Wersja z dnia 10.03.2023
Niniejsza umowa powierzenia przetwarzania danych osobowych, zwana dalej “Umową Powierzenia”, stanowi część umowy, zwanej dalej “Umową”, która została zawarta pomiędzy Stowarzyszeniem Ośrodek Kulturalno-Rekreacyjny Dzika Ochla w Zielonej Górze, zwanym w skrócie DO a Uczestnikiem określającej warunki mające zastosowanie do usług świadczonych przez DO “Usługi”. Niniejsza umowa powierzenia i inne postanowienia Umowy są komplementarne. Niemniej jednak, w przypadku niezgodności pomiędzy nimi, zastosowanie będzie miała Umowa powierzenia.
Terminy rozpoczynające się z wielkiej litery, które nie zostały zdefiniowane w niniejszej Umowie powierzenia, należy rozumieć tak, jak zostały one zdefiniowane w Umowie. Np.: “Dane osobowe”, “Naruszenie ochrony danych osobowych”, “Przetwarzanie”, “Podmiot przetwarzający”, “Organ nadzorczy” należy rozumieć zgodnie z definicjami zawartymi w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (”Ogólne rozporządzenie o ochronie danych” lub “RODO”).
Część 1 – Dane osobowe przetwarzane przez DO jako Podmiot przetwarzający na zlecenie Uczestnika.
Niniejsza część zgodnie z artykułem 28 RODO określa warunki, na jakich KSOP jest uprawnione, jako Podmiot przetwarzający, w ramach świadczonych Usług określonych w Umowie, do przetwarzania Danych Osobowych w imieniu i na polecenie Uczestnika. Dla celów niniejszej części, Uczestnik, może działać jako “administrator” lub “podmiot przetwarzający” w stosunku do Danych Osobowych, pod warunkiem, że jeśli Uczestnik działa jako podmiot przetwarzający w imieniu zewnętrznego Administratora danych. Strony wyrażają zgodę na poniższe warunki:
a) Uczestnik zapewnia, że:
- uzyskał od Administratora wszelkie zezwolenia niezbędne do podpisania niniejszej umowy powierzenia, w tym wskazał DO jako podmiot mający dokonywać dalszego przetwarzania zawarł on z Administratorem umowę, która jest w pełni zgodna z warunkami Umowy zawierającej niniejszą Umowę powierzenia, zgodnie z artykułem 28 RODO,
- wszelkie polecenia otrzymane przez DO od Uczestnika w ramach realizacji umowy oraz niniejszej umowy powierzenia są w pełni zgodne z poleceniami administratora
- wszelkie informacje przekazane lub udostępnione przez DO na podstawie niniejszej umowy powierzenia są odpowiednio przekazywane Administratorowi.
b) DO powinno:
- przetwarzać Dane Osobowe wyłącznie zgodnie z poleceniem Uczestnika – nie otrzymywać żadnych poleceń bezpośrednio od Administratora, poza przypadkami gdy Uczestnik przestał istnieć faktycznie lub formalnie i nie ma prawnego następcy, który przejmie prawa i obowiązki Uczestnika.
c) Uczestnik, który ponosi pełną odpowiedzialność wobec DO w zakresie właściwej realizacji zobowiązań Administratora zgodnie z postanowieniami niniejszej umowy powierzenia, zabezpiecza i chroni DO przed:
- wszelkimi działaniami Administratora niezgodnymi z obowiązującym prawem
- przez wszelkimi działaniami, roszczeniami lub skargami ze strony Administratora dotyczącymi jakichkolwiek postanowień Umowy w tym niniejszej umowy powierzenia lub jakichkolwiek poleceń otrzymanych przez DO od Uczestnika.
1. Zakres
DO jest upoważnione, jako Podmiot przetwarzający działający zgodnie z poleceniem Uczestnika, do przetwarzania Danych Osobowych Administratora w zakresie niezbędnym do świadczonych Usług. Charakter operacji przeprowadzanych przez DO na Danych Osobowych może być związany z obliczaniem, przechowywaniem lub innymi Usługami określonymi w Umowie. Rodzaj Danych Osobowych i kategorie osób, których dane dotyczą są określone i kontrolowane przez Uczestnika.
Czynności przetwarzania są wykonywane przez DO przez okres określony w Umowie.
2. Wybór Usług
Wyłącznie odpowiedzialnym za wybór Usług jest uczestnik. Zapewnia on, że wybrane Usługi posiadają wymagane cechy oraz spełniają warunki zapewniające zgodność z oczekiwaniami i celami Administratora jak również z rodzajem Danych osobowych przetwarzanych w ramach Usług, w tym gdy Usługi są wykorzystywane do przetwarzania Danych Osobowych podlegających szczególnym regulacjom prawnym lub standardom takich jak dane dotyczące zdrowia czy dane bankowe. Uczestnik jest informowany, że niektóre Usługi proponowane przez DO posiadają środki organizacyjne oraz środki bezpieczeństwa przygotowane specjalnie do przetwarzania danych dotyczących zdrowia lub danych bankowych. Jeżeli przetwarzanie danych przez Administratora może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, Uczestnik powinien ostrożnie wybierać Usługi. Przy ocenie ryzyka należy uwzględnić w szczególności, ale nie wyłącznie, następujące kryteria: ocena lub punktowanie osób, których dane dotyczą, zautomatyzowane podejmowanie decyzji ze skutkiem prawnym lub w podobny sposób znacząco wpływających, systematyczne monitorowanie osób, których dane dotyczą, przetwarzanie danych wrażliwych lub danych o charakterze szczególnie osobistym, przetwarzanie na dużą skalę, dopasowywanie lub łączenie zbiorów danych, przetwarzanie danych osobowych osób wymagających szczególnej opieki lub nieletnich, wykorzystywanie do przetwarzania nowych innowacyjnych technologii nieznanych społeczeństwu.
DO zobowiązuje się udostępnić Uczestnikowi informacje, na warunkach określonych poniżej w punkcie “Audyty”, dotyczące stosowanych w ramach Usług środków bezpieczeństwa, w zakresie niezbędnym do oceny zgodności tych środków z czynnościami przetwarzania Administratora.
3. Zgodność z obowiązującymi przepisami
Każda ze stron zobowiązuje się do przestrzegania obowiązujących przepisów dotyczących ochrony danych osobowych w tym Rozporządzenia o Ochronie Danych Osobowych.
4. Obowiązki DO
DO zobowiązuje się:
a) przetwarzać Dane Osobowe przesłane, przechowywane i wykorzystywane w ramach Usług tylko w zakresie koniecznym i proporcjonalnym do świadczenia Usług zgodnie z Umową.
b) nie uzyskiwać dostępu ani nie wykorzystywać Danych Osobowych do celów innych niż wymagane do świadczenia Usług
c) wdrożyć środki techniczne oraz organizacyjne w celu zapewnienia bezpieczeństwa Danych Osobowych w ramach Usług
d) zapewnić, że członkowie i/lub pracownicy DO upoważnieni do przetwarzania Danych Osobowych zgodnie z Umową podlegają obowiązkowi zachowania tajemnicy i zostali odpowiednio przeszkoleni w zakresie ochrony Danych Osobowych
e) informować Uczestnika, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia RODO lub innych przepisów UE lub państwa członkowskiego UE o ochronie danych
f) w przypadku otrzymania wniosku od właściwego organu dotyczącego Danych Osobowych przetwarzanych na mocy niniejszej Umowy powierzenia, poinformować Uczestnika (chyba, że jest to zabronione przez obowiązujące prawo lub nakaz organu) oraz ograniczyć przekazywane dane do danych faktycznie żądany przez organ.
Na pisemne żądanie Uczestnika DO zapewni Uczestnikowi swoją pomoc w przeprowadzeniu oceny skutków dla ochrony danych i konsultacji z właściwym organem nadzorczym, jeśli jest to wymagane od Uczestnika zgodnie z obowiązującym prawem dotyczącym ochrony danych osobowych, wyłącznie w zakresie, w jakim ta pomoc jest konieczna i dotyczy przetwarzania przez DO Danych Osobowych objętych tą Umową powierzenia. Pomoc ta będzie polegać na zapewnieniu przejrzystości w zakresie środków bezpieczeństwa wdrożonych przez DO dla Usług.
DO zobowiązuje się do wdrożenia następujących środków technicznych i organizacyjnych:
a) fizyczne środki bezpieczeństwa, mające na celu uniemożliwienie dostępu osobom niepowołanym do Infrastruktury, na której są przechowywane dane Uczestnika
b) weryfikacja tożsamości i dostępu za pomocą systemu uwierzytelniania, jak również polityka dotycząca haseł
c) system zarządzania dostępem, który ogranicza dostęp do pomieszczeń do tych osób, które muszą mieć do nich dostęp w ramach pełnienia swoich obowiązków i w zakresie ich odpowiedzialności
d) personel odpowiedzialny za monitorowanie fizycznego bezpieczeństwa pomieszczeń DO
e) system, który fizycznie i logicznie izoluje od siebie poszczególnych Uczestników
f) procesy uwierzytelniania dla użytkowników i administratorów oraz środki, mające na celu ochronę dostępu do funkcji administracyjnych
g) system zarządzania dostępem dla operacji wsparcia i pomocy, który działa na zasadach najmniejszych uprawnień i potrzebnych informacji
h) procesy i środki służące do śledzenia wszystkich działań przeprowadzanych w jego systemie informatycznym
5. Naruszenie ochrony danych osobowych
Jeśli DO stwierdzi wystąpienie incydentu wpływającego na Dane osobowe Administratora bez zbędnej zwłoki zgłasza to Uczestnikowi.
Zgłoszenie musi opisywać charakter incydentu, możliwe konsekwencje incydentu, środki zastosowane lub proponowane przez DO w odpowiedzi na incydent i zawierać punkt kontaktowy DO.
6. Lokalizacja i przekazywanie danych
W przypadku, gdy Usługi umożliwiają Uczestnikowi przechowywanie treści, w szczególności Danych Osobowych, zlokalizowane są na bezpiecznych dyskach zewnętrznych oraz dyskach zewnętrznych wirtualnych z dodatkowym kodowaniem ochronnym z zastrzeżeniem, że wybierane do tego celu są tylko te w krajach, które zostały uznane przez Komisję Europejską jako kraj zapewniający odpowiedni stopień ochrony.
7. Dalsze przetwarzanie
Z zastrzeżeniem postanowień punktu 6 powyżej KSOP jest upoważnione do korzystania z usług Dalszych Podmiotów Przetwarzających w celu uzyskania wsparcia w zakresie świadczonych Usług. W ramach takiego wsparcia dalsze podmioty przetwarzające mogą uczestniczyć w czynnościach przetwarzania danych przez DO zgodnie z poleceniami Uczestnika.
Listę dalszych podmiotów przetwarzających uprawnionych do udziału z czynnościach przetwarzania przez DO zgodnie z poleceniem Uczestnika, w tym przedmiotowych Usług, a także lokalizację, z której mogą przetwarzać Dane Osobowe Uczestnika na podstawie niniejszej Umowy przetwarzania, zamieszczono na stronie internetowej DO lub jeżeli Dalszy Podmiot Przetwarzający uczestniczy jedynie w określonej Usłudze – w odpowiednich Warunkach Szczególnych.
Jeżeli DO zdecyduje o zmianie Dalszego Podmiotu Przetwarzającego lub o dodaniu nowego Dalszego Podmiotu Przetwarzającego, DO poinformuje Uczestnika pocztą elektroniczną na adres poczty zarejestrowany w Danych Uczestnika. Uczestnikowi przysługuje prawo sprzeciwu wobec takiej zmiany, przy czym sprzeciw powinien być złożony w terminie do 15 dni.
DO zapewnia, że każdy Dalszy Podmiot Przetwarzający jest zdolny do spełnienia zobowiązań podjętych przez DO w niniejszej Umowie powierzenia dotyczących przetwarzania Danych Osobowych realizowanego przez ten Dalszy Podmiot Przetwarzający. W tym celu DO zawiera umowę z tym Dalszym Podmiotem Przetwarzającym. DO pozostaje w pełni odpowiedzialny wobec Uczestnika za realizację wszelkich zobowiązań niedopełnionych przez tego Podwykonawcę Przetwarzania.
Aby uniknąć wszelkich wątpliwości, DO jest upoważniony do nawiązywania współpracy z zewnętrznymi dostawcami usług takimi jak: media, pedagodzy, trenerzy personalni, trenerzy sportowi, instytucje i Urzędy Państwowe, uczelnie państwowe i prywatne, biura i obiekty turystyczne i inne, niezależnie od ich lokalizacji, bez konieczności informowania Administratora, ani uzyskiwania jego uprzedniej zgody o ile tacy dostawcy zewnętrzni nie będą przetwarzali Danych osobowych uczestnika.
8. Obowiązki Uczestnika
W celu przetwarzania Danych Osobowych zgodnie z Umową, Uczestnik dostarcza DO na piśmie odpowiednie polecenia i wszelkie informacje niezbędne do utworzenia przez Podmiot przetwarzający rejestru czynności przetwarzania. Wyłacznie odpowiedzialnym za te informacje oraz polecenia przekazane DO jest Uczestnik.
Uczestnik jest odpowiedzialny za zapewnienie, że:
a) przetwarzanie Danych osobowych Uczestnika jako część realizacji Usługi, posiada odpowiednią podstawę prawną np. zgoda osób, których dane dotyczą, zgoda Administratora, uzasadnione interesy, zezwolenie od właściwego organu nadzorczego, itp.
b) zostały zrealizowane wszelkie wymagane procedury i formalności takie jak ocena skutków dla ochrony danych, powiadomienie właściwego organu do spraw ochrony danych i wniosek o udzielnie zezwolenia gdy jest to wymagane
c) osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu ich Danych Osobowych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem zgodnie z przepisami RODO
d) osoby, których dane dotyczą, zostały poinformowane, że w każdej chwili mogą wykonywać przysługujące im prawa zgodnie z RODO bezpośrednio u Administratora Uczestnik jest odpowiedzialny za wdrożenie odpowiednich technicznych i organizacyjnych środków zapewniających bezpieczeństwo zasobów, systemów, operacji, czynności które nie wchodzą w zakres odpowiedzialności DO zgodnie z Umową.
9. Prawa osoby, której dane dotyczą
Administrator jest całkowicie odpowiedzialny za informowanie osób, których dane dotyczą, o przysługujących im prawach, i za przestrzeganie tych praw, w tym prawa dostępu, sprostowania, usunięcia, ograniczenia lub przenoszenia.
DO w miarę możliwości zapewni pomoc w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą. Pomoc ta może polegać na informowaniu Uczestnika o każdym wniosku otrzymanym bezpośrednio od osoby, której dane dotyczą i umożliwieniu Administratorowi projektowania i wdrażania technicznych i organizacyjnych środków niezbędnych do odpowiadania na żądania osób, których dane dotyczą. Administrator ponosi pełną odpowiedzialność za odpowiadanie na te żądania.
Uczestnik przyjmuje do wiadomości i zgadza się, że w przypadku, gdy taka współpraca i pomoc będzie wymagać znacznych zasobów ze strony Podmiotu przetwarzającego, wysiłki te zostaną podjęte za opłatą po uprzednim powiadomieniu Uczestnika i uzgodnieniu z Uczestnikiem.
10. Usunięcie i zwrot Danych Osobowych
Po wygaśnięciu Usługi, w szczególności w przypadku jej zakończenia lub nieodnowienia, DO zobowiązuje się usunąć na zasadach przewidzianych w Umowie, całą zawartość, w tym informacje, dane, pliki. które są powielane, przechowywane, przetwarzane i w inny sposób używane przez Uczestnika w ramach Usług, chyba że wniosek złożony przez właściwy organ sądowy lub prawny, lub obowiązujące prawo UE lub jej państwa członkowskiego stanowi inaczej.
Uczestnik jest w pełni odpowiedzialny za wykonanie wszelkich operacji niezbędnych do zabezpieczenia Danych Osobowych, w szczególności przed zakończeniem lub wygaśnięciem Usług i przez przystąpieniem do operacji usunięcia, aktualizacji lub zmiany Usług. W związku z tym Uczestnik jest informowany, że zakończenie i wygaśnięcie Usług z jakiegokolwiek powodu, jak również niektóre operacje zmian czy aktualizacji powodują automatyczne i nieodwracalne usunięcie całej zawartości danych.
11. Odpowiedzialność
DO odpowiada za szkody spowodowane przetwarzaniem wyłącznie gdy nie dopełnił obowiązków, które RODO nakłada na podmioty przetwarzające lub gdy działał wbrew zgodnym z prawem pisemnym instrukcjom Uczestnika. W takich przypadkach zastosowanie ma zapis dotyczący odpowiedzialności zawarty w Umowie.
Gdy DOI i Administrator uczestniczą w przetwarzaniu w ramach niniejszej Umowy, które spowodowało szkody osobom, których dane dotyczą, Administrator w pierwszej kolejności zapłaci pełne odszkodowanie lub inną rekompensatę osobie, której dane dotyczą a następnie będzie mógł żądać od DO zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on pełną odpowiedzialność, z zastrzeżeniem ograniczeń odpowiedzialności stosowanych w ramach Umowy.
12. Audyty
DOI udostępnia Uczestnikowi wszelkie informacje niezbędne do
a) wykazania zgodności z wymaganiami RODO
b) umożliwienia przeprowadzenia audytów
Informacje te są dostępne w formie standardowej dokumentacji na stronie internetowej DO.
Dodatkowe informacje mogą zostać przekazane Uczestnikowi po uprzednim skontaktowaniu się Uczestnika z osobą odpowiedzialną za kontakt z Uczestnikiem. Jeżeli powyższe informacje, raporty okażą się niewystarczające aby Uczestnik mógł wykazać, że spełnia zobowiązania ustanowione przez RODO, DO i Uczestnik uzgodnią warunki operacyjne, warunki bezpieczeństwa oraz finansowe technicznej inspekcji na miejscu. W każdym przypadku warunki tej inspekcji nie mogą wpływać na bezpieczeństwo innych Uczestników DO.
Wszelkie informacje przekazane Uczestnikowi zgodnie z tym punktem i niedostępne na stronie internetowej DO uważa się za poufne informacje DO. W ramach umowy przez przekazaniem takich informacji Uczestnik może być zobowiązany do podpisania umowy o poufność.
Niezależnie od powyższego Uczestnik jest upoważniony do odpowiadania na wnioski właściwego organu nadzorczego pod warunkiem, że ujawni wyłącznie informacje wymagane przez wspomniany organ nadzorczy. W takim przypadku o ile nie jest to zabronione przez obowiązujące prawo, Uczestnik powinien najpierw skontaktować się z DO w sprawie ujawnienia informacji.
13. Kontakt z DO
W przypadku pytań dotyczących Danych Osobowych, Uczestnik może skontaktować się z DO:
a) Wysyłając wiadomość poprzez formularz na stronie internetowej
b) Wysyłając zapytanie drogą poczty elektronicznej e-mail
c) Wysyłając wiadomość drogą poczty tradycyjnej na adres korespondencyjny lub główny DO podany na stronie internetowej DO.
Część 2 – Dane osobowe przetwarzane przez DO jako Administratora
Celem tej części jest określenie warunków, na jakich DO przetwarza Dane Osobowe jako
Administrator.
W ramach realizacji Umowy, Dane Osobowe dotyczące uczestnika oraz korzystania z Usług są przetwarzane przez DO jako Administratora w celu:
a) utrzymania i prowadzenia współpracy i stałego kontaktu z Uczestnikiem
b) świadczenia Usługi lub szeregu usług
c) zapobieganie oszustwom i korzystania z Usług w sposób niezgodny z umową i/lub regulaminem
d) przestrzegania obowiązujących przepisów prawa (obowiązek archiwizacji i przechowywania danych takich jak rejestry połączeń i dane identyfikacyjne)
e) egzekwowanie praw przysługujących DO
Do Danych Osobowych przetwarzanych przez DO należą:
a) dane osobowe dotyczące Uczestnika (imię, nazwisko, adres pocztowy, adres e-mail, numery telefonów, numer pesel itp)
b) dane osobowe dotyczące osoby niepełnoletniej lub niepełnosprawnej będącej pod stałą i prawną opieką osoby zgłaszającej
c) kontakty pomiędzy DO a Uczestnikiem (korespondencja, protokoły)
d) informacje księgowe i finansowe
e) materiały foto i wideo z realizowanych Usług
Takie czynności przetwarzania wykonywane są zgodnie z obowiązującymi przepisami, w szczególności z RODO.
Podmioty powiązane z DO uczestniczą w wyżej wymienionych czynnościach przetwarzania, natomiast DO korzysta z usług podmiotów zewnętrznych takich jak usługi płatnicze, usługi meilingowe, ankiety, przewoźnicy, placówki szkoleniowe, instytucje państwowe i prywatne, doradcy, psychologowie itp., którzy występują w roli pomiotów przetwarzających na zlecenie DO. W takich przypadkach pomiędzy Podmiotem przetwarzającym a DO zostaje zawarta umowa zgodna z obowiązującymi przepisami prawa oraz wprowadzone są odpowiednie środki techniczne i organizacyjne zgodne z art. 28 i 32 RODO.
Warunki przetwarzania Danych Osobowych są szczegółowo opisane na stronie internetowej DO w szczególności okres przechowywania, cel przetwarzania i przechowywania, podstawa prawna, kategorie odbiorców. DO zastrzega sobie prawo do zmieniania tych warunków i informowania o wprowadzonych zmianach.
DO zobowiązuje się nie wykorzystywać wspomnianych Danych Osobowych w celach innych niż
wyżej wymienione, przy czym jednak DO może być zobowiązane do przekazania Danych osobowych w odpowiedzi na wniosek lub decyzję organów np. sądowych i administracyjnych. W takim przypadku DO zobowiązuje się do poinformowania Uczestnika, o ile nie jest to zabronione obowiązującymi przepisami prawa lub przez dany organ oraz do przekazania tylko Danych osobowych wyraźnie wskazanych w żądaniu.
Niezależnie od powyższego DO zastrzega sobie prawo do anonimizacji Osoby, której dane dotyczą w tej części. Takie dane mogą być przechowywane, przetwarzane i wykorzystywane w zanonimizowanym formacie do dowolnych celów np. statystyk, rozwijania i udoskonalania usług, rozwoju działalności itp.
Zgodnie z RODO, Uczestnik może złożyć skargę do właściwego organu nadzorczego oraz skorzystać z prawa dostępu, sprostowania, usunięcia, ograniczenia przenoszenia i sprzeciwu w odniesieniu do tych danych poprzez przesłanie odpowiedniego zgłoszenia drogą poczty elektronicznej lub poczty tradycyjnej. DO zobowiązuje się rozpatrzyć taki wniosek w terminie do 30 dni od daty jego otrzymania.