Wersja 26.02.2024
Umowa powierzenia przetwarzania danych osobowych [„PPDO”]
Poniższa umowa („Umowa PPDO”) stanowi część Umowy o świadczenie Usługi Virtual Data Room („Umowa główna”). Wszelkim pojęciom i terminom użytym w niniejszej Umowie, Strony nadają znaczenie, które zostało im nadane w niniejszej Umowie PPDO i Polityce prywatności (https://fordata-vdr.com/VDR/pl/Static/Index/Privacy) chyba, że Umowa główna stanowi inaczej.
1. Udostępnienie danych osobowych
1. Na mocy niniejszej Umowy PPDO Zamawiający udostępnia Dostawcy dane osobowe Użytkowników w zakresie obejmującym: imię i nazwisko, nazwę firmy, adres e-mail, numer telefonu, adres IP („Dane Osobowe Użytkowników”) w celu prawidłowego wykonania usług objętych Umową główną.
2. Strony samodzielnie określają szczegółowe cele oraz zakres i środki przetwarzania Danych Osobowych Użytkowników, pełniąc wobec nich – każda z osobna – rolę administratora danych osobowych.
3. Administratorem Danych Osobowych Użytkowników jest:
(a) Zamawiający – w odniesieniu do różnych, uzasadnionych celów przetwarzania tych danych przez Zamawiającego
(b) Dostawca – w zakresie przetwarzania tych danych w celu wskazanym w ust.1 niniejszego paragrafu.
4. Zamawiający oświadcza, że jako administrator Danych Osobowych Użytkowników wskazanych w ust. 1 posiada podstawę prawną na udostępnienie tych danych Dostawcy.
5. Przetwarzanie Danych Osobowych Użytkowników przez Dostawcę w celu świadczenia usług objętych Umową główną odbywać się będzie w oparciu o podstawę prawną tj . art. 6 ust 1 lit f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [Rozporządzenie] (prawnie uzasadniony interes Dostawcy).
6. Przetwarzanie przez Dostawcę Danych Osobowych Użytkowników w celu wykonania usług określonych w Umowie głównej będzie trwało przez okres trwania Umowy głównej, z uwzględnieniem aktualnie obowiązujących przepisów prawa.
7. Każda ze Stron zobowiązuje się przetwarzać Dane Osobowe Użytkowników zgodnie z przepisami Rozporządzenia i innymi powszechnie obowiązującymi przepisami prawa.
8. W przypadku, gdy którakolwiek ze Stron poniesie szkodę w związku z naruszeniem przez drugą Stronę przetwarzania Danych Osobowych Użytkowników w zakresie przepisów Rozporządzenia, zwłaszcza, gdy zostanie nałożona jakakolwiek kara pieniężna, Strona poszkodowana ma prawo zażądać od drugiej Strony pokrycia poniesionych szkód, w tym zwrotu kosztów związanych z postępowaniem sądowym lub innym właściwym postępowaniem.
2. Powierzenie przetwarzania danych osobowych
1. Zamawiający, działając na podstawie art. 28 ust. 2-4 Rozporządzenia, będąc Administratorem lub podmiotem przetwarzającym w rozumieniu ww. Rozporządzenia, danych osobowych potencjalnie zawartych w dokumentach wprowadzanych do Systemu VDR (“Dane osobowe”) niniejszym:
a) powierza Dostawcy przetwarzanie Danych Osobowych w celu i zakresie niezbędnym do realizacji Umowy głównej oraz na czas jej obowiązywania, na warunkach wskazanych w niniejszej Umowie PPDO,
b) udziela Dostawcy ogólnej zgody na podpowierzenie przetwarzania Danych Osobowych innym podmiotom przetwarzającym (“Podprocesor”), w celu i zakresie niezbędnym do realizacji Umowy głównej oraz na czas jej obowiązywania.
2. W przypadku, gdy Zamawiający jest Procesorem, o którym mowa w ust. 1 niniejszego paragrafu, oświadcza, że dysponuje zgodą Administratora na dalsze powierzenie Danych Osobowych.
3. Dostawca, jako podmiot przetwarzający, a w przypadku o którym mowa w ust. 2, dalszy podmiot przetwarzający, zobowiązany jest do:
a) zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązane zostaną do zachowania tych danych osobowych w tajemnicy,
b) zapewnienia bezpieczeństwa przetwarzania danych osobowych mu powierzonych zgodnie z wymogami określonymi przez Rozporządzenie oraz odpowiednie przepisy prawa krajowego właściwe dla Stron,
c) po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych oraz zależnie od decyzji Zamawiającego usunięcia lub zwrotu Zamawiającemu wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii,
d) udostępnienia Zamawiającemu wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach Rozporządzenia ciążących na Dostawcy, jako podmiocie przetwarzającym oraz umożliwienia Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzanie audytów, w tym inspekcji. Zamawiający jest uprawniony do przeprowadzenia 1 (jednej) kontroli w roku kalendarzowym, która trwać będzie nie dłużej niż 2 (dwa) dni robocze. O terminie i zakresie kontroli, Zamawiający poinformuje Dostawcę 30 (trzydzieści) dni przed planowaną datą kontroli. W przypadku, gdy Zamawiający przeprowadzi kontrolę w siedzibie Dostawcy częściej niż raz w roku kalendarzowym i/lub kontrola będzie trwać dłużej niż 2 (dwa) dni robocze, Zamawiający zobowiązany jest ponieść koszty kontroli przeprowadzonej w siedzibie Dostawcy w wysokości 200 zł (dwieście złotych) netto za każdą dodatkową godzinę kontroli. Zapłata nastąpi przelewem bankowym na rachunek bankowy Dostawcy w terminie 14 dni od daty wystawienia przez Dostawcę faktury VAT.
e) pomocy – w miarę posiadanych możliwości oraz środków technicznych i organizacyjnych – Zamawiającemu w realizacji żądań osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale II Rozporządzenia, a także wywiązywania się przez Zamawiającego z obowiązków określonych w art. 32-36 Rozporządzenia.
4. Dostawca oświadcza, że nie przekazuje powierzonych Danych Osobowych do państw trzecich. Dostawca nie ponosi odpowiedzialności za ewentualne powierzenie lub udostępnienie danych osobowych przez Zamawiającego podmiotom trzecim.
5. Zamawiający oświadcza, że nie powierza FORDATA do przetwarzania Danych Osobowych dotyczących wyroków skazujących i naruszeń prawa.
6. W przypadku zawarcia przez Dostawcę umowy podpowierzenia Danych Osobowych, o której mowa w ust. 1 lit b), Dostawca zobowiązany jest do zapewnienia, że na Podprocesora nałożone zostaną obowiązki wskazane w ust. 3 a) – e).
7. W przypadku zamierzonej zmiany polegającej na dodaniu lub zastąpieniu Podprocesora innym podmiotem przetwarzającym, Dostawca informuje o tym Zamawiającego. Zamawiający w terminie 7 (słownie: siedmiu) dni ma prawo wniesienia sprzeciwu względem planowanej zmiany. Brak sprzeciwu Zamawiającego albo jego wniesienie po terminie wskazanym w zdaniu poprzednim, uznaje się za zgodę na dokonanie zmiany Podprocesora przez Dostawcę. W przypadku braku zgody ze strony Zamawiającego, Dostawca będzie uprawniony do rozwiązania Umowy głównej ze skutkiem natychmiastowym. Jeżeli sprzeciw Zamawiającego, o którym mowa w niniejszym ustępie okaże się nieuzasadniony, Zamawiający ponosi odpowiedzialność odszkodowawczą względem Dostawcy zarówno w zakresie szkody rzeczywistej, jak i utraconych korzyści.
8. Dostawca może powierzyć wykonanie części usług objętych niniejszą Umową lub świadczenie usług pomocniczych względem usług objętych Umową innym podmiotom lub osobom, niż świadczące na jego rzecz pracę („Podwykonawcy”). Podwykonawcy zobowiązani są do zachowania poufności oraz dbałości o interes Zamawiającego na zasadach obowiązujących Dostawcę. Przez usługi pomocnicze rozumie się usługi usprawniające lub ulepszające wykonanie Umowy głównej przez Dostawcę, przy czym Strony zgodnie potwierdzają, że Podwykonawca może, ale nie musi być Podprocesorem, o którym mowa w ust. 1 lit. b). O Podwykonawcy, któremu Dostawca powierza do przetwarzania dane osobowe (“Podprocesor”), Dostawca informuje Zamawiającego zgodnie z ust. 7.
9. Dostawca nie ponosi odpowiedzialności za wszelkie naruszenia ochrony danych osobowych przez Zamawiającego lub podmioty, którym powierzył on przetwarzanie danych osobowych oraz za:
a. przetwarzanie danych osobowych wrażliwych bez podstawy prawnej,
b. przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa bez podstawy prawnej.
10. Jeżeli jakikolwiek organ państwowy lub osoba, której dane dotyczą skieruje do Dostawcy jakiegokolwiek roszczenia wynikającego z naruszenia, w szczególności opisane w ust. 9 lit. a)-b), Zamawiający zobowiązuje się do zwolnienia Dostawcy z odpowiedzialności względem osoby, której dane dotyczą, w tym poprzez usunięcie naruszenia lub zapłatę odszkodowania (zwolnienie z długu). Jeżeli Zamawiający uchybi obowiązkowi wskazanemu w zdaniu poprzednim, ponosi odpowiedzialność odszkodowawczą względem Dostawcy.
11. W przypadku zapłaty odszkodowania, kary finansowej, grzywny lub innej kwoty przez Dostawcę na rzecz osoby, której dane dotyczą lub w związku z decyzją albo orzeczeniem organu publicznego, Zamawiający zobowiązany jest do zwrotu Dostawcy uiszczonej przez niego kwoty, wraz związanymi z nią kosztami, w tym w szczególności kosztami obsługi prawnej oraz postępowań administracyjnych lub sądowych.
3. Czas trwania i wypowiedzenie Umowy
1. Nieniejsza Umowa PPDO zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, wygaśnięcie Umowy głównej, z jakiejkolwiek przyczyny, skutkuje wygaśnięciem niniejszej Umowy.
2. Strona uprawniona jest do rozwiązania Umowy PPDO bez wypowiedzenia, jeżeli:
a. w wyniku kontroli zostanie wykazane, że druga Strona nie podjęła środków zabezpieczających, o których mowa w art. 32-34 RODO,
b. przetwarza dane osobowe niezgodnie z niniejszą Umową PPDO lub przepisami RODO.
3. W przypadku rozwiązania Umowy PPDO, podmiot przetwarzający, w terminie 7 dni, zobowiązany jest do trwałego zniszczenia i usunięcia wszelkich sporządzonych w związku lub przy okazji wykonywania Umowy głównej zapisów oraz dokumentów zawierających powierzone do przetwarzania dane osobowe, o ile nie posiada względem nich odrębnej podstawy prawnej przetwarzania.
4. Postanowienia końcowe
1. Niniejsza Umowa wchodzi w życie z dniem podpisania Umowy głównej.
2. W sprawach nieuregulowanych stosuje się obowiązujące przepisy prawa, w szczególności Kodeksu cywilnego oraz RODO, a także Umowy głównej.
3. Wszelkie zmiany lub uzupełnienia niniejszej Umowy wymagają zachowania formy dokumentowej.
Załącznik nr 1 do
Umowy powierzenia przetwarzania danych osobowych [„PPDO”]
1. W przypadku, jeżeli Podprocesorem Dostawcy jest firma Microsoft Ireland Operations Limited, zamiast zasad opisanych w paragrafie 2 ust. 3 Umowy PPDO stosuje się zasady opisane w niniejszym Załączniku.
2. Dostawca zobowiązany jest do podjęcia możliwych działań mających na celu zapewnienie aby na Podprocesora nałożone zostały następujące obowiązki:
a. zobowiązanie osób upoważnionych do przetwarzania danych osobowych u Podprocesora do zachowania tych danych osobowych w tajemnicy,
b. zapewnienie bezpieczeństwa przetwarzania danych osobowych mu powierzonych zgodnie z wymogami określonymi przez Rozporządzenie oraz odpowiednie przepisy właściwe dla Stron,
c. po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych oraz zależnie od decyzji Zamawiającego usunięcia lub zwrotu Zamawiającemu wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii,
d. umożliwienie Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzanie audytów, w tym inspekcji – wyłącznie na zasadach uzgodnionych z Podprocesorem,
e. pomocy – w miarę posiadanych możliwości oraz środków technicznych i organizacyjnych – Zamawiającemu w realizacji żądań osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale II Rozporządzenia, a także wywiązywania się przez Zamawiającego z obowiązków określonych w art. 32-36 Rozporządzenia.
3. W pozostałym zakresie do Podprocesora stosuje się postanowienia Umowy PPDO.
Poprzednie wersje umowy:
Wersja 05.06.2020