Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych zawierana jest w momencie rejestracji użtkownika w serwisie victu.pro
pomiędzy użytkownikiemzwanym/zwaną w dalszej części umowy "Administratorem Danych Osobowych" lub "Administratorem"
a
MISNET Michał Chojaczyk, ulwar Ikara 11, 54-130 Wrocław, NIP 8971614358, reprezentowaną przez Michała Chojaczyka,
zwaną w dalszej części umowy „Podmiotem przetwarzającym’’,
dalej łącznie zwanymi „Stronami”, a każda oddzielnie ,,Stroną”.
 
§1 Definicje

Dla potrzeb niniejszej umowy, Administrator i Podmiot przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
Umowa – niniejsza umowa powierzenia przetwarzania danych osobowych.
Umowa Główna – umowa świadczenia usług przez Podmiot przetwarzający w zakresie korzystania przez Profesjonalistę z portalu victu.pro
Rozporządzenie - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).

§2 Powierzenie przetwarzania danych osobowych
 
Administrator powierza Podmiotowi przetwarzającemu, w trybie art.28 ust.3 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w Umowie.
Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową, Rozporządzeniem oraz krajowymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia i polskich przepisów dotyczących ochrony danych osobowych.
Administrator danych oświadcza, że przekazywane Podmiotowi przetwarzającemu dane uzyskał zgodnie z obowiązującymi przepisami prawa i otrzymał od osób, których dane dotyczą stosowne zgody na ich przetwarzanie, gdy jest to wymagane prawem.
 
§3 Zakres i cel przetwarzania danych
 
Administrator upoważnia Podmiot przetwarzający do przetwarzania danych osobowych.
Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie Umowy dane pacjentów Administratora w następujących kategoriach:
dane zwykłe w postaci: imienia i nazwiska, adresu zamieszkania, adresu email, płci, daty urodzenia, 
dane szczególne (dane wrażliwe) pacjentów Administratora w postaci:, poziomu aktywności fizycznej, wzrostu, masy ciała, rodzaju i godzin wykonywanej pracy, wiadomości o ciąży, paleniu papierosów, spożyciu alkoholu, wiadomości o rodzaju i częstotliwości wykonywania aktywności fizycznej, wiadomości o nawykach żywieniowych, codziennym jadłospisie, spożywanych produktach, kwotach przeznaczanych na zakup jedzenia, informacje o stanie zdrowia (przebyte ostatnio zabiegi, choroby i problemy zdrowotne, alergie i nietolerancje pokarmowe, choroby skórne, choroby wśród członków najbliższej rodziny, zażywane leki, wyniki badań)oraz innych uzyskanych podczas przeprowadzonego wywiadu.
Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji Umowy Głównej w zakresie korzystania przez Administratora z portalu victu.pro 
Charakter przetwarzania danych ograniczony jest następującą rolą Podmiotu przetwarzającego: podmiot świadczący usługę victu.pro dla dietetyków.
Dane osobowe będą przetwarzane przy wykorzystaniu systemów informatycznych.

§4 Obowiązki podmiotu przetwarzającego
 
Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa i odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia oraz przepisach prawa krajowego.
Podmiot przetwarzający  przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami Administratora. Za udokumentowane polecenia uznaje się zadania zlecone do wykonania na podstawie Umowy Głównej.
Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
Podmiot przetwarzający oświadcza, że wszystkie osoby, które mają dostęp do powierzonych mu przez Administratora danych posiadają stosowne upoważnienia.
Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
Podmiot przetwarzający, po zakończeniu świadczenia usług na podstawie Umowy głównej, zależnie od decyzji administratora usunie lub zwróci powierzone dane.
W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. Podmiot przetwarzający będzie uprawniony do żądania wynagrodzenia za taką usługę w przypadku, kiedy zakres i częstotliwość żądań będą nadmierne.
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 24 godzin. Podmiot przetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
Podmiot przetwarzający udostępnia Administratorowi na każde jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków Podmiotu przetwarzającego.

§5 Prawo kontroli
 
Administrator danych zgodnie z art. 28 ust. 3 pkt h Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
Kontrola powinna być przeprowadzona w czasie godzin pracy obowiązujących w Podmiocie przetwarzającym, z minimum 10 dniowym uprzedzeniem Podmiotu przetwarzającego i nie powinna w nieuzasadniony sposób zakłócać normalnej działalności Podmiotu przetwarzającego.
Podmiot przetwarzający w przypadku wykrycia uchybień zobowiązuje się do ich usunięcia podczas kontroli w lub terminie wskazanym przez Administratora Danych Osobowych nie dłuższym niż 7 dni.
Koszty przeprowadzenia kontroli ponosi Administrator.
 
§6 Dalsze powierzenie danych do przetwarzania
 
Podmiot przetwarzający może korzystać z usług innych podmiotów przetwarzających dane, które pełnić będą rolę podwykonawców przy świadczeniu usług w ramach Umowy, na co Administrator wyraża ogólną zgodę. Lista innych podmiotów przetwarzających (Lista) oraz jej aktualizacje i modyfikacje są zamieszczane pod adresem: https://victu.pro/lista/. Podmiot przetwarzający ma prawo do jednostronnej aktualizacji i modyfikacji Listy. Aktualizacja lub modyfikacja Listy nie stanowi zmiany Umowy. 
Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo krajowe. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
W przypadku, gdy Podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego o którym mowa w ust.1 powyżej, nakłada na ten podmiot przetwarzający na mocy umowy, te same obowiązki ochrony danych jak te wskazane w Umowie. 4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych. Procesor zapewni, aby Administrator mógł wykonywać swoje uprawnienia, jakie przysługują mu względem Podmiotu przetwarzającego (zwłaszcza przeprowadzania kontroli) zgodnie z prawem lub niniejszą Umową Powierzenia, także bezpośrednio względem podmiotu przetwarzającego o którym mowa w ust.1 powyżej.
 
§7 Odpowiedzialność Podmiotu przetwarzającego
 
Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym i nieuprawnionym.
Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
 
§8 Czas obowiązywania umowy
 
Umowa zawarta zostaje na czas trwania Umowy Głównej, na podstawie, której Administrator korzysta z portalu victu.pro. Z chwilą wygaśnięcia lub rozwiązania Umowy Głównej z jakiejkolwiek przyczyny, rozwiązaniu ulega niniejsza Umowa.

§9 Rozwiązanie umowy
 
Administrator Danych Osobowych może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
przetwarza dane osobowe w sposób niezgodny z Umową.

§10 Zasady zachowania poufności
 
Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu, niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
 
§11 Postanowienia końcowe
 
Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
W sprawach nieuregulowanych Umową zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
Jeżeli jakiekolwiek postanowienie Umowy jest lub stanie się nieważne, reszta Umowy pozostaje w mocy, zaś Podmiot przetwarzający podejmie czynności w celu niezwłocznego zastąpienia tego postanowienia przez odpowiednie postanowienie, które jest ważne.
Sądem właściwym dla rozpatrzenia sporów powstałych na gruncie Umowy będzie sąd właściwy dla siedziby Podmiotu Przetwarzającego.
 
 ___________________________                                      ________________________________
Administrator Danych Osobowych                                                     Podmiot przetwarzający