UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Krakowie, w dniu rejestracji w Systemie Inslet roku pomiędzy:
Pośrednikiem Ubezpieczeniowym korzystającym z Systemu Inslet
zwanym dalej „Administratorem”
a
Inslet sp. z o.o. z siedzibą w Krakowie, przy ul. Kamieńskiego 47, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Krakowa - Śródmieścia, Wydział XII Krajowego Rejestru Sądowego pod numerem KRS 0000959024, kapitał zakładowy: 50 000 PLN, NIP: 6793234657, zwaną dalej „Procesorem” reprezentowaną przez:
Jacka Dymczaka – Członka Zarządu,
Mateusza Cieślika – Członka Zarządu
zwane łącznie dalej „Stronami”, a każdy z osobna „Stroną”.
Zważywszy, że:
- Strony łączy umowa polegająca na korzystaniu przez Pośrednika Ubezpieczeniowego z Systemu Inslet na podstawie Regulaminu („Umowa główna”);
- W celu prawidłowego wykonania Umowy głównej niezbędne jest powierzenie przez Administratora do przetwarzania Procesorowi określonych danych osobowych, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych Osobowych) („RODO”);
- Umowa powierzenia ma charakter akcesoryjny wobec Umowy głównej i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikających z Umowy głównej;
Strony zawierają Umowę powierzenia przetwarzania danych osobowych o następującej treści („Umowa”):
§ 1
Powierzenie przetwarzania Danych osobowych
- Powierzenie Danych osobowych Procesorowi następuje w celu wykonania zawartej pomiędzy Stronami Umowy głównej. W związku z realizacją Umowy głównej Procesor będzie przetwarzał Dane osobowe na polecenie Administratora na warunkach określonych w niniejszej Umowie.
- Administrator oświadcza, że jest administratorem danych osobowych, których przetwarzanie powierza Procesorowi.
- Strony są zobowiązane do współdziałania w zakresie realizacji niniejszej Umowy.
- Powierzone do przetwarzania dane osobowe dotyczą następujących kategorii osób: klienci Administratora, pracownicy i współpracownicy Administratora i obejmują dane osobowe takie jak: imię, nazwisko, nazwa firmy, numer telefonu i adres mailowy do kontaktu, dane dotyczące polis ubezpieczeniowych wprowadzonych przez Administratora lub klientów Administratora takich jak: imię (imiona) i nazwiska, adres zamieszkania, numer PESEL, data urodzenia, rodzaj polisy, login, dane identyfikujące klienta w sieci i w ramach oprogramowania oraz w Systemie Inslet, np. adres IP, („Dane osobowe”).
- Pośrednik Ubezpieczeniowy, który zamierza wprowadzić inne dane osobowe niż wymienione powyżej do narzędzi systemu Inslet, w szczególności dane wrażliwe dotyczące zdrowia, zobowiązany jest do uzyskania zgody Procesora. Wprowadzanie danych wrażliwych do Systemu Inslet nie jest dopuszczalne bez zgody Procesora.
- Cel i zakres powierzenia przetwarzania Danych osobowych wynika bezpośrednio i ogranicza się wyłącznie do zadań lub usług wynikających z Umowy głównej. Przetwarzanie będzie się odbywać m. in. poprzez utrwalanie, organizowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.
- Powierzone Dane osobowe przetwarzane będą przez Procesora w formie papierowej oraz w systemach informatycznych.
- Procesor zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których Dane osobowe dotyczą.
- Procesor oświadcza, iż stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu RODO, które zapewniają bezpieczeństwo powierzonych do przetwarzania Danych osobowych.
- Procesor oświadcza, że powierzone mu do przetwarzania Dane osobowe przetwarzane będą wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego i nie będą przekazywane do państw trzecich (z wyłączeniem korzystania z usług poczty elektronicznej Google), chyba że Administrator udzieli mu uprzedniej, pisemnej pod rygorem nieważności, zgody zezwalającej na taki transfer.
- Procesor oświadcza, że zachowa w poufności wszelkie Dane osobowe, będzie przetwarzał je wyłącznie w granicach, na zasadach i w celu wykonania Umowy głównej, a dostęp do Danych osobowych będą miały wyłącznie osoby zobowiązane do zachowania poufności, którym Procesor wydał stosowne upoważnienia do przetwarzania Danych osobowych.
§ 2
Obowiązki Procesora
- Procesor zobowiązuje się do przetwarzania Danych osobowych wyłącznie na podstawie i zgodnie z Umową, która stanowi udokumentowane polecenie przetwarzania Danych osobowych.
- Procesor oświadcza, że posiada doświadczenie, wiedzę, zasoby infrastrukturalne oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa ochrony danych osobowych. W szczególności Procesor oświadcza, że zna zasady przetwarzania i zabezpieczenia danych osobowych wynikające z RODO.
- Procesor oświadcza, że wdraża i stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu RODO zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem powierzonych mu Danych osobowych (ryzyko naruszenia praw lub wolności osób fizycznych), o których mowa w art. 32 RODO, a także stosuje środki zapewniające realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO). Procesor zobowiązuje się do regularnej weryfikacji i aktualizacji stosowanych przez niego środków technicznych i organizacyjnych tak, aby zapewnić powierzonym Danym osobowym adekwatny stopień ochrony.
- Procesor zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych osobowych.
- Procesor zobowiązuje się, że jego pracownicy lub współpracownicy, którzy będą przetwarzać Dane osobowe w związku z Umową, będą działać na podstawie wyraźnego upoważnienia do przetwarzania danych osobowych, w granicach określonych niniejszą Umową.
- Procesor uzyskuje od osób, które zostały upoważnione do przetwarzania Danych osobowych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
- Procesor zobowiązuje się wspierać Administratora, także przez stosowanie odpowiednich środków technicznych i organizacyjnych, przy spełnieniu żądań osób, których Dane osobowe – powierzone do przetwarzania Procesorowi – dotyczą, a które związane są z realizacją praw osób fizycznych określonych w RODO. Procesor zobowiązuje się wspierać i współdziałać z Administratorem w taki sposób, aby żądanie osoby fizycznej zostało spełnione w terminie określonym w RODO. Ponadto Procesor uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO.
- Procesor po zakończeniu świadczenia danej usługi związanej z przetwarzaniem na podstawie Umowy głównej usunie wszelkie Dane osobowe (lub ich istniejące kopie) przekazane przez Administratora. Przez usunięcie Danych osobowych, rozumieć należy zniszczenie tych Danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (anonimizacja danych).
§ 3
Prawo nadzoru i kontroli
- Administrator lub upoważniony przez Administratora audytor jest uprawniony do kontrolowania Procesora w zakresie przetwarzania Danych osobowych pod względem zgodności z postanowieniami Umowy i przepisów RODO.
- Administrator realizować będzie prawo kontroli w godzinach pracy Procesora i za minimum 7-dniowym uprzedzeniem.
- Procesor będzie w pełni współpracował z Administratorem podczas kontroli.
- Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 14 dni po pisemnym żądaniu Administratora.
- Administrator, w ramach czynności nadzorczych, jest uprawniony do żądania od Procesora, udzielenia informacji związanych z przetwarzaniem Danych osobowych oraz wypełnienia przez Procesora obowiązków wynikających z niniejszej Umowy lub RODO. Procesor zobowiązany jest udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie lub RODO.
- W ramach czynności nadzorczych i kontrolnych Administrator jest uprawniony do wydawania Procesorowi pisemnych poleceń odnośnie sposobu wykonania Umowy.
- Procesor zobowiązany jest do niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane mu przez Administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych osobowych.
§ 4
Dalsze powierzenie Danych osobowych do przetwarzania
- Powierzenie przetwarzania Danych osobowych przez Procesora podmiotom trzecim w zakresie w jakim jest to niezbędne do prawidłowego wykonania Umowy głównej (w szczególności wobec podwykonawców w zakresie i na zasadach określonych niniejszą Umową) następuje wyłącznie za pisemną zgodą Administratora i wyłącznie wobec podmiotów, które stosują zasady ochrony danych osobowych zgodne z RODO. W przypadku zmiany lub dodania innych podwykonawców (podprocesorów) niż wskazani w ww. zgodzie Administratora, biorących udział w przetwarzaniu Danych osobowych powierzonych przez Administratora, Procesor poinformuje o zamierzonych zmianach, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 10 dni roboczych od przekazania informacji o zamierzonych zmianach.
- Procesor zapewnia, że będzie korzystał z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony Danych osobowych, tak aby chroniło prawa osób, których dane dotyczą. Jeżeli podmiot trzeci, o którym mowa w § 4 Umowy nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez ten podmiot spoczywa na Procesorze.
- Administrator posiada prawo kontroli podmiotów, którym Procesor powierzył dalsze przetwarzanie Danych osobowych Administratora, na zasadach określonych w § 3 Umowy, o czym Procesor poinformuje te podmioty.
§ 5
Odpowiedzialność Procesora
- Procesor odpowiada za szkody, jakie powstaną u Administratora, osób, których Dane osobowe dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Procesora Danych osobowych, a w szczególności w związku z udostępnianiem Danych osobowych osobom nieupoważnionym. Odpowiedzialność Procesora wobec Administratora obejmuje szkody poniesione przez Administratora na skutek działań lub zaniechań Procesora na zasadach ogólnych przepisów RODO lub przepisów Kodeksu cywilnego, w szczególności gdy w następstwie działania lub zaniechania Procesora lub też nienależytego wykonania Umowy, na Administratora została nałożona kara pieniężna lub w sytuacji, w której Administrator byłby zobowiązany do naprawienia szkody.
- Procesor zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, czynnościach sprawdzających, zapytaniach osób których Dane osobowe dotyczą, w szczególności o postępowaniu administracyjnym lub sądowym dotyczącym przetwarzania przez Procesora Danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Procesora, a także o wszelkich planowanych, o ile są wiadome lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Procesora tych Danych osobowych. Niniejszy ustęp dotyczy wyłącznie Danych osobowych powierzonych przez Administratora.
- W przypadku naruszenia obowiązujących przepisów prawa lub niniejszej Umowy z przyczyn leżących po stronie Procesora, w następstwie, czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą finansową, Procesor zobowiązuje się pokryć Administratorowi poniesione z tego tytułu koszty, w tym poniesione przez Administratora koszty obsługi prawnej w przedmiotowym postępowaniu.
- Jeżeli podmiot trzeci, o którym mowa w § 4 Umowy nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez ten podmiot spoczywa na Procesorze.
§ 6
Czas obowiązywania Umowy
- Umowa zostaje zawarta z chwilą podpisania jej przez obie Strony i obowiązuje do momentu jej rozwiązania. Rozwiązanie Umowy głównej oznacza rozwiązanie Umowy.
- Procesor zobowiązuje się, po zakończeniu świadczenia usług/ zadań związanych z przetwarzaniem danych osobowych, nie później jednak niż w terminie 90 dni od dnia wykonania usługi/ zadania, do usunięcia wszelkich Danych osobowych oraz wszelkich istniejących kopii tych danych, w obu przypadkach w sposób uniemożliwiający ich odtworzenie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakładają na Procesora obowiązek przechowywania tych Danych osobowych.
- Dokumentacja służąca do wykazania, że przetwarzanie Danych osobowych odbywało się zgodnie z Umową i przepisami prawa będzie przechowywana przez Procesora zgodnie z odpowiednimi okresami przechowywania po zakończeniu obowiązywania Umowy. Z chwilą rozwiązania Umowy, Procesor jest uprawniony do przekazania dokumentacji, o której mowa w zdaniu poprzednim do Administratora.
§ 7
Naruszenie ochrony Danych osobowych
- Za przypadki naruszenia ochrony Danych osobowych Strony uznają m.in. wszelkie przypadki naruszenia bezpieczeństwa ochrony Danych osobowych prowadzące lub mogące prowadzić do przypadkowego albo zamierzonego, bezprawnego zniszczenia, zanieczyszczenia, utraty, zmiany, narażenia, ujawnienia lub udostępnienia Danych osobowych, które są przechowywane, przesyłane albo w inny sposób przetwarzane w ramach lub w związku z Umową główną.
- W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie lub potencjalne naruszenie ochrony Danych osobowych Procesor zobowiązany jest bez zbędnej zwłoki, poinformować o tym Administratora, podając wszelkie informacje dotyczące takiego naruszenia („Zgłoszenie”). Zgłoszenie powinno m. in. zawierać informacje o:
- dacie, czasie trwania, lokalizacji naruszenia ochrony Danych osobowych;
- charakterze i skali naruszenia, kategoriach osób i przybliżonej liczbie osób, których dotyczy naruszenie, kategoriach i przybliżonej liczbie wpisów Danych osobowych, których dotyczy naruszenie;
- możliwych konsekwencjach naruszenia integralności Danych osobowych, stopień zagrożenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
- systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem Danych osobowych w systemie informatycznym);
- przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
- charakterze i zakresie Danych osobowych objętych naruszeniem;
- środkach podjętych w celu zminimalizowania konsekwencji naruszenia, w tym środkach technicznych, organizacyjnych oraz proponowanych działaniach zapobiegawczych i naprawczych.
- Jeżeli Procesor nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa powyżej, powinien je udzielać sukcesywnie, bez zbędnej zwłoki. Procesor jest zobowiązany na każde żądanie Administratora niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzednim.
- Ponadto Procesor bez zbędnej zwłoki jest zobowiązany ustalić przyczynę naruszenia, podjąć niezwłocznie wszelkie czynności mające na celu usunięcie naruszenia i zabezpieczenie danych osobowych w sposób należyty przed dalszymi naruszeniami, a także udzielać Administratorowi wszelkich wyjaśnień zgodnie z treścią art. 33 ust. 2 RODO.
- Procesor jest zobowiązany do dokumentowania naruszenia ochrony Danych osobowych, w tym okoliczności wystąpienia naruszenia, skutków, podjętych działań zaradczych i zapobiegawczych.
§ 8
Postanowienia końcowe
- Niniejsza Umowa zastępuje wszelkie wcześniejsze ustalenia pomiędzy Stronami w zakresie nią objętym.
- W sprawach dotyczących niniejszej Umowy, realizacji praw i obowiązków dotyczących ochrony danych osobowych, w tym zgłaszania naruszeń, Strony powołują następujących przedstawicieli:
- ze strony Administratora: adres e-mail wskazany w Systemie Inslet
- ze strony Procesora: e-mail: inslet@inslet.pl
- Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
- W sprawach nieuregulowanych Umową zastosowanie będą
miały przepisy prawa polskiego,
a w szczególności Kodeksu cywilnego oraz RODO. - W wypadku, gdyby któreś z postanowień Umowy, ew. przyszłych postanowień dołączonych do niniejszej Umowy okazało się w całości lub w części nieskuteczne lub niemożliwe do zrealizowania, skuteczność pozostałych postanowień pozostaje nienaruszona. Powyższe dotyczy także ewentualnych luk w uregulowaniach Umowy.
- Wszelkie spory pomiędzy Stronami będą rozstrzygane polubownie. W przypadku braku osiągnięcia porozumienia, ostateczny spór pomiędzy Stronami zostanie rozstrzygnięty przez właściwy sąd właściwy dla siedziby strony powodowej.
- Załączniki do Umowy stanowią jej integralną treść.
- Wszelkie zmiany i uzupełnienia niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
Administrator Procesor
Zawarcie umowy o powierzenie przetwarzania danych osobowych następuje równocześnie z potwierdzeniem akceptacji Regulaminu Systemu Inslet przez Administratora.