Biuro obsługi klienta: biuro@ogido.pl

Umowa Powierzenia Przetwarzania Danych Osobowych

UMOWA POWIERZENIA

PRZETWARZANIA DANYCH OSOBOWYCH

(dalej „Umowa”)

Niniejsza Umowa stanowi integralną część Regulaminu korzystania z serwisu OGDIO serwis rekrutacyjny dla Pracodawców, do zawarcia której dochodzi poprzez jego akceptację.

Mając na uwadze, że

  1. Celem Umowy jest ustalenie warunków na jakich Usługodawca (zwany w dalszej części Umowy Przetwarzającym) wykonuje operacje przetwarzania Danych osobowych Kandydatów
    i Pracowników Użytkownika (Pracodawcy – zwany w dalszej części Umowy Administratorem)
    w imieniu i na zlecenie Użytkownika (Pracodawcy),
  2. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – zwane dalej „RODO”.

Strony postanowiły zawrzeć Umowę o następującej treści:

§1
Oświadczenia Stron

  1. Administrator oświadcza, że jest Administratorem Danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierza przetwarzanie Przetwarzającemu.
  2. Przetwarzający oświadcza, że w ramach prowadzonej działalności gospodarczej zajmuje się przetwarzaniem Danych Osobowych objętych Umową i Umową Podstawową w sposób zgodny
    z przepisami RODO i polskimi przepisami z zakresu ochrony danych osobowych, posiada w tym zakresie niezbędną wiedzę, stosuje odpowiednie środki techniczne i organizacyjne ochrony Danych oraz daje rękojmię należytego wykonania Umowy.
  3. Strony zgodnie oświadczają, że wszelkie przetwarzanie Danych wykraczające poza zakres Umowy stanowi samodzielne działanie Przetwarzającego jako Administratora Danych Osobowych.

§2
Przedmiot Umowy

  1. Na warunkach określonych Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) Danych Osobowych.
  2. Powierzone przetwarzanie obejmuje poniżej wskazane rodzaje Danych:
    1. Kandydaci – wszelkie dane udostępnione przez Kandydata za pośrednictwem serwisu ODIGO serwis rekrutacyjny (zawarte in. w formularzu rejestracyjnym, formularzu aplikacyjnym, jak również w Twoim CV i liście motywacyjnym);
    2. Pracownicy Administratora – Imię i nazwisko, dane kontaktowe (imię i nazwisko, adres
      e-mail, numer telefonu),

zwane w dalszej części Umowy Danymi osobowymi.

  1. Powierzone przetwarzanie obejmuje następujące kategorie osób:
    1. Kandydaci;
    2. Pracownicy Administratora.
  2. Charakter przetwarzania określony jest rolą Przetwarzającego wynikającą z realizacji Umowy korzystania z serwisu OGIDO serwis rekrutacyjny, zawartej pomiędzy Przetwarzającym
    a Administratorem, do zawarcia której dochodzi wskutek akceptacji Regulaminu korzystania z serwisu OGDIO serwis rekrutacyjny dla Pracodawców, a powierzenie przez Administratora Przetwarzającemu przetwarzania danych osobowych następuje w celu wykonania tej Umowy.

§3
Obowiązki Administratora

Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak również wywiązywać się terminowo ze swoich szczegółowych obowiązków.

§4
Obowiązki Przetwarzającego

Nienależnie od innych obowiązków wynikających z Umowy, Przetwarzający zobowiązuje się do:

  • przetwarzania Danych wyłącznie na udokumentowane polecenie lub zgodnie z instrukcjami Administratora,
  • ograniczenia dostępu do Danych wyłącznie do osób, których dostęp do Danych jest niezbędny do realizacji Umowy,
  • zapewnienia, aby osoby upoważnione do przetwarzania Danych zobowiązały się pisemne do zachowania tajemnicy (poufności) lub by podlegały ustawowemu obowiązkowi zachowania tajemnicy (poufności). Tajemnica ta obejmuje również wszelkie warunki Umowy oraz informacje uzyskane w związku z wykonywaniem Umowy, w tym bezwzględny zakaz wykorzystywania tych informacji/ Danych w celu innym aniżeli związanym z realizacją Umowy lub zamiarem zawarcia Umowy z Podpowierzającym zgodnie z §8 Umowy,
  • zapewnienia osobom upoważnionym do przetwarzania Danych odpowiednich szkoleń z zakresu ochrony Danych Osobowych,
  • współpracowania z Administratorem przy wykonywaniu obowiązków z obszaru ochrony Danych Osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym),
  • prowadzenia dokumentacji opisującej sposób przetwarzania Danych, w tym Rejestru Czynności Przetwarzania Danych Osobowych zgodnie z art. 30 RODO,
  • udostępniania na żądanie Administratora prowadzonego Rejestru Czynności Przetwarzania Danych Przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego,
  • zapewnienia obsługi praw jednostki w odniesieniu do powierzonych Danych, w tym odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (tzw. „Prawa jednostki”),
  • zastosowania się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO, planując dokonanie zmian w sposobie przetwarzania Danych,
  • niezwłocznego informowania Administratora telefonicznie, a na jego żądanie również w formie pisemnej lub e-mailowej w sposób udokumentowany i wraz z uzasadnieniem, o:
  1. powziętych wątpliwościach co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu,
  2. każdorazowym zamiarze, w tym o obowiązku, przekazania powierzonych Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy, dalej jako „EOG”) w celu uzyskania na to zgody Administratora i umożliwienia mu podjęcia działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub też podjęcia decyzji
    o zakończeniu powierzenia.
  3. planowanych zmianach w sposobie przetwarzania Danych w taki sposób i z takim wyprzedzeniem, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób wskutek przetwarzania Danych przez Przetwarzającego,
  4. wykorzystywaniu w celu realizacji Umowy zautomatyzowanego przetwarzania, w tym profilowania, o którym mowa w art. 22 ust. 1 i 4 RODO, aby zapewnić Administratorowi realną możliwość wykonania obowiązku informacyjnego.

§5
Bezpieczeństwo danych

  1. Strony uzgodniły po stronie Przetwarzającego wysoki poziom zabezpieczeń Danych wymagający zastosowania co najmniej środków zabezpieczenia Danych wskazanych w załączniku nr 1 do Umowy.
  2. Przetwarzający zobowiązuje się do okazania na każdorazowe żądanie Administratora stosownych referencji, wykazu doświadczenia, posiadanych certyfikatów, lub innych dowodów i dokumentów potwierdzających, że Przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony Danych, tak by przetwarzanie spełniało wymogi RODO, Umowy i skutecznie chroniło prawa osób, których Dane dotyczą. Obie Strony zachowują kopie przedstawionych dokumentów i dowody przedstawienia informacji dla potrzeb spełnienia wymogu rozliczalności.

§6
Powiadomienie o Naruszeniach Danych Osobowych

  1. Przetwarzający zobowiązuje się niezwłocznie powiadamiać Administratora o każdym naruszeniu ochrony danych lub podejrzeniu takiego naruszenia, w tym o nieupoważnionym dostępie do danych lub każdej innej sytuacji mogącej mieć wpływ na poprawność przetwarzania lub bezpieczeństwo Danych,
    a także umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu lub braku stwierdzenia naruszenia.
  2. Powiadomienie, o którym mowa w ust. 1, powinno być dokonane:
  • telefonicznie i dodatkowo e-mailowo, a na żądanie Administratora również na piśmie,
  • nie później niż w ciągu 24 godzin od ujawnienia incydentu,
  • wraz z jednoczesnym przedłożeniem wszelkiej niezbędnej dokumentacji dotyczącej naruszenia/ incydentu, a na żądanie Administratora również dodatkowych e-mailowych/ pisemnych informacji, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.

§7
Nadzór

  1. Administrator jest uprawniony do kontroli sposobu przetwarzania przez Przetwarzającego powierzonych mu Danych Osobowych.
  2. Audytor upoważniony przez Administratora, po uprzednim poinformowaniu co najmniej z 60 dniowym wyprzedzeniem Przetwarzającego o planowanej kontroli, jest uprawniony w szczególności do:
  • wstępu do pomieszczeń Przetwarzającego, w których przetwarzane są powierzone Przetwarzającemu Dane Osobowe,
  • wglądu do dokumentacji związanej z przetwarzaniem powierzonych Danych Osobowych, w tym do Rejestru Czynności Przetwarzania Danych Przetwarzającego,
  • żądania od Przetwarzającego udzielania mu wszelkich informacji i przedkładania do wglądu wszelkich dokumentów i innych dowodów koniecznych do weryfikacji zgodności działania Przetwarzającego z postanowieniami Umowy i przepisami RODO.
  1. Obowiązek wcześniejszego poinformowania Przetwarzającego o planowanej kontroli, o którym mowa w ust. 2 niniejszego paragrafu nie będzie miał zastosowania do kontroli przeprowadzanej w przypadku uzyskania przez Administratora informacji o rażącym naruszeniu przez Przetwarzającego obowiązków wynikającym z RODO, przepisów o ochronie danych osobowych lub Umowy.
  2. Przetwarzający współpracuje z Administratorem i umożliwia audytorowi upoważnionemu przez Administratora przeprowadzenie u niego audytów lub inspekcji celem zweryfikowania zgodności jego działania z postanowieniami Umowy i RODO, w tym udostępnia Administratorowi wszelkie informacje, dokumenty oraz inne dowody niezbędne do wykazania spełnienia jego obowiązków wynikających z Umowy i z RODO.
  3. Koszty kontroli ponosi każda ze Stron we własnym zakresie, niezależnie od wyniku.

§8
Podpowierzanie

  1. Przetwarzający może powierzyć innym podmiotom (dalej jako „Podprzetwarzający”) konkretne operacje przetwarzania Danych (dalej jako „podpowierzenie”), a Administrator wyraża swoją ogólną zgodę na korzystanie przez Przetwarzającego z usług innego podmiotu przetwarzającego.
  2. Przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. W takim wypadku Administrator uprawniony jest do złożenia w terminie 7 dni od dnia otrzymania informacji wyraźnego wiążącego sprzeciwu wobec tych zmian. Informacja ta powinna zawierać: dane innego podmiotu przetwarzającego oraz określenie czynności przetwarzania Danych osobowych, w celu wykonywania których Przetwarzający będzie korzystał z usług Innego podmiotu przetwarzającego.
  3. Lista zaakceptowanych Podprzetwarzających stanowi załącznik nr 2 do Umowy.

§9
Odpowiedzialność

  1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem lub zaniechaniem w związku
    z niedopełnieniem obowiązków, które RODO lub Umowa nakłada na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada w szczególności za szkody spowodowane niezastosowaniem właściwych środków bezpieczeństwa.
  2. Przetwarzajacy odpowiada za niezgodne z prawem, Umową, czy instrukcjami Administratora działania lub zaniechania Podprzetwarzającego jak za swoje własne działania lub zaniechania. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora z tego tytułu spoczywa każdorazowo na Przetwarzającym.

 

§10
Czas trwania umowy i usunięcie danych

  1. Umowa została zawarta na czas obowiązywania Umowy Podstawowej z zastrzeżeniem terminu karencji przechowywania/usunięcia/zwrotu danych i bezterminowego obowiązku zachowania tajemnicy (poufności), przy czym rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy Podstawowej powoduje jednoczesne odpowiednio rozwiązanie, wypowiedzenie lub wygaśnięcie niniejszej Umowy bez konieczności składania przez Strony dodatkowych oświadczeń w tym przedmiocie, chyba że Strony postanowią inaczej.
  2. Z chwilą rozwiązania Umowy, niezależnie od sposobu i terminu:
  • Przetwarzający zawiadomi pisemnie lub e-mailowo Administratora, jeżeli prawo nakazuje przetwarzającemu dalej przechowywać dane i przez jaki okres czasu,
  • wystąpi do Administratora o wydanie instrukcji służących zakończeniu przetwarzania, w tym co do sposobu i terminu usunięcia lub zwrotu Danych.
    1. Po wykonaniu zobowiązania, o którym mowa w niniejszym paragrafie., Przetwarzający złoży Administratorowi pisemne/e-mailowe oświadczenie potwierdzające datę i fakt trwałego usunięcia wszystkich Danych i/lub Administrator złoży Przetwarzającemu pisemne/e-mailowe oświadczenie potwierdzające datę i fakt dokonania zwrotu danych Administratorowi.

 

§11
Postanowienia Końcowe

  1. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.
  2. Strony postanawiają, że Umowa podlega prawu polskiemu.
  3. W zakresie nieuregulowanym niniejszą Umową znajdują do niej zastosowanie przepisy RODO oraz prawa polskiego z zakresu ochrony Danych.
  4. Jeżeli którekolwiek z postanowień Umowy okaże się nieskuteczne wówczas nie wpływa to na skuteczność pozostałych jej postanowień. W takim przypadku Strony zobowiązane są do zastąpienia postanowienia nieskutecznego postanowieniem najbardziej zbliżonym pod względem celu ekonomicznego i prawnego do celu postanowienia nieskutecznego.
  5. Umowa zastępuje wszelkie dotychczasowe ustne lub pisemne ustalenia Stron związane z przedmiotem Umowy.
  6. Załączniki do Umowy stanowią jej integralną część.
  7. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

 

Załączniki do umowy:

  1. Środki zabezpieczenia Danych wymagane po stronie Przetwarzającego.
  2. Wzór Listy Zaakceptowanych Podprzetwarzających

 

ZAŁĄCZNIK NR 1

DO UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Środki zabezpieczenia Danych wymagane po stronie Przetwarzającego:

  1. regularne testowanie, mierzenie i ocenianie skuteczności stosowanych środków technicznych
    i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
  2. posiadanie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich
    w razie incydentu fizycznego lub technicznego,
  3. posiadanie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności swoich systemów i usług przetwarzania,
  4. stosowania technik pseudonimizacji i szyfrowania.

 

 

 

ZAŁĄCZNIK NR 2

DO UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

 

Listy Zaakceptowanych Podprzetwarzających:

Mobile Madness Sp. z o.o.
ul. Kolejowa 1/7
35-073 Rzeszów, Polska
NIP: 8133765846
Przedmiot podpowierzenia: usługi informatyczne.

HITME.pl
ul. Franciszka Mamuszki 17A,
80-178 Gdańsk, Polska
NIP: 879-248-70-67
Przedmiot podpowierzenia: obsługa hostingu, serwer.