Umowa powierzenia przetwarzania danych osobowych

UMOWA

powierzenia danych osobowych z monitoringu wizyjnego

 

zawarta w dniu 2023-10-26 r. w Warszawie pomiędzy:

 

Sklep Spożywczy "Żabka" Sp. z o.o. ("Powierzający")

 

a

 

Ochrona "Jastrząb" Sp. z o.o., ("Odbierający")

 

Strony zawierają niniejszą umowę powierzenia danych w związku z realizacją przez Odbierającego na rzecz Powierzającego usług, które wymagają przetwarzania danych.

 

Definicje

 

1. Ogólne rozporządzenie o ochronie danych osobowych lub RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

2. Przepisy o ochronie danych osobowych - RODO oraz inne przepisy krajowe lub unijne mające zastosowanie do przetwarzania danych osobowych.

3. Terminy użyte w Umowie, które zostały zdefiniowane w przepisach RODO mają znaczenie nadane im w tym przepisie.

 

Oświadczenia Stron

 

1. Powierzający oświadcza, że jest uprawniony do przetwarzania danych, które powierza Odbierającemu w celu realizacji usług oraz że jest uprawniony do ich przetwarzania, w zakresie, w jakim powierzył je Odbierającemu.

2. Odbierający dane oświadcza, że będzie przetwarzał powierzone dane osobowe wyłącznie na udokumentowane polecenie Powierzającego.

3. Odbierający dane niezwłocznie informuje Powierzającego, jeżeli nie może wykonać wydanego mu polecenia.

4. Odbierający oświadcza, że dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, by przetwarzanie powierzonych danych osobowych było zgodne z aktualnymi przepisami o ochronie danych osobowych i chroniło prawa osób, których dane dotyczą.

 

Cel i zakres powierzenia

 

1. Powierzający dane przekazuje Odbierającemu dane w celu świadczenia usług wymagających dostępu do nagrań z monitoringu wizyjnego.

2. Odbierający przetwarza dane osobowe wyłącznie w określonym celu, chyba że działa na podstawie dalszych poleceń Powierzającego.

3. Powierzenie na mocy Umowy obejmuje:

a) Dane osób: objętych monitoringiem wizyjnym.

b) W zakresie: wizerunku, daty i godziny nagrania.

4. W ramach czynności: podgląd.

5. Odbierający niezwłocznie informuje Powierzającego, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania postanowień niniejszej Umowy.

 

Bezpieczeństwo danych

 

1. Odbierający dane wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do tych danych (zwanego dalej "naruszeniem ochrony danych osobowych").

2. Przy ocenie odpowiedniego poziomu bezpieczeństwa Odbierający uwzględnia stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą.

3. W przypadku przesyłania i przechowywania danych należy stosować rozwiązania w postaci szyfrowania lub pseudonimizacji danych.

4. Odbierający dane zobowiązuje się wdrożyć i stosować do powierzonych danych co najmniej środki techniczne i organizacyjne określone w załączniku nr 1 do Umowy.

5. Odbierający dane zobowiązuje się przeprowadzać regularne audyty skuteczności przyjętych środków ochrony danych.

6. Odbierający udziela dostępu do danych członkom swojego personelu wyłącznie w zakresie ściśle niezbędnym do wykonania umowy, zarządzania umową oraz jej monitorowania, na podstawie upoważnienia do przetwarzania danych.

7. Odbierający zapewnia, że każda osoba upoważniona jest zobligowana do zapewnienia poufności przetwarzanych danych.

 

Prawo do kontroli przetwarzania

 

1. Odbierający niezwłocznie i w odpowiedni sposób rozpatruje zapytania Powierzającego lub administratora dotyczące przetwarzania na mocy niniejszej Umowy.

2. Strony będą w stanie wykazać przestrzeganie niniejszej Umowy. W szczególności Odbierający dane przechowuje odpowiednią dokumentację czynności przetwarzania wykonanych w imieniu administratora.

3. Odbierający dane udostępnia Powierzającemu wszelkie informacje niezbędne, aby wykazać przestrzeganie obowiązków określonych w niniejszej Umowie, a Powierzający przekazuje te informacje administratorowi.

4. Odbierający dane umożliwia przeprowadzanie przez Powierzającego audytów czynności przetwarzania objętych niniejszą Umową w rozsądnych odstępach czasu lub w przypadku wystąpienia oznak niespełnienia tych obowiązków, a także wnosi wkład w te audyty. Podejmując decyzję dotyczącą przeprowadzenia audytu, Powierzający może uwzględnić odpowiednie certyfikacje posiadane przez Odbierającego.

5. Powierzający może przeprowadzić audyt samodzielnie lub zlecić jego przeprowadzenie niezależnemu audytorowi. Audyty mogą obejmować kontrole w siedzibie lub obiektach Odbierającego dane i, w stosownych przypadkach, przeprowadzane są po powiadomieniu z rozsądnym wyprzedzeniem.

6. Strony udostępniają właściwym organom nadzorczym na żądanie informacje, pozwalające wykazać zgodność przetwarzania z przepisami, w tym wyniki wszelkich audytów.

 

Dalsze przekazywanie danych

 

1. Odbierający nie może zlecać w ramach podwykonawstwa żadnych czynności przetwarzania realizowanych w imieniu Powierzającego podwykonawcy przetwarzania bez uzyskania uprzedniej, szczegółowej, pisemnej zgody Powierzającego.

2. Odbierający przedstawia wniosek o udzielenie szczegółowej zgody wskazanemu dalszemu podmiotowi przetwarzającemu przynajmniej 14 dni przed zaangażowaniem podwykonawcy przetwarzania, wraz z informacjami:

a) o celu dalszego powierzenia;

b) kategoriach danych, które miałyby podlegać dalszemu powierzeniu;

c) zakresie danych, które miałyby podlegać dalszemu powierzeniu;

d) czynnościach na danych, jakie miałby wykonywać dalszy podmiot przetwarzający;

e) uzasadnieniu konieczności dalszego powierzenia;

f) gwarancjach ochrony danych, jakie daje dalszy podmiot przetwarzający.

3. Odbierający dokonuje dalszego powierzenia danych w drodze umowy, która nakłada na ten dalszy podmiot przetwarzający takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na Odbierającego zgodnie z niniejszą Umową.

4. Odbierający zapewnia, aby dalszy podmiot przetwarzający wypełniał obowiązki, którym podlega Odbierający na mocy niniejszej Umowy oraz RODO.

5. Na wniosek Przetwarzającego Odbierający przekazuje mu kopię umowy, jaką zawarł z dalszym podmiotem przetwarzającym, a w razie wprowadzenia zmian przekazuje także każdą jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Odbierający może utajnić tekst umowy przed jej udostępnieniem.

6. Odbierający pozostaje w pełni odpowiedzialny przed Powierzającym za wykonanie obowiązków Odbierającego zgodnie z niniejszą Umową.

7. Odbierający powiadamia Powierzającego, a w stosownych przypadkach także administratora, o każdym przypadku niewywiązania się przez dalszy podmiot przetwarzający z jego zobowiązań umownych.

8. Odbierający dane uzgadnia z dalszym podmiotem przetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą - jeżeli Odbierający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny - Powierzający ma prawo rozwiązać umowę z dalszym podmiotem przetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.

 

Przekazywanie danych do państwa trzeciego

 

1. Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez Odbierającego odbywa się wyłącznie na udokumentowane polecenie Powierzającego lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Odbierający, i odbywa się zgodnie z rozdziałem V RODO.

2. Jeżeli Odbierający korzysta z usług dalszego podmiotu przetwarzającego, któr