Umowa powierzenia

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Użytkownikiem Aplikacji ENCOR ESS zgodnie z  Regulaminem Aplikacji ENCOR ESS (regulamin dostępny pod adresem: encorbat.corab.pl)

zwany dalej „Administratorem Danych Osobowych”, „ADO”

a

Corab S.A. z siedzibą w Olsztynie, adres: ul. Michała Kajki 4, kod 10-547 Olsztyn, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem 0000950779, której akta rejestrowe przechowuje Sąd Rejonowy w Olsztynie VIII Wydział Gospodarczy Krajowego Rejestru Sądowego, posiadająca numer NIP: 7390207757 i numer REGON: 510519084.

zwaną dalej „Podmiotem przetwarzającym”,

 

zwanymi dalej łącznie „Stronami” została zawarta niniejsza umowa powierzenia przetwarzania danych osobowych (dalej jako „Umowa”), o następującej treści:

 

 

ZWAŻYWSZY, ŻE:

  1. (1) Strony zawarły umowę świadczenia usług w modelu Software as a Service Aplikacji ENCOR ESS zwaną dalej „Umową Główną” zgodnie z Regulaminem Aplikacji ENCOR ESS i  której przedmiotem jest  dostęp do Aplikacji ENCOR ESS i możliwość korzystania z jej funkcjonalności;
     
  2. (2) W związku z czynnościami wykonywanymi w ramach Umowy Głównej Podmiot przetwarzający będzie miał dostęp do danych osobowych, których administratorem w rozumieniu art. 4 pkt 7) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanego w dalszej części „Rozporządzeniem” lub „RODO”), jest Administrator Danych Osobowych;

  3. (3) Stosownie do art. 28 RODO Administrator Danych Osobowych ma zamiar powierzyć Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie i celu związanym z prowadzonymi przez Podmiot przetwarzający czynnościami w ramach Umowy Głównej.

STRONY POSTANOWIŁY ZAWRZEĆ UMOWĘ O NASTĘPUJĄCEJ TREŚCI:

§ 1.

Przedmiot Umowy

  1. Na podstawie art. 28 Rozporządzenia Administrator Danych Osobowych powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej Umowie.
  2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
  3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa, w szczególności wdrożył odpowiednie środki zabezpieczające (tj. techniczne i organizacyjne) spełniające wymogi Rozporządzenia i chroniące prawa osób, których dane dotyczą, a których przetwarzanie zostało mu powierzone na mocy niniejszej Umowy.
  1. ADO oświadcza, że dane osobowe powierzane Podmiotowi Przetwarzającemu zostały zgromadzone i są przetwarzane w sposób zgodny z prawem, w szczególności pozyskano odpowiednie zgody osób, których dane dotyczą, albo istnieje inna legalna podstawa do przetwarzania danych Osobowych przez ADO.
  2. Jeżeli Umowa Główna zakłada, że Podmiot przetwarzający będzie w imieniu Administratora Danych Osobowych zbierać dane osobowe, Administrator Danych Osobowych przekaże Podmiotowi Przetwarzającemu wszelkie niezbędne instrukcje i wskazówki co do treści niezbędnych do pozyskania zgód na przetwarzanie danych osobowych i/lub treści oraz sposobu doręczenia klauzul informacyjnych na podstawie art. 13 lub 14 RODO. Podmiot przetwarzający w takim wypadku pozyska odpowiednie zgody osób, których dane dotyczą oraz samodzielnie wykona w imieniu Administratora Danych Osobowych wobec tych osób obowiązki informacyjne na podstawie art. 13 lub 14 RODO.

 

§ 2.

Rodzaj powierzonych Danych Osobowych

  1. W związku z usługami świadczonymi na podstawie Umowy Głównej Podmiot przetwarzający będzie przetwarzał dane określone w Załączniku nr 1 do Umowy („Dane Osobowe”). Zmiana załącznika nie wymaga aneksu do Umowy, a jedynie potwierdzenia w formie dokumentowej (w tym poprzez pocztę elektroniczną).
  2. Podmiot przetwarzający będzie przetwarzał Dane Osobowe wyłącznie w celu wykonania Umowy Głównej oraz przez czas jej trwania.
  3. Dane Osobowe będą przetwarzane co do zasady w formie elektronicznej, m.in. w systemach IT służących do obsługi przedmiotu Umowy Głównej tj. w ramach Aplikacji ENCOR ESS.

 

§ 3.

Oświadczenia Stron

1. W celu uniknięcia wątpliwości ADO oraz Podmiot przetwarzający zgodnie oświadczają, że Podmiot przetwarzający:

  1. nie decyduje o celach i środkach przetwarzania Danych Osobowych powierzonych przez ADO;
  2. nie jest uprawniony do posiadania lub tworzenia jakichkolwiek kopii dokumentów zawierających Dane Osobowe powierzone przez ADO, w tym ewidencji zawierających przedmiotowe Dane lub baz danych zapisanych w postaci dokumentów papierowych lub elektronicznych, innych niż uzasadnionych przez cel i zakres związany z wykonywaniem Umowy Głównej;
  3. przetwarza powierzone mu na mocy niniejszej Umowy dane jedynie na polecenie ADO i dokumentuje polecenia ADO; ustne polecenia wymagają potwierdzenia w formie dokumentowej;
  4. informuje ADO przed rozpoczęciem przetwarzania o obowiązku przetwarzania, jeśli taki obowiązek wynika z przepisów prawa, chyba że przepisy te zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny;
  5. niezwłocznie informuje ADO, jeżeli polecenie wydane Podmiotowi przetwarzającemu stanowi naruszenie Rozporządzenia lub innych obowiązujących przepisów o ochronie danych;
  6. nie może wykorzystywać Danych Osobowych do własnych celów, niezwiązanych z realizacją niniejszej Umowy oraz Umowy Głównej;
  7. może sprostować, usunąć lub ograniczyć przetwarzanie powierzonych Danych Osobowych tylko na polecenie ADO.

§ 4.

Obowiązki Podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się, przed rozpoczęciem przetwarzania powierzonych Danych osobowych, podjąć środki techniczne i organizacyjne wymagane na podstawie art. 32 RODO, tj. zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem Danych osobowych.
  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych osobowych.
  3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania Danych Osobowych wszystkim osobom, które będą przetwarzały powierzone Dane Osobowe w celu realizacji niniejszej Umowy, a także zobowiązać te osoby do zachowania Danych Osobowych w tajemnicy, zarówno w trakcie zatrudnienia ich przez Podmiot przetwarzający, jak i po ustaniu zatrudnienia.
  4. Podmiot przetwarzający po zakończeniu świadczenia usług na podstawie Umowy Głównej zgodnie z żądaniem ADO usuwa lub zwraca ADO wszelkie Dane Osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że przepisy powszechnie obowiązującego prawa nakazują przechowywanie danych osobowych.
  5. W miarę możliwości Podmiot przetwarzający pomaga ADO w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie jej praw, o których mowa w rozdziale III RODO oraz wywiązywać się z obowiązków określonych w art. 32-36 RODO.
  6. Jeżeli Podmiot przetwarzający będzie miał zamiar przekazać dane osobowe do państw trzecich lub organizacji międzynarodowych, jest zobowiązany dokonać uprzedniego zawiadomienia Administratora Danych Osobowych w formie dokumentowej.
  7. W ramach Umowy Podmiot przetwarzający jest zobowiązany wdrożyć i utrzymywać odpowiednie środki techniczne oraz organizacyjne, które zapewniają stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw i wolności podmiotów Danych Osobowych. Wykaz środków bezpieczeństwa stosowanych przez Podmiot przetwarzający stanowi Załącznik numer 3 do Umowy.
  8. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych lub uzasadnionego podejrzenia naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi Danych Osobowych nie później niż w ciągu 36 godzin od stwierdzenia naruszenia. Jeżeli to możliwe, zgłoszenie powinno zawierać co najmniej:
  1. opis charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opis możliwego ryzyka związanego z naruszeniem ochrony danych osobowych;
  4. opis środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

§ 5.

Prawo kontroli

  1. ADO ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych Danych osobowych spełniają postanowienia Umowy.
  2. ADO będzie realizować prawo kontroli w godzinach pracy Podmiotu przetwarzającego oraz po wcześniejszym powiadomieniu o terminie kontroli, na minimum 5 dni przed jej planowanym rozpoczęciem.
  3. W celu wykonywania kontroli upoważnieni przedstawiciele Administratora Danych Osobowych mają prawo wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe i przeprowadzenia niezbędnych czynności kontrolnych i żądania złożenia wyjaśnień w celu ustalenia stanu faktycznego.
  4. Z czynności kontrolnych Strony każdorazowo sporządzą protokół kontroli, który zostanie podpisany przez upoważnionych przedstawicieli Stron.
  5. Podmiot przetwarzający zobowiązuje się do niezwłocznego usunięcia uchybień stwierdzonych podczas kontroli.

§ 6.

Dalsze powierzenie danych do przetwarzania

  1. Administrator Danych Osobowych niniejszym wyraża zgodę na dalsze podpowierzenie przez Podmiot przetwarzający powierzonych danych osobowych na podstawie umowy zawartej pomiędzy Podmiotem przetwarzającym a dalszym podmiotem podprzetwarzającym w odniesieniu do podmiotów wskazanych w Załączniku nr 2 do Umowy.
  2. Administrator wyraża zgodę i potwierdza, że Podmiot przetwarzający ma prawo dalszego podpowierzenia powierzonych danych dalszemu podmiotowi podprzetwarzającemu w wypadku, gdy dalszy podmiot podprzetwarzający zapewnia ochronę danych osobowych na poziomie co najmniej takim samym jak Podmiot przetwarzający.

 

§ 7.

Odpowiedzialność Stron

  1. Podmiot przetwarzający jest odpowiedzialny za zawinione udostępnienie lub wykorzystanie Danych Osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania Danych Osobowych osobom nieupoważnionym. Podmiot przetwarzający odpowiada wobec ADO za niezapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, naruszenie poufności przetwarzanych danych osobowych oraz brak zawiadomienia ADO o podejrzeniu naruszenia lub stwierdzeniu naruszenia ochrony danych osobowych.
  2. Podmiot przetwarzający ponosi odpowiedzialność za działania i zaniechania wszystkich podmiotów podprzetwarzających jak za swoje własne działania i zaniechania.
  3. Odpowiedzialność Podmiotu przetwarzającego jest ograniczona do kwoty rzeczywistej starty i nie obejmuje utraconych korzyści.
  4. Strony zobowiązują się do niezwłocznego poinformowania drugiej Strony, nie później niż w terminie 3 dni, o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym powierzonych Danych Osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych Danych, skierowanych do Strony, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania tych Danych Osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych lub inny organ nadzorczy właściwy w zakresie ochrony danych osobowych tak, aby był możliwy udział Strony w każdym w/w postępowaniu. Niniejszy ustęp dotyczy wyłącznie Danych Osobowych powierzonych przez ADO.

 

§ 8.

Czas obowiązywania Umowy

  1. Niniejsza Umowa obowiązuje od dnia jej zawarcia przez czas obowiązywania Umowy Głównej. Rozwiązanie lub wygaśnięcie Umowy Głównej niezależnie od przyczyny powoduje wygaśnięcie niniejszej Umowy.

 

§ 9.

Rozwiązanie umowy

  1. ADO może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający przetwarza Dane osobowe w sposób niezgodny z Umową.

 

§ 10.

Adresy do doręczeń

  1. W zakresie doręczeń i kontaktów związanych z wykonaniem Umowy Strony będą kierować wiadomości na dane kontaktowe wskazane podczas zawarcia Umowy głównej przy czym Administrator może kontaktować się z Podmiotem przetwarzającym także w ramach Aplikacji ENCOR ESS.

§ 11.

Postanowienia końcowe

  1. Umowa wchodzi w życie z dniem podpisania przez Strony. 
  2. Jeżeli jedno lub więcej postanowień Umowy będzie lub stanie się nieważne lub bezskuteczne, nie wpływa to na ważność lub skuteczność pozostałych postanowień Umowy. Po podjęciu wiedzy w przedmiocie nieważności jakichkolwiek postanowień Umowy, Strony niezwłocznie sporządzą pisemny aneks do Umowy, którym uchylą wadliwe postanowienia i w razie konieczności zastąpią je nowymi.
  3. Strony zgodnie oświadczają, że w przypadku sporów powstałych na tle realizacji Umowy będą dążyć do polubownego ich załatwienia. W przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo według siedziby ADO.
  4. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy wymagają zachowania formy dokumentowej pod rygorem nieważności, z zastrzeżeniem, tych sytuacji w których Umowa wprost przewiduje możliwość dokonywania zmian w innej formie.
  5. Umowa wraz z załącznikami stanowi całość porozumienia między Stronami, chyba że w treści Umowy wprost wskazuje się dodatkowe ustalenia Stron jako integralną część Umowy.
  6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

 

Wykaz załączników do Umowy:

  1. Rodzaj powierzonych do przetwarzania Danych Osobowych (Załącznik nr 1),
  2. Wykaz zaakceptowanych podmiotów przetwarzających (Załącznik nr 2),

Wykaz środków technicznych i organizacyjnych (Załącznik nr 3),

 

 

 

Załącznik numer 1 do
Umowy powierzenia przetwarzania danych w ramach Aplikacji ENCOR ESS

 

RODZAJ POWIERZONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH

 

  • Rodzaj danych osobowych:

Przetwarzanie dotyczy danych zwykłych
 

  • Charakter przetwarzania:

Elektroniczny
 

  • Kategorie danych osobowych:

Dane klienta Administratora: imię, nazwisko/ nazwa firmy w przypadku klienta biznesowego, numer telefonu, adres e-mail).

Dane pracownika: Imię, nazwisko, adres e-mail, numer telefonu

Dane Instalacji (nazwa instalacji, adres instalacji, data ukończenia instalacji, ID instalacji, moc instalacji), dane o urządzeniu klienta.

Instalator ma możliwość dodania fotografii obejmującej Instalacje oraz dokumentów związanych z daną Instalacją, które mogą zawierać inne Dane Osobowe Klienta Administratora (np. umowa zawarta między Instalatorem, a Właścicielem instalacji, gwarancja, karta modułu, inne dokumenty). Instalator ma możliwość dodania komentarza odnoszącego się do danej instalacji urządzenia.
 

  • Kategorie osób, których dane dotyczą:

Klienci Administratora/Właściciele Instalacji/ Pracownicy Administratora


 

Załącznik numer 2 do
Umowy powierzenia przetwarzania danych w ramach Aplikacji ENCOR ESS

 

WYKAZ ZAAKCEPTOWANYCH PODMIOTÓW PRZETWARZAJĄCYCH

1.

  • Dane podmiotów (firma lub nazwa, adres):
     

Suzhou Leapton Energy Co., LTD
Adres: No.9, Sunshine Avenue, Changshu, Jiangsu, China

 

Chengdu E-LINTER Information Technology Co., Ltd.

Adres: No. 505, Building 6, Area D, Tianfu Software Park, No. 599 Century City South Road, Chengdu High-tech Zone, China
 

 

  • Cel podpowierzenia:


Podmiot zapewniający obsługę informatyczną obsługi Aplikacji (przy czym dane gromadzone w Aplikacji przechowywane są na serwerze znajdującym się na terenie EOG- serwery zapewnione przez AWS ).

 

  • Czy dane będą przekazywane poza EOG?:

tak

 

 

Załącznik numer 3 do
Umowy powierzenia przetwarzania w ramach Aplikacji ENCOR ESS

 

WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH

 

 

  1. Kontrola dostępu do systemów informatycznych i stosowanie programów zabezpieczających systemy informatyczne (program antywirusowy, szyfrowana transmisja danych, ekrany prywatyzujące).
     
  • Komunikacja po SSL oraz wymuszenie logowania SSL
  • Hasła dostępowe do systemów udostępnianych przez Administratora Danych Osobowych przechowywane są w formie zaszyfrowanej
  • Sesje logowania zabezpieczone są przed zmianą przeglądarki, adresu IP, edycją plików cookies
  • Restrykcyjny dostęp do bazy danych - biała lista adresów IP oraz wysoka złożoność haseł
  • Uprawnienia wewnętrzne w obrębie jednego konta użytkownika z ramienia Podmiotu przetwarzającego
  • Bieżąca aktualizacja oprogramowania i korzystanie z legalnego oprogramowana.
  • Brak publicznych API udostępniających dane
  • Uprawnienia wewnętrzne aplikacji działają w obrębie jednego konta użytkownika


 

  1. Dostęp do danych wyłącznie dla osób upoważnionych. W przypadku zewnętrznych podwykonawców dane powierzane są wyłącznie podmiotom zapewniającym odpowiedni stopień bezpieczeństwa danych i z którymi podpisano umowę powierzenia przetwarzania danych osobowych.
  2. Prowadzenie ewidencji osób upoważnionych i podmiotów przetwarzających posiadających dostęp do Aplikacji ENCOR ESS.
  3. Zabezpieczenie miejsca przetwarzania danych osobowych w postaci zamykanych pomieszczeń oraz alarm zainstalowany na terenie nieruchomości, w ramach której przetwarzane są dane osobowe.