach nieuregulowanych w OWPP ani w treści Umowy zastosowanie mają przepisy RODO oraz ustawy o ochronie danych osobowych.