ZAŁĄCZNIK NR 3

DO OGÓLNYCH WARUNKÓW ŚWIADCZENIA USŁUG SERWISOWYCH  I HOSTINGOWYCH DLA SYSTEMU KLINIKAXP (dalej OWU)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta pomiędzy „Klientem"

oraz

 

BRI Sp. z o.o.  z siedzibą w Zielonej Górze, przy ul. Piaskowej 1 lok. 14, 65-204 Zielona Góra, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Zielonej Górze, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001140159, NIP 9731108171, REGON 540307128, kapitał zakładowy 20.000,00 PLN

zwaną dalej „Podmiotem Przetwarzającym" lub „Usługodawcą"

 

ZWAŻYWSZY, ŻE:

Administrator Danych jest Administratorem Danych Osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) w odniesieniu do danych pacjentów (zwierząt i ich właścicieli) przetwarzanych w Systemie KlinikaXP.

Podmiot Przetwarzający świadczy na rzecz Administratora usługi objęte OWU, w ramach których uzyskuje dostęp do danych osobowych przetwarzanych przez Administratora.

Administrator Danych wyraża zgodę na powierzenie przetwarzania danych osobowych Podmiotowi Przetwarzającemu na zasadach określonych w niniejszej Umowie.

Podmiot Przetwarzający potwierdza, iż dane osobowe będą wykorzystywane wyłącznie na zasadach określonych w niniejszej Umowie oraz zgodnie z OWU.

Niniejsza Umowa stanowi integralną część OWU.

UZGODNIONE WARUNKI:

§ 1. Definicje

Następujące definicje oraz zasady interpretacji mają zastosowanie do niniejszej Umowy:

OWU: Ogólne Warunki świadczenia usług serwisowych  i hostingowych dla systemu KlinikaXP, do której niniejsza umowa stanowi Załącznik nr 3.

Charakter przetwarzania: Świadczenie usług określonych w OWU (Pakiety Serwisowe zgodnie z § 5, Hosting w Chmurze zgodnie z § 8, wsparcie techniczne, wykonywanie aktualizacji, konsultacje), w ramach których Podmiot Przetwarzający uzyskuje dostęp do danych osobowych pacjentów. Szczegółowy zakres usług i związany z nimi charakter dostępu do danych określony jest w § 4 niniejszej Umowy.

Naruszenie bezpieczeństwa danych osobowych: naruszenie bezpieczeństwa skutkujące przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do udostępnionych danych osobowych.

Regulacje dot. Ochrony Danych: Ogólne Rozporządzenie o Ochronie Danych (UE 2016/679), („RODO") oraz wszelkie przepisy i regulacje w przedmiocie przetwarzania danych osobowych oraz prywatności, w tym także mające zastosowanie wytyczne oraz kodeksy postępowania wydane przez Komisarza ds. Informacji lub wszelkie dokumenty o znaczeniu równorzędnym w danej jurysdykcji. Odniesienia do ustawodawstwa obejmują również jakiekolwiek jego okresowe zmiany.

Dane Osobowe: dane osobowe będą przekazywane między Stronami zgodnie z paragrafem 5 niniejszej Umowy.

Podwykonawca: Osoba trzecia, której Podmiot Przetwarzający zlecił wykonywanie usług na zasadzie podpowierzenia przetwarzania danych osobowych.

System KlinikaXP (System): zdefiniowany w § 1 pkt 2 OWU.

Instalacja Lokalna: zdefiniowana w § 1 pkt 6 OWU.

Hosting Systemu w Chmurze (Hosting w Chmurze): zdefiniowany w § 1 pkt 7 OWU.

SLA: zdefiniowany w § 1 pkt 15 OWU.

Regulamin: zdefiniowany w § 1 pkt 16 OWU

Zdalne połączenie: połączenie realizowane przez Podmiot Przetwarzający do infrastruktury informatycznej Klienta (komputerów, serwerów) za pomocą narzędzi zdalnego dostępu (np. TeamViewer, AnyDesk, Microsoft Remote Desktop, VPN) w celu świadczenia usług serwisowych.

§ 2. Zgodność z Regulacjami dot. Ochrony Danych

Strony niniejszym potwierdzają, że będą przetwarzać dane osobowe zgodnie z postanowieniami niniejszej Umowy. Każda ze Stron zobowiązana jest zapewnić zgodność przetwarzania z Regulacjami dot. Ochrony Danych przez cały czas trwania niniejszej Umowy oraz chronić prawa osób, których dane dotyczą.

§ 3. Korzystanie, ujawnianie oraz przekazywanie danych

3.1. Podmiot Przetwarzający potwierdza, iż będzie przetwarzał dane osobowe, zgodnie z paragrafem 5 Umowy, wyłącznie w celach wskazanych w paragrafie 4 Umowy przez okreszwiązania Stron OWU, chyba że prawo Unii Europejskiej lub prawo Rzeczpospolitej Polskiej nakazują przechowywanie danych osobowych.

3.2. Podmiot Przetwarzający nie będzie ujawniał oraz przekazywał danych osobowych, przetwarzanych zgodnie z niniejszą Umową, jakiemukolwiek podmiotowi trzeciemu bez pisemnej zgody Administratora Danych, zgodnie z postanowieniami paragrafu 6 Umowy. Nie dotyczy to sytuacji, w których dane osobowe ujawniane są organom uprawnionym do tego na mocy przepisów prawa.

3.3. Podmiot Przetwarzający nie może publikować, kopiować, przekazywać ani powielać jakichkolwiek informacji związanych z realizacją Umowy lub OWU bez zgody Administratora Danych.

3.4. Wyjątek – dane zanonimizowane:  Ograniczenia określone w ust. 3.2 i 3.3 nie mają zastosowania do danych zanonimizowanych (Dane Zagregowane) w rozumieniu Załącznika nr 6 do OWU (Polityka Przetwarzania i Komercjalizacji Zanonimizowanych Danych Zagregowanych). Dane zanonimizowane nie są danymi osobowymi w rozumieniu RODO i mogą być wykorzystywane przez Podmiot Przetwarzający na zasadach określonych w Załączniku nr 6.

3.5. Podmiot Przetwarzający zobowiązuje się do odebrania od osób upoważnionych przez niego do realizacji niniejszej Umowy stosownych oświadczeń o zachowaniu poufności.

3.6. Zasady dostępu zdalnego (dla Instalacji Lokalnej):

W przypadku Klientów korzystających z Instalacji Lokalnej (bez Hostingu w Chmurze), dostęp Podmiotu Przetwarzającego do danych osobowych realizowany jest wyłącznie poprzez zdalne połączenie do infrastruktury Klienta, z zastrzeżeniem następujących zasad:

a) Zgoda Klienta: Każde zdalne połączenie wymaga uprzedniej zgody Klienta wyrażonej:

  • Telefonicznie (rozmowa rejestrowana – zgodnie z § 10 ust. 2 lit. A OWU),
  • E-mailem (w odpowiedzi na zgłoszenie serwisowe),
  • Poprzez zaakceptowanie sesji w narzędziu zdalnego dostępu (np. kliknięcie "Akceptuj" w TeamViewer),

b) Czas trwania połączenia: Zdalne połączenie trwa wyłącznie przez czas niezbędny do wykonania czynności serwisowej (diagnostyka, naprawa, aktualizacja),

c) Nadzór Klienta: Klient ma prawo do nadzorowania zdalnego połączenia (obserwacja ekranu, żądanie wyjaśnień od serwisanta),

d) Zakaz kopiowania danych: Podmiot Przetwarzający nie kopiuje danych osobowych z infrastruktury Klienta na swoje serwery, z wyjątkiem sytuacji określonych w ust. 3.7,

e) Rozłączenie: Klient ma prawo w każdej chwili przerwać zdalne połączenie (zamknięcie sesji).

3.7. Wyjątki od zakazu kopiowania (Instalacja Lokalna):

Podmiot Przetwarzający może tymczasowo skopiować dane z infrastruktury Klienta na swoje serwery wyłącznie w następujących przypadkach:

a) Diagnostyka i reprodukcja błędów: Jeśli naprawa krytycznego błędu Systemu wymaga szczegółowej analizy danych (np. uszkodzona baza danych, błąd w przetwarzaniu konkretnych rekordów), Podmiot Przetwarzający może skopiować minimalny niezbędny fragment bazy danych,

b) Backup awaryjny: W sytuacji zagrożenia utratą danych u Klienta (np. awaria dysku, atak ransomware), Podmiot Przetwarzający może wykonać kopię zapasową danych Klienta,

c) Migracja danych: W przypadku zmiany infrastruktury (np. migracja z Instalacji Lokalnej na Hosting w Chmurze lub odwrotnie).

Zasady kopiowania:

  • Klient jest uprzednio informowany o konieczności skopiowania danych (telefonicznie lub e-mailem) i wyraża zgodę,
  • Skopiowane dane są szyfrowane (AES-256 lub wyższy standard),
  • Dane są usuwane niezwłocznie po zakończeniu czynności serwisowej (nie dłużej niż 7 dni od skopiowania),
  • Podmiot Przetwarzający rejestruje każde skopiowanie danych (log zawierający: data, cel, zakres danych, data usunięcia) – dostępny dla Klienta na żądanie.

§ 4. Cel i charakter przetwarzania

4.1. Strony potwierdzają, iż powierzenie przetwarzania danych osobowych jest niezbędne, aby Podmiot Przetwarzający mógł zrealizować cel OWU.

4.2. Podmiot Przetwarzający potwierdza, iż dane osobowe będą przetwarzane wyłącznie zgodnie z wytycznymi Administratora Danych oraz wyłącznie mając na celu realizacji celu OWU. Strony nie będą przetwarzać danych osobowych w sposób sprzeczny z celem opisanym w niniejszym paragrafie.

4.3. Cele przetwarzania:

Podmiot Przetwarzający przetwarza dane osobowe wyłącznie w następujących celach odpowiadających zakresowi usług określonych w OWU:

a) Świadczenie usług serwisowych określonych w § 5 OWU (Pakiety Serwisowe): wsparcie techniczne, instalacja aktualizacji i uaktualnień oprogramowania, naprawa błędów Systemu, konsultacje merytoryczne, szkoleniowe, wdrożeniowe,

b) Świadczenie usług Hostingu w Chmurze określonych w § 8 OWU: przechowywanie bazy danych, zapewnienie dostępu przez Internet, zapewnienie bezpieczeństwa danych (§ 23 OWU), wykonywanie kopii zapasowych, archiwizacja,

c) Realizacja praw osób, których dane dotyczą (art. 15-22 RODO): obsługa żądań dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych – na polecenie Administratora.

4.4. Przetwarzanie w celach analitycznych (anonimizacja):  Dane osobowe (przed anonimizacją) mogą być przetwarzane przez Podmiot Przetwarzający w celu anonimizacji i tworzenia Danych Zagregowanych na podstawie:

  • Prawnie uzasadnionego interesu Podmiotu Przetwarzającego (art. 6 ust. 1 lit. f RODO),
  • 9 ust. 2 lit. j RODO (przetwarzanie danych o zdrowiu w celach archiwalnych, badawczych lub statystycznych).

Szczegółowe zasady anonimizacji, gwarancje bezpieczeństwa oraz wykorzystania Danych Zagregowanych określa Załącznik nr 6 do OWU (Polityka Przetwarzania i Komercjalizacji Zanonimizowanych Danych Zagregowanych).

4.5. Różnice w charakterze przetwarzania:

Charakter dostępu Podmiotu Przetwarzającego do danych zależy od wybranego modelu wdrożenia Systemu:

  • Instalacja Lokalna: dostęp okresowy (wyłącznie podczas zdalnych połączeń w celach serwisowych); odpowiedzialność za przechowywanie danych i backup spoczywa na Kliencie (§ 22 ust. 1 OWU),
  • Hosting w Chmurze: dostęp ciągły (dane przechowywane w infrastrukturze Podmiotu Przetwarzającego); odpowiedzialność za bezpieczeństwo i backup spoczywa na Podmiocie Przetwarzającym (§ 23 OWU).

§ 5. Dane osobowe

5.1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych następujących kategorii osób fizycznych:

a. Właściciele zwierząt (pacjenci klinik weterynaryjnych – osoby fizyczne posiadające zwierzęta poddawane leczeniu weterynaryjnemu),

b. Inne osoby fizyczne, których dane są przetwarzane w Systemie KlinikaXP w związku z działalnością weterynaryjną Administratora (np. osoby upoważnione do odbioru zwierząt, kontakty awaryjne).

5.2. Administrator powierza Przetwarzającemu przetwarzanie następujących rodzajów danych osobowych:

a. Dane identyfikacyjne: imię i nazwisko właściciela zwierzęcia, adres zamieszkania,

b. Dane kontaktowe: numer telefonu, adres e-mail,

c. Dane dotyczące zwierzęcia w zakresie umożliwiającym identyfikację właściciela: gatunek, rasa, wiek, płeć, numer mikroczipu, kolor, znaki szczególne,

d. Dane o zdrowiu zwierzęcia:

  • Historia wizyt weterynaryjnych,
  • Rozpoznania (diagnozy),
  • Wyniki badań laboratoryjnych i diagnostycznych,
  • Zastosowane leczenie (zabiegi, leki, dawki),
  • Dokumentacja medyczna zwierzęcia (w tym obrazy medyczne w formacie DICOM – jeśli Moduł DICOM aktywowany),

e. Dane finansowe: historia płatności za usługi weterynaryjne, dane dotyczące rozliczeń (w zakresie niezbędnym do funkcjonowania Systemu),

f. Dane operacyjne i statusowe: identyfikator właściciela zwierzęcia w Systemie, logi dostępu (jeśli właściciel korzysta z Panelu Klienta lub Aplikacji Mobilnej),

g. Inne dane: wszelkie inne informacje wprowadzone przez Administratora do Systemu KlinikaXP niezbędne do świadczenia usług weterynaryjnych.

5.3. Podmiot przetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania powierzonych danych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnienie poprzez przesłanie, rozpowszechnianie, lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

5.4. Szczególne czynności przetwarzania:

A. Dla Instalacji Lokalnej:

  • Zdalne połączenie: ustanowienie sesji zdalnego dostępu do infrastruktury Klienta (przeglądanie ekranu, zdalny dostęp do plików Systemu, bazy danych),
  • Diagnostyka: analiza logów, bazy danych, konfiguracji Systemu w celu identyfikacji problemów,
  • Aktualizacje: instalacja nowych wersji oprogramowania (z dostępem do bazy danych w celu migracji struktury),
  • Naprawa błędów: modyfikacja plików Systemu, rekordów w bazie danych,
  • Tymczasowe kopiowanie danych: w przypadkach określonych w § 3.7 (diagnostyka, backup awaryjny, migracja) – z obowiązkiem usunięcia w terminie 7 dni.

B. Dodatkowo dla Hostingu w Chmurze:

  • Przechowywanie: ciągłe przechowywanie bazy danych w infrastrukturze chmurowej,
  • Backup (kopie zapasowe): wykonywanie codziennych kopii zapasowych danych z retencją 30 dni,
  • Archiwizacja: długoterminowe przechowywanie danych zgodnie z wymogami prawa weterynaryjnego i RODO,
  • Szyfrowanie: szyfrowanie danych w tranzycie (TLS 1.2 lub wyższy) i w spoczynku (AES-256),
  • Monitoring: ciągły monitoring bezpieczeństwa (24/7) w celu wykrywania incydentów,
  • Anonimizacja: przekształcanie danych osobowych w dane zanonimizowane (Dane Zagregowane) zgodnie z procedurą określoną w Załączniku nr 6 – wyłącznie na potrzeby analityczne po uprzednim przeprowadzeniu procesu anonimizacji zgodnego z RODO.

5.5. Powierzone dane będą przetwarzane: w formie elektronicznej (baza danych, pliki systemowe).

§ 6. Podwykonawstwo w zakresie przetwarzania danych

6.1. Podmiot Przetwarzający, w celu wykonywania w imieniu Administratora Danych czynności związanych z przetwarzaniem danych osobowych może korzystać z usług Podwykonawców, z zastrzeżeniem ograniczeń wynikających z niniejszej Umowy, OWU i przepisów obowiązującego prawa.

6.2. Podwykonawcy zatwierdzeni przez Administratora:

Administrator niniejszym wyraża zgodę na korzystanie przez Podmiot Przetwarzający z następujących Podwykonawców (podpowierzenie):

A. Dla Hostingu w Chmurze:

  • Dostawca infrastruktury chmurowej: przechowywanie danych, hosting serwerów,
  • Dostawca usług backupu: wykonywanie i przechowywanie kopii zapasowych,

B. Dla wszystkich Klientów (Instalacja Lokalna + Hosting):

  • Dostawcy narzędzi zdalnego dostępu: świadczenie usług zdalnego połączenia,
  • Dostawca usług wsparcia technicznego: wsparcie techniczne wymagające dostępu do danych,
  • Dostawca usług prawnych: podmioty świadczące usługi prawne w zakresie zgodności z RODO (jeśli wymagany dostęp do danych).

6.3. Podmiot Przetwarzający może nawiązywać współpracę z innymi Podwykonawcami, pod warunkiem uprzedniego zawiadomienia Administratora Danych o zamiarze korzystania z usług Podwykonawców i braku sprzeciwu na takie działanie ze strony Administratora Danych. Przedmiotowe zawiadomienie jest przesyłane Administratorowi Danych w formie pisemnej (dopuszczalna jest droga elektroniczna – e-mail) na 14 dni przed zawarciem umowy z podwykonawcą. Jeśli w ciągu 7 dni od otrzymania informacji Administrator Danych nie wyrazi sprzeciwu, uznaje się, że Administrator Danych wyraził zgodę na zawarcie umowy z Podwykonawcą.

6.4. Obowiązki Podmiotu Przetwarzającego wobec Podwykonawców:

Podmiot Przetwarzający zobowiązuje się:

  • Zawrzeć z każdym Podwykonawcą umowę podpowierzenia spełniającą wymogi art. 28 ust. 4 RODO,
  • Zapewnić, że Podwykonawca stosuje środki bezpieczeństwa nie gorsze niż określone w niniejszej Umowie (§ 10),
  • Pozostać w pełni odpowiedzialnym wobec Administratora za działania i zaniechania Podwykonawcy (art. 28 ust. 4 RODO),
  • Nadzorować przestrzeganie przez Podwykonawców zasad ochrony danych osobowych.

§ 7. Prawa podmiotów, których dane dotyczą

7.1. Na podstawie Regulacji dot. Ochrony Danych, podmioty, których dane dotyczą posiadają uprawnienia w związku z ich danymi osobowymi, tj.:

  1. prawo do bycia informowanym,
  2. prawo dostępu do danych,
  3. prawo do poprawiania danych,
  4. prawo do usuwania danych,
  5. prawo do ograniczenia przetwarzania danych,
  6. prawo do przenoszenia danych,
  7. prawo do wniesienia sprzeciwu,
  8. prawa związane z zautomatyzowanym procesem decyzyjnym oraz profilowaniem.

7.2. Podmiot Przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora Danych o otrzymaniu przez Podmiot Przetwarzający wezwania od podmiotu zamierzającego skorzystać z któregokolwiek ze swoich uprawnień na podstawie Regulacji dot. Ochrony Danych, a także roszczenia ze strony Podmiotu, którego dane dotyczą w zakresie przetwarzania danych osobowych zgodnie z Umową. Podmiot Przetwarzający będzie ściśle współpracował i wspierał Administratora Danych w związku ze zgłoszonym roszczeniem lub żądaniem ze strony podmiotu, którego dane dotyczą w zakresie przetwarzania danych osobowych zgodnie z Umową.

7.3. Procedura realizacji praw:

Podmiot Przetwarzający:

  • Niezwłocznie (nie później niż w ciągu 24 godzin) przekaże Administratorowi wszelkie żądania osób, których dane dotyczą, otrzymane bezpośrednio przez Podmiot Przetwarzający (e-mailem lub telefonicznie),
  • Na polecenie Administratora udzieli wsparcia technicznego w realizacji praw osób, których dane dotyczą:
    • Prawo dostępu (art. 15 RODO): eksport danych osoby, której dane dotyczą,
    • Prawo do sprostowania (art. 16 RODO): modyfikacja nieprawidłowych danych na polecenie Administratora,
    • Prawo do usunięcia (art. 17 RODO): trwałe usunięcie danych osoby, której dane dotyczą (z bazy produkcyjnej i backupów – o ile technicznie możliwe),
    • Prawo do ograniczenia przetwarzania (art. 18 RODO): oznaczenie danych jako "ograniczone" (bez usuwania),
    • Prawo do przenoszenia danych (art. 20 RODO): eksport danych w formacie strukturyzowanym (XML, JSON, CSV),
  • Nie będzie samodzielnie odpowiadał na żądania osób, których dane dotyczą – wyłączna kompetencja Administratora (Podmiot Przetwarzający działa wyłącznie na polecenie Administratora).

7.4. Termin realizacji wsparcia:

Podmiot Przetwarzający udzieli wsparcia technicznego w terminie uzgodnionym z Administratorem, nie dłuższym niż 7 dni roboczych od otrzymania polecenia (chyba że charakter żądania wymaga dłuższego terminu – wówczas Strony ustalają termin indywidualnie).

§ 8. Ewidencja oraz prawo nadzoru

8.1. Podmiot Przetwarzający zobowiązuje się prowadzić rejestr kategorii czynności przetwarzania na podstawie niniejszej Umowy.

8.2. Rejestr czynności przetwarzania:

Podmiot Przetwarzający prowadzi rejestr czynności przetwarzania zgodnie z art. 30 ust. 2 RODO, zawierający:

  • Nazwę i dane kontaktowe Podmiotu Przetwarzającego oraz Administratora,
  • Kategorie czynności przetwarzania wykonywanych w imieniu Administratora (określone w § 5),
  • Wykaz Podwykonawców (§ 6),
  • Opis środków bezpieczeństwa (§ 10),
  • Informacje o przekazywaniu danych do państw trzecich (jeśli dotyczy – np. dostawcy chmury spoza UE/EOG),
  • Rejestr zdalnych połączeń (dla Instalacji Lokalnej): data, godzina, cel połączenia, czas trwania, pracownik Podmiotu Przetwarzającego, zgoda Klienta.

8.3. Na wezwanie Administratora Danych, Podmiot Przetwarzający zobowiązany jest w ciągu 14 dni udostępnić mu wszelkie informacje niezbędne do wykazania zgodności z postanowieniami niniejszej Umowy, a także zobowiązany jest wyrazić zgodę na przeprowadzenie audytu oraz przyłączyć się do podejmowanych działań, w tym inspekcji przez Administratora Danych lub audytora działającego na zlecenie Administratora Danych w związku z przetwarzaniem danych osobowych przez Podmiot Przetwarzający lub Podwykonawców.

8.4. Audyt, o którym mowa w punkcie 8.3 powyżej, powinien być przeprowadzany w normalnych godzinach pracy Podmiotu Przetwarzającego, w sposób niezakłócający pracy jego przedsiębiorstwa.

8.5. Częstotliwość i zakres audytów:

  • Administrator może przeprowadzić audyt raz w roku (w zakresie zgodności z niniejszą Umową) lub częściej w uzasadnionych przypadkach (np. po naruszeniu bezpieczeństwa danych, na żądanie organu nadzorczego – UODO),
  • Audyt może obejmować:
    • Przegląd rejestrów czynności przetwarzania (§ 8.2),
    • Weryfikację środków bezpieczeństwa (§ 10),
    • Przegląd logów dostępu i zdalnych połączeń,
    • Weryfikację umów z Podwykonawcami (§ 6),
  • W przypadku audytów dotyczących procesu anonimizacji (Załącznik nr 6), Administrator może zażądać pisemnego potwierdzenia zgodności z Polityką w terminie 30 dni.

8.6. Koszty audytu:

Koszty audytu ponosi Administrator, chyba że audyt wykaże istotne uchybienia w przestrzeganiu niniejszej Umowy przez Podmiot Przetwarzający – wówczas koszty ponosi Podmiot Przetwarzający.

§ 9. Przechowywanie oraz usuwanie danych

9.1. Podmiot Przetwarzający nie jest uprawniony do przechowywania lub przetwarzania danych osobowych przez okres dłuższy niż potrzebny do uzyskania zamierzonych celów lub przez okres dłuższy niż wskazany przez Administratora Danych. Administrator Danych określa terminy, do których upływu Podmiot Przetwarzający może przechowywać dane osobowe przetwarzane zgodnie z Umową.

9.2 Zgodnie z wytycznymi Administratora Danych, Podmiot Przetwarzający zobowiązany jest zapewnić, że dane osobowe, przetwarzane zgodnie z Umową, zostaną zwrócone do Administratora Danych lub zniszczone.

§ 10. Bezpieczeństwo oraz szkolenie

10.1. Podmiot Przetwarzający zapewnia ochronę Danych Osobowych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy. Podmiot Przetwarzający zobowiązuje się w szczególności wdrożyć odpowiednie techniczne oraz organizacyjne środki bezpieczeństwa mające na celu:

A) zapobieganie:

- nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych; oraz

- przypadkowej utracie lub zniszczeniu, lub uszkodzeniu danych osobowych;

B) zapewnienie odpowiedniego poziomu bezpieczeństwa w odniesieniu do:

- szkody jaka może powstać na skutek nieuprawnionego lub niezgodnego z prawem przetwarzania danych, przypadkowej utraty, zniszczenia lub uszkodzenia; oraz

- charakteru danych osobowych podlegających ochronie.

§ 11. Naruszenie bezpieczeństwa danych osobowych oraz procedury raportowania

11.1. Podmiot Przetwarzający jest bezwzględnie zobowiązany do niezwłocznego poinformowania Administratora Danych o jakimkolwiek podejrzeniu naruszenia lub stwierdzonym naruszeniu bezpieczeństwa danych osobowych, jednak nie później niż w terminie 48 godzin od momentu uzyskania informacji o wystąpieniu naruszenia lub podejrzeniu jego wystąpienia.

11.2. Zawartość powiadomienia o naruszeniu:

Powiadomienie powinno zawierać (w zakresie dostępnym w momencie powiadomienia):

  • Opis naruszenia: charakter naruszenia (np. nieuprawniony dostęp, utrata danych, wyciek danych, atak ransomware, awaria serwera),
  • Kategorie i przybliżona liczba osób, których dane dotyczą (
  • Kategorie i przybliżona liczba rekordów danych,
  • Imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych Podmiotu Przetwarzającego lub osoby kontaktowej,
  • Prawdopodobne konsekwencje naruszenia ,
  • Środki zaradcze podjęte lub planowane przez Podmiot Przetwarzający w celu zaradzenia naruszeniu i złagodzenia jego skutków,
  • Przyczyna naruszenia (jeśli znana) oraz sposób wykrycia (.

11.3. Podmiot Przetwarzający zobowiązuje się zapewnić odpowiednie wsparcie wymagane przez Administratora Danych lub Organ Ochrony Danych (UODO) w celu podjęcia sprawnych i odpowiednich działań w przedmiocie naruszenia bezpieczeństwa danych osobowych.

11.4. Dokumentacja naruszeń:

Podmiot Przetwarzający prowadzi rejestr naruszeń bezpieczeństwa danych osobowych (zgodnie z art. 33 ust. 5 RODO), zawierający:

  • Datę i godzinę naruszenia,
  • Opis naruszenia,
  • Kategorie i liczba osób, których dane dotyczą,
  • Środki zaradcze podjęte,
  • Data powiadomienia Administratora,
  • Data powiadomienia UODO (jeśli dotyczy – przez Administratora),

Rejestr udostępniany Administratorowi na żądanie.

11.5. Współpraca z UODO:

W przypadku konieczności zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych (UODO) – obowiązek ten spoczywa na Administratorze (art. 33 RODO), ale Podmiot Przetwarzający zobowiązuje się:

  • Dostarczyć Administratorowi wszelkie informacje niezbędne do zgłoszenia (w terminie 24 godzin od żądania),
  • Współpracować z UODO w toku postępowania wyjaśniającego,
  • Wdrożyć zalecenia UODO (jeśli dotyczy Podmiotu Przetwarzającego).

§ 12. Weryfikacja i rozwiązanie Umowy

12.1. Administratorowi danych przysługuje prawo oceny należytego wykonywania niniejszej umowy przez Podmiot Przetwarzający. W sytuacji negatywnego wyniku przedmiotowej weryfikacji Podmiot Przetwarzający zobowiązany jest do podjęcia działań eliminujących wykryte niezgodności w terminie 14 dni.

12.2. W przypadku wystąpienia naruszenia bezpieczeństwa danych osobowych skutkującego, w ocenie Administratora Danych, wysokim prawdopodobieństwem naruszenia praw i wolności osób, których dane dotyczą, Administrator danych zastrzega sobie prawo do rozwiązania niniejszej umowy lub OWU ze skutkiem natychmiastowym.

12.3. Rozwiązanie OWU skutkuje automatycznym rozwiązaniem niniejszej Umowy Powierzenia.

§ 13. Pozostałe postanowienia

13.1. W sytuacji powstania sporu lub roszczenia ze strony podmiotu, którego dane dotyczą lub Organu Ochrony Danych (UODO) w przedmiocie przetwarzania danych osobowych skierowanego wobec jednej lub obu Stron, w związku z wykonywaniem niniejszej Umowy, Strony zobowiązują się informować wzajemnie o wszelkich takich sporach lub roszczeniach oraz będą współpracować w celu ich ugodowego zakończenia w odpowiednim czasie.

13.2. Jeżeli którekolwiek postanowienie niniejszej Umowy lub jego część jest lub stanie się nieważne, niezgodne z prawem lub niewykonalne, winno ono zostać zmodyfikowane w najmniejszym możliwym zakresie w celu przywrócenia jego ważności, zgodności z prawem i wykonalności. Jeżeli taka modyfikacja nie jest możliwa, odpowiednie postanowienie lub jego część winno zostać uznane za usunięte. Wszelkie modyfikacje lub usunięcia postanowień lub ich części zgodnie z niniejszym ustępem nie wpływają na ważność i wykonalność pozostałych postanowień niniejszej Umowy.

13.3. Jeżeli Administrator Danych zawiadomi Podmiot Przetwarzający, że którekolwiek postanowienie niniejszej Umowy lub jego część jest nieważne, niezgodne z prawem lub niewykonalne, Strony podejmą negocjacje w dobrej wierze w celu zmiany takiego postanowienia, tak by zmodyfikowane postanowienie było zgodne z prawem, ważne oraz wykonalne, a także w najszerszym możliwym zakresie przedstawiało zamierzony cel biznesowy pierwotnego postanowienia.

13.4. Umowa oraz OWU w zakresie, w jakim odnosi się do niniejszej Umowy, stanowią całość umowy zawartej pomiędzy Stronami, która tym samym zastępuje i rozwiązuje wszelkie wcześniejsze porozumienia, przyrzeczenia, zapewnienia, oświadczenia, gwarancje oraz interpretacje pomiędzy Stronami, zarówno złożone pisemnie lub ustnie, a związane z przedmiotem Umowy.

13.5. Prawo właściwe i rozstrzyganie sporów:

Niniejsza Umowa podlega prawu polskiemu oraz RODO. Wszelkie spory powstałe w związku z niniejszą Umową będzie rozstrzygał wyłącznie Sąd właściwy dla siedziby Administratora Danych.

13.6. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy a postanowieniami OWU, pierwszeństwo mają postanowienia niniejszej Umowy (Umowy Powierzenia).

13.7. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.