🚨 NIS2 już obowiązuje. Edukacja w zakresie bezpieczeństwa jest teraz wymagana przez prawo w UE.

Sprawdź zgodność
Rozpocznij bezpłatny okres próbny
Powrót do domu

Umowa o przetwarzaniu danych (DPA)

Umowa o przetwarzaniu danych (DPA)

 

NIŻEJ PODPISANY:

  1. Klient, zwany dalej: Administrator;

i

  1. Guardey B.V., z siedzibą pod adresem Treubstraat 29, 2288 EH Rijswijk, Holandia, zwana dalej: Procesor;

zwane dalej łącznie Strony;

ROZWAŻANIA:

  • Administrator rozważa zawarcie z Podmiotem Przetwarzającym Umowy dotyczącej dostarczenia rozwiązania SAAS w zakresie cyberbezpieczeństwa (dalej: Umowa).
  • Podmiot przetwarzający będzie przetwarzał dane osobowe (zwane dalej: "Danymi Osobowymi") w imieniu Administratora w kontekście realizacji Umowy, zgodnie z definicją zawartą w Ogólnym Rozporządzeniu o Ochronie Danych (Rozporządzenie 2016/679/UE; dalej: RODO) i innych obowiązujących przepisach o ochronie danych.
  • Strony pragną określić szereg warunków w niniejszej Umowie o Przetwarzaniu Danych (DPA) zgodnie z art. 28 RODO i odpowiednimi przepisami o ochronie danych, które będą miały zastosowanie do ich relacji w związku z wyżej wymienionymi usługami przetwarzania świadczonymi przez Podmiot Przetwarzający.

 

UZGADNIAJĄ, CO NASTĘPUJE:

 

1. Definicje

Terminy pisane wielką literą w niniejszym DPA mają następujące znaczenie:

  • Podmiot Danych: osoba fizyczna, której dotyczą Dane Osobowe.

1.2 Naruszenie Danych: naruszenie środków bezpieczeństwa mających na celu ochronę Danych Osobowych przed utratą lub jakąkolwiek formą niezgodnego z prawem przetwarzania, a także każdy incydent lub zdarzenie, w wyniku którego nastąpiła lub może nastąpić utrata lub niezgodne z prawem przetwarzanie Danych Osobowych.

1.3 Umowa: Umowa między Podmiotem przetwarzającym a Administratorem dotycząca rozwiązania SAAS w zakresie cyberbezpieczeństwa dostarczanego przez Podmiot przetwarzający, z którego wynika przetwarzanie Danych osobowych.

1.4 Dane Osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.

1.5 Podprzetwarzający: osoba fizyczna lub prawna, która pomaga Przetwarzającemu w przetwarzaniu Danych Osobowych w imieniu Administratora.

1.6 Przetwarzanie: dowolna operacja lub zestaw operacji wykonywanych na Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak gromadzenie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

1.7 Umowa o Przetwarzaniu Danych (DPA): umowa pomiędzy Administratorem a Podmiotem Przetwarzającym dotycząca przetwarzania danych osobowych, w tym rozważań i powiązanych załączników.

 

2. Rozpoczęcie, czas trwania i rozwiązanie umowy o partnerstwie biznesowym

2.1 Niniejsze DPA wchodzi w życie z dniem podpisania Umowy przez Strony.

2.2 Niniejsze DPA będzie obowiązywać tak długo, jak Podmiot Przetwarzający będzie przetwarzać Dane Osobowe w imieniu Administratora na podstawie Umowy.

 

3. Przedmiot DPA

3.1 W trakcie realizacji Umowy Administrator może przekazywać Dane Osobowe Podmiotowi Przetwarzającemu. Przegląd kategorii Danych Osobowych, które mogą zostać przekazane Podmiotowi Przetwarzającemu, znajduje się w Polityce Prywatności.

3.2 Administrator określa cel i sposoby przetwarzania Danych Osobowych. Cel ten jest zapisany w Polityce prywatności.

3.3 Przetwarzający przetwarza te Dane Osobowe wyłącznie w celu wykonania Umowy, niniejszego DPA i pisemnych instrukcji wydanych przez Administratora. Podmiot przetwarzający będzie przetwarzać Dane osobowe wyłącznie w celach opisanych w Polityce prywatności i nie będzie wykorzystywać Danych osobowych do żadnych innych lub własnych celów, chyba że jest to wymagane przez prawo.

3.4 Jeżeli instrukcja, o której mowa w art. 3.3, w opinii Przetwarzającego jest sprzeczna z przepisem prawa dotyczącym ochrony danych, Przetwarzający poinformuje o tym Administratora przed rozpoczęciem przetwarzania, chyba że przepis prawa zabrania takiego powiadomienia.

3.5 Administrator udziela Podmiotowi Przetwarzającemu ogólnego upoważnienia do podzlecania przetwarzania Danych Osobowych Podprzetwarzającym, w tym Podprzetwarzającym wymienionym na stronie internetowej Podmiotu Przetwarzającego.

3.6 Jeśli Przetwarzający zaangażuje nowego lub zastępczego Podprzetwarzającego, Przetwarzający będzie:

(a) Aktualizować listę Podprzetwarzających dostępną na stronie internetowej Przetwarzającego.

(b) narzucić zasadniczo takie same warunki ochrony danych każdemu Podprzetwarzającemu, którego zaangażuje, jak te zawarte w niniejszym DPA (w tym postanowienia dotyczące przekazywania danych, w stosownych przypadkach).

(c) pozostanie odpowiedzialny wobec Administratora za wszelkie naruszenia niniejszego DPA spowodowane działaniem, błędem lub zaniechaniem takiego Podprzetwarzającego.

(d) Powiadomić Administratora, jeśli jest on zarejestrowany. Jeśli Kontroler zdecyduje się na otrzymywanie pisemnych powiadomień na 14 dni przed zaangażowaniem przez Guardey nowego lub zastępczego Podprzetwarzającego, Kontroler musi zasubskrybować takie powiadomienia za pośrednictwem tego linku.

3.7 Administrator może wnieść sprzeciw wobec wyznaczenia przez Podmiot Przetwarzający nowego lub zastępczego Podprzetwarzającego niezwłocznie na piśmie w ciągu czternastu (14) dni od otrzymania powiadomienia zgodnie z punktem 3.6(d) i na uzasadnionych podstawach związanych ze zdolnością Podprzetwarzającego do przestrzegania obowiązujących przepisów o ochronie danych. W takim przypadku Strony omówią w dobrej wierze zastrzeżenia Administratora w celu osiągnięcia rozwiązania uzasadnionego z handlowego punktu widzenia. Jeśli Strony nie będą w stanie osiągnąć takiego rozwiązania, Przetwarzający będzie miał prawo, według własnego uznania, albo nie wyznaczyć spornego Podprzetwarzającego, albo zezwolić Administratorowi na zawieszenie lub rozwiązanie stosownego Zamówienia i/lub Umowy.

3.8 Przetwarzający zapewni pomoc niezbędną do wypełnienia obowiązków wynikających z art. 32-36 RODO. W szczególności Przetwarzający będzie współpracował przy wykonywaniu niezbędnych czynności w odpowiedzi na żądania Podmiotów Danych dotyczące dostępu, sprostowania, ograniczenia lub usunięcia Danych Osobowych.

3.9 Podmiot przetwarzający będzie przechowywać i przetwarzać Dane osobowe wyłącznie na terytorium Unii Europejskiej, chyba że uzgodniono inaczej z Administratorem.

3.10 Administrator gwarantuje, że przetwarzanie Danych Osobowych zgodnie z instrukcjami udzielonymi Podmiotowi Przetwarzającemu nie narusza przepisów o ochronie danych i nie jest niezgodne z prawem. Administrator zabezpiecza Podmiot przetwarzający przed wszelkimi roszczeniami osób trzecich, w tym roszczeniami organów nadzorczych, związanymi z tą kwestią.

3.11 Międzynarodowe transfery danych:

(a) Jeśli przetwarzanie wiąże się z przekazywaniem Danych Osobowych poza UE/EOG, Podmiot Przetwarzający zapewni odpowiedni poziom ochrony zgodnie z rozdziałem V RODO.

(b) W przypadku transferów do krajów nieposiadających decyzji stwierdzającej odpowiedni poziom ochrony, stosowane będą standardowe klauzule umowne (SCC) lub inny zatwierdzony mechanizm transferu.

(c) Podmiot przetwarzający powiadomi Administratora o Podprzetwarzających spoza UE/EER i umożliwi Administratorowi sprzeciwienie się takiemu przekazywaniu zgodnie z punktem 3.7.

4. Ciągłość zobowiązań

4.1 Przetwarzający będzie nadal przestrzegać postanowień niniejszego DPA po rozwiązaniu Umowy i DPA tak długo, jak Przetwarzający będzie przechowywać jakiekolwiek Dane Osobowe od Administratora.

 

5. Zwrot danych osobowych

5.1 Po rozwiązaniu Umowy i DPA wszystkie Dane Osobowe zostaną zwrócone Administratorowi (lub osobie trzeciej wyznaczonej przez Administratora) lub zniszczone tak szybko, jak to możliwe, na żądanie Administratora, według jego wyboru.

 

6. Bezpieczeństwo

6.1 Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych przed utratą lub jakąkolwiek formą niezgodnego z prawem przetwarzania. Środki te zapewnią poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem i charakterem Danych Osobowych, które mają być chronione, z uwzględnieniem aktualnego stanu wiedzy i kosztów wdrożenia. Szczegółowy wykaz tych środków znajduje się w Polityce bezpieczeństwa.

6.2 Przetwarzający zaktualizuje środki, o których mowa w Artykule 6.1, jeśli Administrator zażąda takich aktualizacji, ponieważ uważa, że jest to konieczne do utrzymania odpowiedniego poziomu bezpieczeństwa opisanego w Artykule 6.1. W takich przypadkach Przetwarzający jest uprawniony do podwyższenia cen uzgodnionych z Administratorem w celu pokrycia kosztów poniesionych przez Przetwarzającego w związku z tymi aktualizacjami.

7. Audyty

7.1 Na żądanie Przetwarzający dostarczy kopie wszelkich certyfikatów, podsumowań raportów z audytów i/lub innej stosownej dokumentacji, którą posiada, jeżeli jest to zasadnie wymagane przez Administratora w celu zweryfikowania zgodności Przetwarzającego z niniejszym DPA.

7.2 Chociaż intencją stron jest zwykle poleganie na obowiązkach Podmiotu Przetwarzającego określonych w punkcie 7.1 w celu weryfikacji zgodności Podmiotu Przetwarzającego z niniejszą Umową DPA, po potwierdzonym Incydencie Bezpieczeństwa lub w przypadku, gdy wymaga tego organ ochrony danych, Administrator może przekazać Podmiotowi Przetwarzającemu pisemne powiadomienie z trzydziestodniowym (30) wyprzedzeniem z prośbą o przeprowadzenie przez osobę trzecią audytu operacji i obiektów Podmiotu Przetwarzającego ("Audyt"); pod warunkiem, że (i) każdy Audyt zostanie przeprowadzony na koszt Administratora; (ii) strony wspólnie uzgodnią zakres, harmonogram i czas trwania Audytu; oraz (iii) Audyt nie będzie miał nieuzasadnionego wpływu na regularne operacje Podmiotu Przetwarzającego.

8. Naruszenia danych

8.1 Administrator jest odpowiedzialny za ocenę potrzeby zgłoszenia Naruszenia ochrony danych organowi nadzorczemu i/lub Podmiotom danych oraz za dokonanie faktycznego zgłoszenia.

8.2 Przetwarzający zgłosi Administratorowi wszelkie Naruszenia Danych lub podejrzenia ich wystąpienia tak szybko, jak to możliwe, ale w każdym przypadku w ciągu 24 godzin od wykrycia naruszenia. Przetwarzający przekaże co najmniej następujące informacje:

(a) (podejrzewaną) przyczynę Naruszenia Danych;

(b) (znane lub oczekiwane) konsekwencje Naruszenia Danych;

(c) dane dotyczące lokalizacji naruszenia ochrony danych;

(d) wszelkich nieupoważnionych odbiorców Danych Osobowych oraz wszelkich dostępnych informacji na ich temat;

(e) sugestie dotyczące środków mających na celu ograniczenie szkód;

(f) wszelkie inne informacje wymagane przez Administratora.

8.3 Podmiot Przetwarzający będzie współpracować z Administratorem w celu odpowiedniego poinformowania Podmiotów Danych lub organów nadzorczych o Naruszeniu Danych i będzie dostępny do konsultacji z Administratorem. 8.4 Administrator i Podmiot przetwarzający zachowają wobec siebie ścisłą poufność w odniesieniu do Naruszenia danych, wszelkich obaw związanych z Naruszeniem danych i innych powiązanych kwestii, z wyjątkiem obowiązków wynikających z prawa UE lub prawa krajowego.

9. Odpowiedzialność i odszkodowanie

9.1 Każda ze stron ponosi odpowiedzialność i zabezpiecza drugą stronę przed wszelkimi roszczeniami, działaniami, szkodami i stratami wynikającymi z lub w związku z jakimkolwiek naruszeniem niniejszego DPA, w zakresie, w jakim takie naruszenie można przypisać zaniedbaniu tej strony, umyślnemu niewłaściwemu postępowaniu lub nieprzestrzeganiu obowiązujących przepisów o ochronie danych.

9.2 Odpowiedzialność Przetwarzającego za jakiekolwiek naruszenie niniejszego DPA będzie ograniczona wyłącznie do szkód bezpośrednich i nie przekroczy kwot zapłaconych przez Administratora Przetwarzającemu na mocy Umowy w ciągu 12 miesięcy poprzedzających naruszenie.

 

10. Prawa osoby, której dane dotyczą

10.1 Podmiot Przetwarzający niezwłocznie powiadomi Administratora, jeśli otrzyma od Podmiotu Danych wniosek o skorzystanie z praw przysługujących mu na mocy RODO.

10.2 Podmiot przetwarzający będzie współpracował z Administratorem i udzielał mu pomocy, aby umożliwić Administratorowi spełnienie takich żądań w terminach określonych w RODO.

11. Kontakty i komunikacja

11.1 Podmiot przetwarzający wyznacza następującą osobę kontaktową do koordynowania obowiązków wynikających z niniejszego DPA:
Dane kontaktowe Przetwarzającego:

  • Imię i nazwisko: Anouk ter Harmsel
  • Stanowisko: Współzałożyciel
  • Email: [email protected]
  • Numer telefonu: +31(0)85 - 080 52 92

 

11.2 Wszelka komunikacja dotycząca niniejszego DPA powinna być kierowana do osoby kontaktowej wskazanej powyżej.

11.3 Administrator powinien podać swoje dane kontaktowe za pośrednictwem wyznaczonych kanałów komunikacji na stronie internetowej Przetwarzającego lub kontaktując się z zespołem wsparcia Przetwarzającego pod danymi kontaktowymi podanymi powyżej.

12. Zastosowanie brytyjskiego RODO i CCPA / CPRA

12.1 RODO Wielkiej Brytanii: Jeżeli i w zakresie, w jakim przetwarzanie Danych Osobowych na podstawie niniejszego DPA dotyczy osób, których dane dotyczą w Wielkiej Brytanii, zastosowanie mają przepisy RODO Wielkiej Brytanii. Odniesienia do RODO w niniejszym DPA obejmują również odniesienia do RODO Wielkiej Brytanii, w stosownych przypadkach.

12.2 CCPA / CPRA: Jeśli i w zakresie, w jakim przetwarzanie Danych Osobowych na podstawie niniejszej Umowy o partnerstwie dotyczy osób, których dane dotyczą w Kalifornii, zastosowanie mają przepisy kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA) i kalifornijskiej ustawy o prawach do prywatności (CPRA). Podmiot przetwarzający:

(a) Niezwłocznie powiadom Administratora o wszelkich żądaniach konsumentów na mocy CCPA/CPRA.

(b) Współpracować z Administratorem w celu zapewnienia, że takie wnioski są rozpatrywane terminowo i zgodnie z CCPA/CPRA.

(c) Nie "sprzedawać" Danych Osobowych w rozumieniu CCPA/CPRA.

(d) Zapewnienie zgodności z wymogami CCPA/CPRA, w tym przejrzystości i powiadomień o prawach konsumentów.

13. Postanowienia końcowe

13.1 Odstępstwa od niniejszego DPA są wiążące tylko wtedy, gdy zostały wyraźnie uzgodnione na piśmie między Stronami.

13.2 Ogólne zasady i warunki lub inne ogólne lub szczególne warunki Przetwarzającego nie mają zastosowania do niniejszego DPA i są wyraźnie odrzucane przez Administratora.

13.3 Niniejsze DPA stanowi uzupełnienie Umowy. W przypadku sprzeczności między postanowieniami niniejszego DPA a Umową, postanowienia niniejszego DPA będą miały pierwszeństwo.

13.4 Niniejsze DPA podlega prawu holenderskiemu.

13.5 Spory między Stronami, które nie mogą zostać rozwiązane w drodze konsultacji, będą przedkładane właściwemu sądowi holenderskiemu w Hadze.

Gotowy, żeby zacząć?

Dołącz do ponad 500 firm, które już chronią swoje zespoły dzięki Guardey

Rozpocznij bezpłatny 14-dniowy okres próbny
14 dni za darmo · Bez karty kredytowej · Pełny dostęp · Konfiguracja w 5 minut
Albo umów się na spersonalizowaną prezentację