Niniejsza umowa powierzenia przetwarzania danych (dalej – Umowa) reguluje przetwarzanie danych osobowych, które wykonuje Venipak Lietuva, UAB, działająca jako „Podmiot przetwarzający” w imieniu swojego klienta, działającego jako „Administrator danych”. Niniejsza Umowa staje się wiążąca dla Podmiotu przetwarzającego i Administratora danych w myśl Ogólnego rozporządzenia o ochronie danych.
1. POJĘCIA I INTERPRETACJA UMOWY
1.1 W wypadku, gdy z kontekstu Umowy nie wynika inne znaczenie, w niniejszej Umowie, w tym również w jej Preambule i aneksach do niej pojęcia pisane pierwszą wielką literą mają znaczenia wyszczególnione niżej:
| Ogólne rozporządzenie o ochronie danych | Oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, uchylające dyrektywę 95/46/UE. |
| Administrator danych | oznacza stronę niniejszej Umowy, osobę fizyczną albo prawną, organ władzy, agencję lub inną instytucję, która samodzielnie albo łącznie z innymi ustala cele i środki przetwarzania danych. |
| Podmiot przetwarzający | oznacza stronę niniejszej Umowy, osobę fizyczną albo prawną, organ władzy, agencję lub inną instytucję, która w imieniu Administratora danych przetwarza dane osobowe. |
| Dane | Oznaczają dowolne informacje o osobie fizycznej, której tożsamość została określona albo może zostać określona (podmiot danych); osoba fizyczna, której tożsamość można ustalić, to osoba, której tożsamość bezpośrednio albo pośrednio można ustalić, przede wszystkim na podstawie identyfikatora, którym jest imię i nazwisko, numeru identyfikacyjnego osoby, danych miejsca pobytu oraz identyfikatora internetowego albo na podstawie jednej lub kilku cech tożsamości fizycznej, fizjologicznej, genetycznej, psychicznej, gospodarczej, kulturowej albo społecznej. |
| Przetwarzanie danych | oznacza – dowolną operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. |
| Sposób automatyczny | oznacza działania wykonywane całkowicie lub częściowo przez narzędzia automatyczne. |
| Podmiot danych | oznacza osobę fizyczną, której Dane są przetwarzane w myśl niniejszej Umowy. |
| Osoba trzecia | oznacza osobę fizyczną albo prawną, organ władzy, agencję lub inną instytucję niebędącą podmiotem danych, administratorem danych, podmiotem przetwarzającym dane, albo osoby, którym na mocy bezpośredniego pełnomocnictwa Administratora danych albo podmiotu przetwarzającego dane zezwala się przetwarzać dane osobowe. |
| Narzędzia techniczne i organizacyjne
|
oznaczają narzędzia, przeznaczone do ochrony danych przed przypadkowym albo niezgodnym z prawem zniszczeniem, zmianą, ujawnieniem, jak również przed dowolnym innym niezgodnym z prawem przetwarzaniem. Wspomniane narzędzia powinny zapewnić taki poziom bezpieczeństwa, który odpowiadałby charakterowi danych i ryzyku powodowanym przez ich przetwarzanie. |
1.2. W niniejszej Umowie:
(a) wyrazy w formie liczby mnogiej mają takie samo znaczenie, jak te wyrazy używane w formie liczby pojedynczej, oraz odwrotnie;
(b) stosowanie konkretnego rodzaju (męskiego albo żeńskiego) w tekście Umowy powinno być interpretowane jako stosowanie dowolnego z tych rodzajów;
(c) wyraz „obejmuje” albo „w tym” odpowiednio oznacza „obejmuje bez żadnych ograniczeń” albo „w tym między innymi”;
(d) nazwy części niniejszej Umowy stosuje się wyłącznie z wygody i nie mają one wpływu na interpretację Umowy;
(e) odsyłacze do punktów, aneksów oraz innych przepisów są odsyłaczami do punktów, aneksów oraz przepisów niniejszej Umowy.
1.3. Umowa jest ogólnym wynikiem negocjacji Stron oraz porozumienia, dlatego Umowa nie może być interpretowana na korzyść albo niekorzyść jednej ze Stron z uwagi na to, że jedna ze Stron była albo mogła być odpowiedzialna za przygotowanie projektu Umowy albo dowolnej jej części.
1.4. Pojęcia nieokreślone w umowie są interpretowane w oparciu o regulację normatywnych aktów prawnych.
2. PRZEDMIOT I CELE UMOWY
2.1. Niniejsza Umowa reguluje przetwarzanie danych osobowych wykonywane przez Podmiot przetwarzający w imieniu Administratora danych. Niniejsza Umowa staje się wiążąca dla Podmiotu przetwarzającego i Administratora danych w myśl Ogólnego rozporządzenia o ochronie danych.
2.2. Charakter, przedmiot i cel przetwarzania danych osobowych – wykonywanego przez Podmiot przetwarzający w imieniu Administratora danych, jak również informację związaną z typem przetwarzanych danych osobowych oraz kategoriami podmiotów danych, wskazano w Aneksie do niniejszej Umowy.
3. OBOWIĄZYWANIE UMOWY
3.1. Niniejsza Umowa staje się wiążąca dla Podmiotu przetwarzającego oraz Administratora danych na podstawie Ogólnego rozporządzenia o ochronie danych, gdy zawrą Umowę w trybie artykułu 28 ustęp 9 Ogólnego rozporządzenia o ochronie danych.
3.2. Niniejszą Umowę stosuje się tak długo, jak długo Podmiot przetwarzający przetwarza dane osobowe Administratora danych.
3.3. Na prośbę Administratora danych, Podmiot przetwarzający jest zobowiązany po wypowiedzeniu niniejszej Umowy albo jej wygaśnięciu zawiesić swoją działalność w zakresie przetwarzania danych oraz – jeżeli żąda tego Administrator danych i jeżeli stosowane akty prawne w zakresie ochrony danych nie określają inaczej – jest zobowiązany wykasować albo zwrócić wszystkie dane osobowe Administratorowi danych, jednocześnie kasując wszystkie posiadane kopie takich danych.
4. ZOBOWIĄZANIA PODMIOTU PRZETWARZAJĄCEGO
4.1. Podmiot przetwarzający wdrożył należyte narzędzia techniczne oraz organizacyjne, zapewniające, żeby prowadzone przez niego przetwarzanie danych osobowych w myśl przepisów niniejszej Umowy spełniało stosowane wymogi aktów prawnych z zakresu ochrony danych, a konkretnie – wymogi Ogólnego rozporządzenia o ochronie danych, oraz zapewniało ochronę praw podmiotu danych.
4.2. Podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe wyłącznie na podstawie przedstawionych przez Administratora danych pisemnych instrukcji zaewidencjonowanych w dokumentach, za wyjątkiem wypadków, gdy stosowane akty prawne określają inaczej. W takim wypadku, przed rozpoczęciem przetwarzania danych osobowych, Podmiot przetwarzający, w zakresie, w jakim pozwalają na to akty prawne, jest zobowiązany poinformować Administratora danych o takim wymogu prawnym. W wypadku, gdy Podmiot przetwarzający nie ma instrukcji, jak przetwarzać dane osobowe w konkretnej sytuacji, albo jeżeli jakaś instrukcja narusza stosowany akt prawny z zakresu ochrony danych, Podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym Administratora danych.
4.3. Podmiot przetwarzający, z uwagi na charakter i ewentualny zakres przetwarzania danych, korzystając z należytych Narzędzi technicznych i organizacyjnych, pomaga Administratorowi danych wykonać zobowiązanie Administratora danych odpowiadania na wnioski o skorzystanie z praw Podmiotu danych. W myśl niniejszej Umowy, prawa Podmiotu danych obejmują prawa zwrócenia się z prośbą o informacje oraz – na życzenie podmiotu danych – korektę, zniszczenie danych osobowych albo wstrzymanie działań przetwarzania danych osobowych.
4.4. Podmiot przetwarzający, z uwagi na charakter przetwarzania danych oraz posiadane informacje, pomaga Administratorowi danych wykonać konkretne zobowiązania w myśl stosowanych aktów prawnych w zakresie ochrony danych. Konkretne zobowiązania obejmują bezpieczeństwo przetwarzania danych (artykuł 32 Ogólnego rozporządzenia o ochronie danych), powiadomienie o naruszeniu bezpieczeństwa danych osobowych (artykuły 33–34 Ogólnego rozporządzenia o ochronie danych) oraz ocenę oddziaływania na ochronę danych i wcześniejsze konsultacje (artykuły 35–36 Ogólnego rozporządzenia o ochronie danych).
4.5. Podmiot przetwarzający zobowiązuje się podać Administratorowi danych wszystkie informacje oraz udzielić mu wszelkiej pomocy w celu udowodnienia, że są wykonywane zobowiązania podjęte w myśl niniejszej Umowy, jak również tworzy warunki oraz pomaga Administratorowi danych albo innemu upoważnionemu przez niego audytorowi wykonać audyt, w tym kontrole na miejscu.
5. SUBPODMIOTY PRZETWARZAJĄCE
5.1. Administrator danych potwierdza, że Podmiot przetwarzający może skorzystać z pomocy innych spółek wskazanych w Aneksie do Umowy jako subpodmiotów przetwarzających. Podmiot przetwarzający informuje Administratora danych o wszystkich planowanych zmianach, związanych z zatrudnieniem albo zmianą subpodmiotów przetwarzających, z kolei Administrator danych ma prawo nie zgadzać się z takimi zmianami.
5.2. Podmiot przetwarzający zapewnia, oraz na prośbę Administratora danych, udokumentowuje, że subpodmioty przetwarzające zobowiązały się w myśl pisemnych umów, na podstawie których – poza zobowiązaniami określonymi w niniejszej Umowie – są one zobowiązane dotrzymać stosownych zobowiązań z zakresu przetwarzania danych. Podmiot przetwarzający jest całkowicie odpowiedzialny przed Administratorem danych z tytułu zobowiązań wykonywanych przez subpodmioty przetwarzające.
5.3. Administrator danych może prosić, żeby Podmiot przetwarzający sprawdził subpodmiot przetwarzający albo dostarczył potwierdzenie, że taka kontrola została wykonana, albo, jeśli jest taka możliwość, otrzymał albo pomógł otrzymać Administratorowi danych wniosek zewnętrznego biegłego rewidenta w sprawie działalności subpodmiotu przetwarzającego, w celu zapewnienia wykonania wymogów stosowanych aktów prawnych w zakresu ochrony danych.
6. PRZEKAZANIE DANYCH DO PAŃSTW TRZECICH
6.1. Zobowiązanie do przetwarzania danych osobowych w myśl Umowy może być wykonywane wyłącznie w państwie członkowskim Unii Europejskiej (UE) albo w państwie członkowskim Europejskiego Obszaru Gospodarczego (EOG). Dowolne przekazanie danych osobowych do państwa nie będącego państwem członkowskim UE albo EOG, może się odbywać wyłącznie po otrzymaniu uprzedniej pisemnej zgody Administratora danych oraz wyłącznie w wypadku, jeżeli zostały spełnione warunki specjalne, wskazane w stosowanych aktach prawnych z zakresu ochrony danych, rozdziale V Ogólnego rozporządzenia o ochronie danych.
6.2. Administrator danych może w dowolnej chwili cofnąć swoją zgodę na przekazanie danych do państw trzecich w myśl punktu 6.1 niniejszej Umowy. W takim wypadku Podmiot przetwarzający jest zobowiązany od razu zaprzestać przekazywania danych oraz, na prośbę Administratora danych, przedstawić pisemne potwierdzenie takiego zaprzestania.
7. BEZPIECZEŃSTWO INFORMACJI I POUFNOŚĆ
7.1. Podmiot przetwarzający zapewnia należytą ochronę danych osobowych w myśl niniejszej Umowy w celu zabezpieczenia danych osobowych przed zniszczeniem, zmianą, nieautoryzowanym rozpowszechnianiem albo nieautoryzowanym dostępem. Dane osobowe są również chronione przed nieautoryzowanym przetwarzaniem innego rodzaju.
7.2. Podmiot przetwarzający przygotowuje i stale odnawia opis swoich narzędzi technicznych, organizacyjnych i fizycznych, żeby ten spełniał wymogi stosowanych aktów prawnych w zakresie ochrony danych,
7.3. Bez uprzedniej zgody Administratora danych Podmiot przetwarzający zobowiązuje się nie ujawniać danych osobowych osoby przetwarzanych w myśl niniejszej Umowy ani w inny sposób nie pozwalać się z nimi zapoznać żadnej Stron trzeciej, za wyjątkiem subpodmiotów przetwarzających, których zatrudnia się na podstawie niniejszej Umowy.
7.4. Podmiot przetwarzający zapewnia, żeby wszystkie osoby związane z przetwarzaniem danych były zobowiązane zapewnić poufność albo żeby stosowano wobec nich odpowiednie ustalone ustawowo zobowiązanie do poufności.
8. STOSOWANE PRAWO ORAZ ROZWIĄZYWANIE SPORÓW
8.1. Niniejsza Umowa została zawarta i jest interpretowana w oparciu o akty prawne Republiki Litewskiej, za wyjątkiem norm kolizyjnych prawa, gdy w przeciwnym wypadku mogą być stosowane inne normy prawne.
8.2. Strony umawiają się, że jedynym i wyłącznym miejscem, w którym rozpatruje się wszystkie spory powstające z niniejszej Umowy, są sądy Republiki Litewskiej zgodnie z jurysdykcją.
9. OGRANICZENIE ODPOWIEDZIALNOŚCI ORAZ WYRÓWNANIE STRAT
9.1. W wypadku, gdy nie zostanie ustalone inaczej, strony ponoszą odpowiedzialność z tytułu ogólnych stosowanych norm prawa wskazanych w rozdziale 8 Umowy. Niezależnie od tego, co wskazano wyżej, strony nie przyjmują odpowiedzialności z tytułu strat eksploatacyjnych, utraty zysku, utraty prestiżu, dowolnych innych pośrednich strat i szkody z tytułu ich skutków. Utratę danych uznaje się stratę pośrednią.
9.2. Ogólna odpowiedzialność Podmiotu przetwarzającego w myśl niniejszej Umowy oraz wszystkie przewidziane zobowiązania w dowolnym wypadku ogranicza się do ,,kwoty 3000 EUR. Niezależnie od tego, co wskazano wyżej, Podmiot przetwarzający nie przyjmuje odpowiedzialności z tytułu strat eksploatacyjnych, utraty zysku, utraty prestiżu, dowolnych innych pośrednich strat i szkody z tytułu ich skutków. Utratę danych na mocy wspólnego porozumienia stron uznaje się za stratę pośrednią.
10. INNE PRZEPISY
Rozdzielny charakter przepisów
10.1. W wypadku, gdy dowolny przepis niniejszej Umowy zostaje uznany przez sąd albo arbitraż za niezgodny z prawem, nieważny albo niemożliwy do zrealizowania, inne przepisy niniejszej Umowy pozostają ważne i wiążące w całej objętości. Dowolny przepis niniejszej Umowy uznany za niezgodny z prawem, nieważny albo niemożliwy do zrealizowania jedynie częściowo albo w pewnym zakresie, będzie nadal obowiązywał w zakresie, w jakim nie był uznany za niezgodny z prawem, nieważny albo niemożliwy do zrealizowania. Strony zastąpią takie niezgodne z prawem, nieważne albo niemożliwe do zrealizowania przepisy niniejszej Umowy zgodnymi z prawem, ważnymi i możliwymi do zrealizowania, które pod względem znaczenia maksymalnie odpowiadałyby zamiarom Stron, istniejącym w momencie zawierania niniejszej Umowy. Strony będą dokładać wszelkich starań, żeby zapewnić realizację wszystkich przepisów niniejszej Umowy.
Brak sprzecznych porozumień
10.2. Niniejsza Umowa jest dokumentem, w sprawie którego negocjowały i który wspólnie przygotowały Strony. Niniejsza Umowa zmienia wszystkie dotychczasowe porozumienia Stron w sprawie przedmiotu Umowy i jest całkowitym i jedynym oświadczeniem Stron w sprawie warunków Umowy. Niniejszy punkt nie ogranicza prawa stosowania odpowiedzialności z tytułu oszustwa drugiej Strony.
10.3. Każda ze Stron zobowiązuje się po wykonaniu Umowy nie zawierać żadnych porozumień, które kolidowałyby z zobowiązaniami Strony z tytułu niniejszej Umowy.
Zmiany i uzupełnienia Umowy
10.4. Dowolne Aneksy do niniejszej Umowy, jej zmiany i uzupełnienia (w tym również zmiana albo uzupełnienie niniejszego punktu), są wiążące jedynie wykonane w formie pisemnej i podpisane przez wszystkie Strony.
Koszty
10.5. Każda ze Stron sama pokrywa swoje koszty związane z negocjacjami w sprawie niniejszej Umowy, jej przygotowaniem, podpisaniem, wejściem w życie i wykonywaniem.
Aneks Nr 1 do Umowy powierzenia przetwarzania danych
| Przedmiot i cel przetwarzania danych | Świadczenie niżej wskazanych usług albo zadań Podmiotu przetwarzającego na rzecz Administratora danych:
Świadczenie usług – zakup (zamówienie) usług Podmiotu danych do przetwarzania, administrowania; do identyfikacji Podmiotu danych w systemach informacyjnych Podmiotu przetwarzającego; do identyfikacji Podmiotu danych przy logowaniu na swoje konto na stronie internetowej Podmiotu przetwarzającego (gdy taką możliwość stwarza Podmiot przetwarzający); do rozwiązania problemów związanych z realizacją usług, ich prezentacją, wykorzystaniem; do skontaktowania się z Podmiotem danych po zmianie warunków usług nabytych przez Podmiot danych; do wykonania innych zobowiązań umownych; w celach marketingu bezpośredniego; do analizy biznesowej oraz analiz statystycznych, badań ogólnych, pozwalających poprawić usługi oraz doskonalić ich jakość; do wykonania audytu, |
| Typ przetwarzanych danych osobowych | Przetwarzane dane osobowe obejmują:
Osobiste merytoryczne informacje kontaktowe w zakresie imienia i nazwiska, numeru telefonu albo numeru telefonu komórkowego, adresu e-mail, adresu miejsca zamieszkania; miejsca pracy. |
| Kategorie podmiotów danych | Przedstawiciele Administratora danych oraz użytkownicy końcowi, tacy jak pracownicy, kandydaci na stanowisko, wykonawcy, współpracownicy, partnerzy, jak również klienci Administratora danych i inne osoby, które muszą zostać wpisane do centralnej bazy danych Podmiotu przetwarzającego. |
| Czynności przetwarzania danych | Wprowadzanie danych osobowych, ich korekta i kasowanie, jak również wykonywanie i przechowywanie kopii i zapasowych serwerów, na których mogą znajdować się dane osobowe. |
| Lista Subpodmiotów przetwarzających dane osobowe | Brak |
| Jurysdykcja | Litwa |