UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Niniejsza umowa powierzenia przetwarzania danych osobowych („Umowa”) jest zawierana przy zawarciu Umowy dotyczącej prezentacji ofert lub innych usług w Grupie Morizon-Gratka Sp. z o.o., pomiędzy Zleceniodawcą nazywanym w treści Umowy również „Administratorem” oraz
Grupa Morizon-Gratka Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie, pod adresem: ul. Domaniewska 49, 02-672 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000 125836, NIP: 5213107693, kapitał zakładowy w wysokości 1.235.000 złotych, zwaną dalej "Wykonawcą" lub „Przetwarzającym".
§1
1. Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1) Dane Osobowe – dane w rozumieniu art. 4 pkt 1) Rozporządzenia 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
2) Przetwarzanie Danych osobowych – wszelkie operacja lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu art. 4 pkt 2) Rozporządzenia 2016/679;
3) Umowa – niniejsza umowa;
4) Zlecenie na usługi – umowa (zlecenie, zamówienie, abonament) o świadczenie usług z zakresu oprogramowania i utrzymywania stron internetowych dla rynku nieruchomości i sektora finansowo-bankowego oraz portali internetowych o tematyce nieruchomościowej;
5) Rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Strony oświadczają, że niniejsza Umowa została zawarta w celu wykonania obowiązków, o których mowa w art. 28 Rozporządzenia 2016/679 w związku z zawarciem Zlecenia na usługi.
3. Zleceniodawca powierza Wykonawcy do przetwarzania, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym dalej RODO, które ma zastosowanie od dnia 25 maja 2018 r., Dane Osobowe w celu określonym w niniejszej Umowie.
4. Zleceniodawca oświadcza, że jest administratorem danych osobowych, które powierza, w rozumieniu art. 24 RODO.
5. Wykonawca jako podmiot przetwarzający zobowiązany jest do prowadzenia rejestru kategorii czynności przetwarzania, zgodnie z wymaganiami art. 30 ust. 2 RODO.
§2
1. Zakres powierzonych do przetwarzania danych osobowych obejmuje:
1) imię i nazwisko,
2) numer telefonu,
3) adres poczty elektronicznej,
4) treść zapytania,
5) informacje dotyczące nieruchomości
6) oraz inne dane - z wyłączeniem szczególnych kategorii danych osobowych w rozumieniu RODO - które mogą być powierzane Wykonawcy do przetwarzania na podstawie Zlecenia na usługi.
2. Celem powierzenia przetwarzania danych osobowych jest wykonanie przez Wykonawcę usług szczegółowo opisanych w Zleceniu na usługi, w tym, w Regulaminie serwisu.
3. Wykonawca może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym niniejszą Umową i nie może ich wykorzystywać do własnych celów.
4. Wykonawca będzie przetwarzał dane w formie elektronicznej.
§3
1. Wykonawca zobowiązuje się, przed podjęciem przetwarzania danych osobowych wdrożyć odpowiednie środki techniczne i organizacyjne zabezpieczające dane osobowe oraz spełnić we właściwym zakresie wymagania określone w przepisach, o których mowa w art. 32 RODO.
2. Wykonawca oświadcza, że zgodnie z art. 32 RODO znajdujące się w jego posiadaniu urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zapewniają adekwatny poziom bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności.
3. Wykonawca oświadcza, że środki, o których mowa w ust. 1 i 2 będzie utrzymywał przez cały czas przetwarzania danych osobowych powierzonych w związku z wykonywaniem Umowy.
4. Wykonawca zobowiązuje się w odpowiedni sposób upoważnić swoich pracowników i współpracowników do przetwarzania powierzonych mu danych osobowych.
5. Zleceniodawca oraz Wykonawca zobowiązują się do zabezpieczenia kanału służącego do przekazywania powierzonych danych osobowych według zasad wzajemnie ustalonych.
6. Zgodnie z art. 28 RODO Wykonawca ponosi odpowiedzialność za przestrzeganie przepisów, zgodnie z zasadami jakie obowiązują podmiot, któremu powierzono do przetwarzania dane osobowe.
7. Wykonawca zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
8. Wykonawca zobowiązuje się niezwłocznie zawiadomić Zleceniodawcę o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadamiania wynika z przepisów prawa,
2) każdym nieuprawnionym dostępie do danych osobowych,
3) każdym żądaniu otrzymanym od osoby, której dane przetwarza, nie udzielając odpowiedzi na żądanie.
9. Wykonawca ma prawo podpowierzyć Dane Osobowe swoim podwykonawcom - w szczególności, serwisom partnerskim lub podmiotom świadczącym usługi informatyczne na rzecz Wykonawcy - z zastrzeżeniem obowiązku uprzedniego informowania Zleceniodawcy o zamiarze podpowierzenia oraz o tożsamości (nazwie) podmiotu, któremu ma zamiar podpowierzyć przetwarzanie Danych. Zleceniodawca ma prawo zgłoszenia sprzeciwu wobec podpowierzenia, mailem na adres poczty elektronicznej wskazany w Zleceniu na usługi, w terminie 5 dni od daty zawiadomienia o zamiarze podpowierzenia danych. Lista podmiotów, którym Wykonawca podpowierzył Dane Osobowe, stanowi Załącznik nr 1 do niniejszej Umowy.
10. Wykonawca zobowiązuje się do zachowania tajemnicy w odniesieniu do danych przekazanych w ramach niniejszej Umowy podczas jej obowiązywania i po okresie jej obowiązywania.
11. W przypadku stwierdzenia naruszenia bezpieczeństwa przetwarzanych danych osobowych Wykonawca zobowiązuje się do niezwłocznego powiadomienia Zleceniodawcy o tym fakcie oraz do niezwłocznego podjęcia działań uniemożliwiających dalsze naruszanie ochrony tych danych.
12. Wykonawca, zgodnie z art. 33 ust. 2 RODO w przypadku stwierdzenia naruszenia bezpieczeństwa przetwarzanych danych osobowych zobowiązuje się do niezwłocznego zgłoszenia naruszenia Zleceniodawcy. Zgłoszenie to musi zawierać co najmniej:
1) opis charakteru naruszenia ochrony danych osobowych, w tym, jeśli to jest możliwe, wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
2) opis możliwych konsekwencji naruszenia ochrony danych osobowych,
3) opis środków zastosowanych lub proponowanych przez Wykonawcę w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
13. Wykonawca zobowiązuje się do poinformowania Zleceniodawcy o wszelkich postępowaniach prowadzonych przez UODO, w związku z przetwarzaniem danych osobowych.
14. Wykonawca zobowiązuje się do niezwłocznego przesłania Zleceniodawcy informacji , w tym wniosków dotyczących wypełnienia obowiązków wynikających z RODO w stosunku do osoby, której dane dotyczą, nie później niż w terminie 10 (dziesięciu) dni roboczych od dnia wpływu wniosku w zakresie:
1) obowiązku wynikającego z art. 15 RODO dotyczącego prawa dostępu przysługującego osobie, której dane dotyczą,
2) obowiązku wynikającego z art. 16 RODO dotyczącego prawa do sprostowania danych,
3) obowiązku wynikającego z art. 17 RODO dotyczącego prawa do usunięcia danych „prawa do zapomnienia”,
4) obowiązku wynikającego z art. 18 RODO dotyczącego prawa do ograniczenia przetwarzania danych,
5) obowiązku wynikającego z art. 20 RODO dotyczącego prawa do przenoszenia danych,
6) obowiązku wynikającego z art. 21 RODO dotyczącego prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych, w tym profilowania.
15. W przypadku braku niezbędności dalszego przetwarzania danych osobowych w szczególności po wygaśnięciu lub rozwiązaniu Umowy oraz o ile nie sprzeciwiają się temu przepisy prawa Wykonawca zobowiązuje się do usunięcia wszystkich dokumentów, zawierających m.in. dane osobowe, zebrane w związku z wykonywaniem Umowy oraz usunięcia istniejących kopii danych osobowych ze wszystkich swoich elektronicznych nośników danych, na których prowadzone były zapisy. Wykonawca stosuje się w tym zakresie do przepisów art.28 RODO.
§4
1. Zleceniodawca ma prawo do kontroli sposobu wykonywania niniejszej Umowy poprzez zapowiedziane na 10 (dziesięć) dni roboczych wcześniej kontrole dotyczące przetwarzania danych osobowych przez Wykonawcę oraz żądania składania przez niego pisemnych wyjaśnień.
2. Na zakończenie kontroli, o których mowa w ust. 1 przedstawiciel Zleceniodawcy sporządza protokół z kontroli i przesyła Wykonawcy, który ma prawo wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od daty jego potwierdzenia odbioru.
3. Po uzgodnieniu treści protokołu strony podpisują protokół w dwóch egzemplarzach, po jednym dla każdej ze stron.
4. Wykonawca zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
5. Wykonawca zobowiązuje się udzielać odpowiedzi niezwłocznie i na każde pytanie Zleceniodawcy dotyczące przetwarzania powierzonych, na podstawie niniejszej Umowy, danych osobowych.
6. Wykonawca, w związku z RODO stosuje się w tym zakresie do przepisów art. 28 ust. 3 lit. h).
§5
1. Wykonawca ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych niezgodnie z Umową, a w szczególności za udostępnienie danych osobom nieupoważnionym.
2. Wykonawca, w związku z art. 28 ust. 10, bez uszczerbku dla art. 82, 83 i 84 RODO, w przypadku naruszenia RODO przy określaniu celów i sposobów przetwarzania, uznany zostaje za administratora w odniesieniu do tego przetwarzania i ponosi:
1) zgodnie z art. 82 RODO odpowiedzialność odszkodowawczą wobec osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO,
2) zgodnie z art. 83 RODO odpowiedzialność karną i wobec Wykonawcy mogą zostać nałożone przez organ nadzorczy kary pieniężne za naruszenie przepisów RODO.
§6
Niniejsza Umowa powierzenia danych osobowych do przetwarzania zawarta jest na czas nieokreślony, nie dłuższy jednak niż do dnia zakończenia Zlecenia na usługi.
§7
Zleceniodawca ma prawo rozwiązać niniejszą Umowę bez zachowania terminu wypowiedzenia, gdy Wykonawca:
1) wykorzystał dane osobowe niezgodnie z niniejszą Umową,
2) powierzył przetwarzanie danych osobowych podwykonawcom bez zgody Zleceniodawcy,
3) nie zaprzestał niewłaściwego przetwarzania danych osobowych,
4) zawiadomił o swojej niezdolności do dalszego wykonywania niniejszej Umowy, a w szczególności o niespełnianiu wymagań określonych w §3.
§8
1. Wykonawca, w przypadku wygaśnięcia lub rozwiązania Umowy oraz o ile nie sprzeciwiają się temu przepisy prawa, zobowiązuje się do usunięcia wszystkich dokumentów, zawierających m.in. dane osobowe, zebrane w związku z wykonywaniem Umowy oraz usunięcia istniejących kopii danych osobowych ze wszystkich swoich elektronicznych nośników danych, na których prowadzone były zapisy w terminie 5 dni roboczych, wraz z protokołem potwierdzającym przeprowadzone czynności. Wykonawca, w związku z RODO mającym zastosowanie od 25 maja 2018 r., stosuje się w tym zakresie do przepisów art. 28 § 9.
2. Wszelkie zmiany niniejszej Umowy wymagają formy dokumentowej pod rygorem nieważności.
§9
W sprawach nieuregulowanych w niniejszej Umowie mają zastosowanie przepisy Kodeksu cywilnego oraz RODO wraz z przepisami wykonawczymi.
§10
Spory wynikłe z tytułu niniejszej Umowy będzie rozstrzygał Sąd właściwy dla siedziby Wykonawcy.
ZAŁĄCZNIK NR 1 DO UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Lista podmiotów, którym Wykonawca podpowierzył Dane Osobowe:
- Allegro.pl Sp. z o. o.