Dokumenty
Umowa powierzenia przetwarzania danych
Wzór umowy powierzenia zawieranej z Klientem na podstawie art. 28 RODO.
zawarta na podstawie art. 28 rozporządzenia (UE) 2016/679 (RODO)
Administrator (podmiot powierzający):
Nazwa: [nazwa Klienta]
Adres: [adres]
NIP: [NIP], REGON: [REGON]
reprezentowany przez: [imię i nazwisko, funkcja]
Podmiot przetwarzający (Procesor):
Supwize Eryk Poświątny, ul. Magazynowa 3/118, 15-399 Białystok,
NIP 5423465105, REGON 524713585, e-mail: contact@supwize.com
§1. Przedmiot i cel
- Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu niezbędnym do świadczenia usług platformy Supwize, zgodnie z umową główną / Regulaminem (dalej: „Umowa główna").
- Celem powierzenia jest umożliwienie Administratorowi korzystania z Platformy do zarządzania produkcją i powiązanymi procesami.
- Szczegółowy opis przetwarzania (charakter, cel, rodzaj danych, kategorie osób) zawiera Załącznik nr 1.
§2. Czas trwania
- Umowa obowiązuje przez czas trwania Umowy głównej.
- Po jej zakończeniu Procesor postępuje z danymi zgodnie z §8.
§3. Obowiązki Procesora
- Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora (za takie uznaje się również korzystanie z funkcji Platformy przez Administratora i jego użytkowników), chyba że obowiązek wynika z prawa — wówczas Procesor informuje o tym Administratora, o ile prawo tego nie zakazuje.
- Procesor zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania poufności lub podlegają ustawowemu obowiązkowi poufności.
- Procesor stosuje środki techniczne i organizacyjne zapewniające bezpieczeństwo danych zgodnie z art. 32 RODO — opisane w Załączniku nr 3.
- Procesor pomaga Administratorowi — w miarę możliwości i odpowiednimi środkami — w realizacji żądań osób, których dane dotyczą (rozdz. III RODO).
- Procesor pomaga Administratorowi w wypełnianiu obowiązków z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków, konsultacje z organem), uwzględniając charakter przetwarzania i dostępne mu informacje.
- Procesor udostępnia Administratorowi informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwia audyty na zasadach z §6.
- Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§4. Naruszenia ochrony danych
- Procesor zgłasza Administratorowi każde naruszenie ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od jego stwierdzenia.
- Zgłoszenie zawiera co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób oraz rekordów, prawdopodobne konsekwencje i podjęte lub proponowane środki zaradcze — w zakresie znanym Procesorowi.
§5. Podpowierzenie (dalsi procesorzy)
- Administrator wyraża ogólną zgodę na korzystanie przez Procesora z dalszych podmiotów przetwarzających (podprocesorów) wskazanych w Załączniku nr 2.
- Procesor informuje Administratora o zamierzonych zmianach dotyczących dodania lub zastąpienia podprocesorów, dając Administratorowi możliwość wyrażenia sprzeciwu w terminie 14 dni.
- Procesor nakłada na każdego podprocesora — w drodze umowy — obowiązki ochrony danych odpowiadające obowiązkom z niniejszej Umowy. Za działania podprocesora Procesor odpowiada jak za własne.
§6. Audyt
- Administrator ma prawo do przeprowadzenia audytu (w tym inspekcji) zgodności przetwarzania z Umową, po uprzednim powiadomieniu z co najmniej 14-dniowym wyprzedzeniem, w godzinach pracy i w sposób niezakłócający działalności Procesora.
- Procesor może wykazać zgodność również poprzez udostępnienie aktualnych certyfikatów, raportów lub wyników audytów zewnętrznych.
§7. Przekazywanie poza EOG
- Procesor i podprocesorzy przetwarzają dane w ramach Europejskiego Obszaru Gospodarczego. Przekazanie danych do państwa trzeciego następuje wyłącznie przy zastosowaniu mechanizmów z rozdziału V RODO (m.in. standardowe klauzule umowne — SCC).
§8. Zakończenie przetwarzania
- Po zakończeniu Umowy Procesor — według wyboru Administratora — usuwa lub zwraca dane oraz usuwa istniejące kopie, chyba że prawo nakazuje ich przechowywanie.
- Do czasu usunięcia Procesor udostępnia dane do eksportu przez 30 dni od zakończenia Umowy głównej.
§9. Odpowiedzialność
- Każda ze stron odpowiada za szkody wyrządzone przetwarzaniem naruszającym RODO na zasadach art. 82 RODO.
- Ograniczenia odpowiedzialności wynikające z Umowy głównej stosuje się odpowiednio, w granicach dopuszczalnych prawem.
§10. Postanowienia końcowe
- W sprawach nieuregulowanych stosuje się RODO oraz prawo polskie.
- Zmiany Umowy wymagają formy dokumentowej lub elektronicznej pod rygorem nieważności.
- W razie sprzeczności między niniejszą Umową a Umową główną — w zakresie ochrony danych — pierwszeństwo ma niniejsza Umowa.
Załącznik nr 1 — Opis przetwarzania
| Charakter i cel przetwarzania | Świadczenie usługi SaaS do zarządzania produkcją: przechowywanie, organizacja, prezentacja i przetwarzanie danych wprowadzonych do Platformy w celu obsługi procesów Administratora. |
|---|---|
| Rodzaj danych osobowych | dane identyfikacyjne i kontaktowe (imię, nazwisko, e-mail, telefon), dane pracownicze/służbowe (stanowisko, rola, przypisania zadań), dane kontrahentów, dane dotyczące zleceń i produkcji. |
| Kategorie osób | pracownicy i współpracownicy Administratora, jego klienci i kontrahenci, osoby kontaktowe. |
| Szczególne kategorie danych (art. 9) | Platforma nie jest przeznaczona do przetwarzania danych szczególnych kategorii. Administrator zobowiązuje się takich danych nie wprowadzać, chyba że strony ustalą inaczej. |
| Czas przetwarzania | przez czas trwania Umowy głównej. |
Załącznik nr 2 — Lista podprocesorów
| Podprocesor | Rola / zakres | Lokalizacja przetwarzania |
|---|---|---|
| Amazon Web Services (AWS) | hosting i infrastruktura chmurowa (EC2, RDS, S3, CloudFront) | UE (np. Frankfurt / Irlandia) |
| Google (Google Ireland Ltd.) | poczta e-mail, narzędzia biurowe, analityka | UE / USA (SCC) |
| Stripe Payments Europe, Ltd. | obsługa płatności i faktur | UE / USA (SCC) |
Załącznik nr 3 — Środki techniczne i organizacyjne (art. 32)
- szyfrowanie transmisji danych (TLS/HTTPS);
- kontrola dostępu oparta na rolach i uwierzytelnianie użytkowników;
- zasada minimalnego dostępu i rozdział środowisk (produkcja / staging);
- regularne kopie zapasowe i możliwość odtworzenia danych;
- logowanie zdarzeń i monitorowanie bezpieczeństwa;
- aktualizacje i zarządzanie podatnościami infrastruktury;
- umowy powierzenia / DPA z podprocesorami;
- procedura reagowania na naruszenia ochrony danych.
Administrator
data, podpis
data, podpis
Procesor (Supwize)
data, podpis
data, podpis