Załącznik do Regulaminu serwisu REGISTO

zawarta w dniu, w którym Usługobiorca (wskazany w Regulaminie serwisu REGISTO, zwanym dalej „Regulaminem”) zaakceptował Regulamin, do którego załącznik stanowi niniejsza Umowa powierzenia przetwarzania danych osobowych (w dalszej części zwana „Umową powierzenia” bądź „Umową”), pomiędzy Usługobiorcą zwanym dalej „Administratorem”

a

Usługodawcą, czyli NSF sp. z o.o. z siedzibą w Opolu, przy ul. Technologicznej 4, 45-839 Opole, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sadowego prowadzonego przez Sąd Rejonowy w Opolu, VIII Wydział Gospodarczy KRS pod numerem KRS: 0000671135, NIP: 7543144787, REGON: 366913754, kapitał zakładowy: 100.000,00 zł, zwaną dalej „Podmiot przetwarzający”.

W związku z zawarciem przez Administratora i Podmiot przetwarzający Umowy o świadczenie usług drogą elektroniczną, a niniejsza Umowa powierzenia jest niezbędna dla realizacji celów wynikających z tej Umowy na podstawie art.28 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „RODO”), strony zawierają Umowę o następującej treści:

I. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator oświadcza, że jest Administratorem danych osobowych osób u siebie zatrudnionych w zakresie w jakim powierza je do przetwarzania Podmiotowi przetwarzającemu oraz że dopełnił wszelkich czynności zgodnie z RODO i innymi obowiązującymi przepisami prawa, a także że dysponuje odpowiednią podstawą prawną ich przetwarzania.
2. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych na zasadach i w celu określonym w niniejszej Umowie.
3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO i innymi przepisami prawa powszechnie obowiązującymi w zakresie ochrony prawa osób, których te dane dotyczą.
4. Podmiot przetwarzający, jako podmiot przetwarzający powierzone dane oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne, w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych osobowych, aby przetwarzanie spełniało wymogi RODO oraz w sposób rzeczywisty chroniło prawa osób, których te dane dotyczą.

II. ZAKRES I CEL PRZETWARZANIA DANYCH

1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych osób u siebie zatrudnionych, w tym danych służbowych, obejmujących:
   • imię i nazwisko,
   • numer PESEL,
   • numer telefonu,
   • adres e-mail,
   • zajmowane stanowisko,
   • wizerunek,
   • dane związane z czasem pracy,
   • dane związane z nieobecnościami,
   • adres IP urządzenia rejestrującego (z zainstalowaną aplikacją służącą do rejestracji czasu pracy),
   • danych geolokalizacyjnych urządzenia rejestrującego (z zainstalowaną aplikacją służącą do rejestracji czasu pracy).
2. Jeżeli w związku z korzystaniem z usług świadczonych przez Podmiot przetwarzający, Administrator wprowadza dane osobowe inne niż te wymienione w ust.1 powyżej, to Administrator również powierza je do przetwarzania przez Podmiot przetwarzający na zasadach niniejszej Umowy.
3. Powierzone dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu prawidłowego realizowania Umowy o świadczenie usług drogą elektroniczną na podstawie obowiązującego Regulaminu serwisu REGISTO i wyłącznie w okresie trwania Umowy o świadczenie usług pomiędzy Administratorem a Podmiotem przetwarzającym.
4. Podmiot przetwarzający, w ramach realizacji celu przetwarzania powierzonych danych osobowych jest uprawniony do wykonywania operacji na danych osobowych, takich jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, modyfikowanie, ograniczanie i usuwanie.

III. SPOSÓB WYKONANIA UMOWY W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator oświadcza, że posiada zgodę osób u siebie zatrudnionych na powierzenie Podmiotowi przetwarzającemu ich danych osobowych wskazanych w pkt. II ust. 1 lub też, że przekazuje ww. dane osobowe osób zatrudnionych zgodnie z prawem, co oznacza, że jest prawnie umocowany. W przypadku jakichkolwiek roszczeń ww. osób względem Podmiotu przetwarzającego związanych z nieprawidłowością niniejszego oświadczenia (kwestionowaniem legalności przekazania ich danych osobowych) Administrator zwolni Podmiot przetwarzający z wszelkich roszczeń, wstąpi do toczących się procesów i zwróci wszelkie poniesione z tego tytułu przez Podmiot przetwarzający koszty, w tym koszty sądowe, odszkodowania itp.
2. Podmiot przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązuje się do wdrożenia wszelkich środków wymaganych przez RODO, w tym odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku związanemu z przetwarzaniem danych osobowych.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych mu danych osobowych. Podmiot przetwarzający zapewnia, że osoby przez niego upoważnione do przetwarzania powierzonych danych osobowych, są przeszkolone z zakresu ochrony danych osobowych oraz zostały zobowiązane do zachowania w tajemnicy przetwarzanych danych, zarówno w okresie trwania Umowy, jak i po jej zakończeniu.
4. Podmiot przetwarzający po rozwiązaniu umowy bądź zakończeniu świadczenia usług umożliwi Administratorowi pobranie danych po czym niezwłocznie usunie konto Administratora, usunie wszelkie istniejące dane oraz kopie danych, chyba że prawo Unii lub prawo polskie nakazują przechowywanie danych osobowych.
5. Podmiot powierzający w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z jego obowiązków określonych w art. 32-36 RODO.
6. W sytuacji, gdy osoba której dane dotyczą̨, zgłosi się z żądaniem bezpośrednio do Podmiotu przetwarzającego, Podmiot przetwarzający niezwłocznie poinformuje Administratora o złożonym żądaniu. Administrator jest wyłącznie odpowiedzialny za sporządzenie odpowiedzi na żądanie osoby, której dane dotyczą̨.
7. Po stwierdzeniu naruszenia ochrony powierzonych danych, Podmiot przetwarzający zobowiązuje się niezwłocznie zgłosić ten fakt Administratorowi. Podmiot przetwarzający podejmuje bez zbędnej zwłoki wszelkie działania mające na celu ograniczenie i naprawnienie negatywnych skutków naruszenia danych.
8. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie powierzonych mu danych osobowych niezgodnie z treścią niniejszej Umowy, a w szczególności za udostępnienie ich do przetwarzania osobom nieupoważnionym. Podmiot przetwarzający odpowiada za rzeczywiste szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał poza zgodnymi z prawem poleceniami Administratora będącego administratorem powierzonych Podmiotowi przetwarzającemu danych osobowych osób zatrudnionych.
9. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie i zaniechanie.
10. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową powierzenia do dalszego przetwarzania innemu podwykonawcy w celu wykonania Umowy, po wcześniejszym szczegółowym poinformowaniu Administratora o dalszym powierzeniu danych osobowych, a także po uzyskaniu pisemnej, w tym w formie elektronicznej, zgody Administratora. Administrator może wyrazić sprzeciw wobec dalszego powierzenia danych.
11. Podmiot przetwarzający oświadcza, że dokona dalszego powierzenia przetwarzania danych osobowych jedynie względem podmiotów, zapewniających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z RODO i chroniło prawa osób, których dane dotyczą, a także gwarantujących najwyższy poziom świadczonych usług oraz przetwarzanie danych osobowych w granicach Europejskiego Obszaru Gospodarczego.
12. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na nim obowiązków ochrony danych.

IV. ZASADY ZACHOWANIA POUFNOŚCI

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od osób z nim współpracujących oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. W związku z zobowiązaniem zachowania tajemnicy danych wymieniony w ust.1 powyżej, Podmiot przetwarzający oświadcza, że bez pisemnie wyrażonej zgody Administratora, dane te nie będą ujawniane, wykorzystywane czy udostępniane w innym celu niż realizacja Umowy, chyba że konieczność ich ujawnienia będzie wynikała z powszechnie obowiązujących przepisów prawa.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych, gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich, nieupoważnionych do zapoznania się z ich treścią.

V. PRAWO KONTROLI

1. Administrator zgodnie z art. 28 ust.3 lit.h RODO ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczaniu powierzonych danych osobowych spełniają postanowienia Umowy.
2. Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających z RODO oraz niniejszej Umowy przez Podmiot przetwarzający.
3. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającemu na co najmniej 14 dni przed rozpoczęciem czynności, przy czym termin jej przeprowadzenia każdorazowo wymaga wcześniejszego uzgodnienia przez obydwie strony. Administrator może realizować prawo kontroli w godzinach pracy Podmiotu przetwarzającego. Ewentualne koszty przeprowadzenia kontroli ponosi wyłącznie Administrator.
4. Kontrola będzie przeprowadzana przez wykwalifikowany podmiot zewnętrzny, specjalizujący się w zakresie bezpieczeństwa informacji oraz ochrony danych osobowych, zaakceptowany zarówno przez Administratora danych, jak i Podmiot przetwarzający. Audytorem nie może być podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, ani podmiot z nim powiązany, pracownik lub podmiot współpracujący, bez względu na podstawę zatrudnienia lub współpracy. Audytor przed przystąpieniem do czynności sprawdzających jest zobowiązany do złożenia zapewnienia zachowania w poufności pozyskanych informacji.
5. Podmiot przetwarzający zobowiązuje się do zastosowanie się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania, a także do usunięcia uchybień stwierdzonych podczas kontroli  w terminie wskazanym przez Administratora nie dłuższym niż 14 dni.
6. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

VI. CZAS OBOWIĄZYWANIA UMOWY POWIERZENIA

1. Niniejsza Umowa powierzenia wchodzi w życie z dniem jej zawarcia  i obowiązuje przez okres świadczenia Usług do momentu usunięcia danych.
2. Umowa ulega rozwiązaniu z chwilą zakończenia korzystania z usług świadczonych przez Podmiot przetwarzający.
3. Podmiot przetwarzający po zakończeniu świadczenia Usług związanych z przetwarzaniem powierzonych mu danych, zwraca Administratorowi dane osobowe oraz usuwa wszelkie ich istniejące kopie lub przesyła potwierdzenie ich zniszczenia w formie elektronicznej, chyba że prawo Unii lub prawo polskie nakazują przechowywanie danych osobowych.

VII. POSTANOWIENIA KOŃCOWE

1. Niniejsza Umowa zastępuje wcześniejsze umowy i ustalenia w zakresie powierzenia przetwarzania danych osobowych.
2. W razie sprzeczności postanowień niniejszej Umowy z Regulaminem serwisu REGISTO, pierwszeństwo mają zapisy niniejszej Umowy.
3. Wszelkie zmiany Umowy powierzenia będą publikowane na stronie internetowej serwisu REGISTO, jako załącznik do Regulaminu, a dodatkowo Administrator zostanie drogą mailową powiadomiony o zmianach na 14 dni przed ich wejściem w życie.
4. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
5. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Podmiotowi przetwarzającemu.

Aktualizacja 01.07.2023 r.