Umowa powierzenia przetwarzania danych osobowych - wzór

Zawarta dnia …………………… w Warszawie pomiędzy:

………………………………………………………………………………………………….. z siedzibą w …………………………. przy ul. …………………………………, wpisaną do Rejestru Przedsiębiorców prowadzonego przez ………………………………………….. Krajowego Rejestru Sądowego pod nr …………………. o kapitale zakładowym ………………………. , NIP: …………………….. , REGON: …………………………., reprezentowaną przez ………………………………………………………….. , zwaną w dalszej części umowy “Administratorem Danych Osobowych” lub “Administratorem”

a

Digital Rep Sp. z o.o., adres siedziby: Chmielna 2/31, 00-020 Warszawa, PL, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000915075, kapitał zakładowy: 5 000,00 zł, NIP: 5252872328, REGON: 389664477, reprezentowaną przez:
Igora Gołębiewskiego - Prezesa Zarządu,
Macieja Osytka - Członka Zarządu,
zwaną w dalszej części umowy “Podmiotem Przetwarzającym”;

dalej łącznie zwanymi “Stronami” a każda oddzielnie “Stroną”


§ 1

Definicje

Na potrzeby niniejszej umowy, Administrator i Podmiot Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:

  1. Umowa - niniejsza umowa powierzenia przetwarzania danych osobowych.

  2. Platforma - platforma internetowa prowadzona przez Podmiot Przetwarzający pod adresem internetowym https://fitebo.com.

  3. Umowa Podstawowa - umowa świadczenia usług przez Podmiot Przetwarzający na rzecz Administratora w zakresie korzystania z Platformy (Regulamin Fitebo).

  4. Rozporządzenie - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).


§ 2

Powierzenie przetwarzania danych osobowych

  1. Administrator danych powierza Podmiotowi Przetwarzającemu, w trybie art. 28 Rozporządzenia dane osobowe do przetwarzania, na zasadach i w celu określonym w Umowie.

  2. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

  3. Podmiot Przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.

  4. Administrator oświadcza, iż przekazywane Podmiotowi Przetwarzającemu dane uzyskał zgodnie z obowiązującymi przepisami prawa, i otrzymał od osób, których dane dotyczą stosowne zgody na ich przetwarzanie, gdy jest to wymagane prawem.


§3

Zakres i cel przetwarzania danych

  1. Administrator upoważnia Podmiot Przetwarzający do przetwarzania danych osobowych.

  2. Podmiot Przetwarzający będzie przetwarzał powierzone na podstawie Umowy dane klientów Administratora w następujących kategoriach:

    1. dane zwykłe w postaci: imienia, nazwiska, adresu e-mail, numeru telefonu

    2. dane szczególne (dane wrażliwe) w postaci:

      1. data urodzenia, wzrost, waga, ilość dni treningowych w tygodniu, występujące kontuzje i wady postawy, informacja jakim sprzętem fitness dysponuje, poziom zaawansowania treningowego, preferencje treningowe,

      2. pomiary - masa ciała, obwody klatki piersiowej, talii, pasa, bioder, ramienia lewego, ramienia prawego, przedramienia lewego, przedramienia prawego, uda lewego, uda prawego, łydki lewej, łydki prawej,

      3. zdjęcia,

      4. dane dotyczące przeprowadzonych treningów, w tym między innymi informacje o ilości wykonanych serii, ilości powtórzeń wykonanych w ramach każdej serii, obciążeniu zastosowanym przy wykonywaniu każdej serii, informacja o subiektywnej ocenie trudności wykonanego treningu,

      5. dane przekazane przez klienta w raporcie - personalne informacje o samopoczuciu (nastrój, jakość snu, motywacja do wykonywania treningów, frekwencja treningowa, efektywność na treningach, stosowanie się do planu dietetycznego, ocena poziomu trudności i zadowolenia z bieżącego planu treningowego, zmęczenie po treningach, szybkość regeneracji organizmu po treningach), informacje o obszarze i poziomie odczuwanego bólu spowodowanego przeciążeniem lub kontuzją, oraz inne informacje uzyskane przez Administratora.

  3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot Przetwarzający wyłącznie w celu realizacji Umowy Podstawowej.


§4

Obowiązki podmiotu przetwarzającego

  1. Podmiot Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa i odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.

  2. Podmiot Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

  3. Podmiot przetwarzający oświadcza, że wszystkie osoby, które mają dostęp do powierzonych mu przez Administratora danych posiadają stosowne upoważnienia.

  4. Podmiot Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie Przetwarzającym, jak i po jego ustaniu.

  5. Podmiot Przetwarzający usunie powierzone dane osobowe w terminie 3 dni od momentu zakończenia świadczenia usług na podstawie Umowy Podstawowej, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

  6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.

  7. Podmiot Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 48 godzin.


§5

Prawo kontroli

  1. Administrator lub podmiot przez niego upoważniony ma prawo do przeprowadzenia kontroli lub audytu, w celu sprawdzenia spełniania obowiązków określonych w art. 28 Rozporządzenia.

  2. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia.

  3. Administrator lub podmiot przez niego upoważniony realizować będzie kontrole lub audyty w miejscach, gdzie są przetwarzane powierzone dane, w godzinach pracy Podmiotu Przetwarzającego.

  4. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi Przetwarzającemu co najmniej 10 dni kalendarzowych przed rozpoczęciem czynności.

  5. Koszty przeprowadzenia kontroli ponosi Administrator.

  6. Podmiot Przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu, w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni.


§6

Dalsze powierzenie danych do przetwarzania

  1. Podmiot Przetwarzający może korzystać z usług innych podmiotów przetwarzających dane, które będą pełnić rolę podwykonawców przy świadczeniu usług w ramach Umowy, na co Administrator wyraża ogólną zgodę. Lista tychże podwykonawców dostępna jest na Platformie, pod adresem https://fitebo.com/pl/rodo_partners . Podmiot Przetwarzający ma prawo do jej jednostronnej aktualizacji i modyfikacji tak, aby odzwierciedlała stan faktyczny, a jej aktualizacja lub modyfikacja nie stanowi zmiany Umowy.

  2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

  3. Podwykonawca, o którym mowa w §6 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot Przetwarzający w Umowie.

  4. Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.


§ 7

Odpowiedzialność Podmiotu Przetwarzającego

  1. Podmiot Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

  2. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie Przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.


§8

Czas obowiązywania umowy

  1. Umowa zawarta zostaje na czas trwania Umowy Podstawowej. Z chwilą wygaśnięcia lub rozwiązania Umowy Podstawowej z jakiejkolwiek przyczyny, rozwiązaniu ulega Umowa.


§9

Rozwiązanie umowy

  1. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot Przetwarzający:

    1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie

    2. przetwarza dane osobowe w sposób niezgodny z umową


§10

Zasady zachowania poufności

  1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

  2. Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu, niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.


§11

Postanowienia końcowe

  1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.

  2. W sprawach nieuregulowanych Umową zastosowanie będą miały przepisy Rozporządzenia.

  3. Strony dołożą wszelkich starań, aby polubownie rozstrzygnąć wszelkie spory wynikające z Umowy, a w przypadku braku możliwości osiągnięcia porozumienia, wszelkie spory będą rozstrzygane przez polski sąd właściwy dla siedziby Podmiotu Przetwarzającego.

  4. Jeżeli jakiekolwiek postanowienia niniejszej Umowy okażą się nieważne, nie uchybia to ważności pozostałych, a Podmiot Przetwarzający zobowiązuje się do podjęcia czynności w celu uzupełnienia umowy w tej części.

_______________________

Administrator Danych Osobowych

_______________________

Podmiot Przetwarzający