Ostatnia aktualizacja: 15.05.2026
UMOWA POWIERZENIA
zawarta w dniu zaakceptowania przez Klienta Regulaminu korzystania z programu Planujgrafik pomiędzy:
Administrator i Procesor są zwani dalej łącznie „Stronami”, a każdy z nich z osobna „Stroną”.
Artykuł 1 Zasady ogólne
1.1. [Stosowanie przepisów] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako: „RODO” oraz Ustawa z dnia 10 maja 2018 r. o Ochronie Danych Osobowych (Dz. U. z 2018 r., poz. 1000 z późn. zm.), zwana dalej jako „Ustawa jest stosowane od 25 maja 2018 r. W związku z powyższym, Podmiot przetwarzający jest zobowiązany przestrzegać RODO od dnia rozpoczęcia jego stosowania.
1.2. [Administrator i Podmiot przetwarzający] Strony zgadzają się co do tego, że Administrator jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO, powierzonych do przetwarzania Podmiotowi przetwarzającemu wskazanemu powyżej. Administrator jest jedynym podmiotem uprawnionym do decydowania o celach i środkach przetwarzania danych osobowych. Podmiot przetwarzający jest podmiotem, o którym mowa w art. 28 RODO.
1.3. [Zgodność z prawem] Podmiot przetwarzający przetwarza dane osobowe w zakresie i w sposób zgodny z Umową oraz RODO (od dnia 25 maja 2018r.). Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Strony przyjmują, że niniejsza Umowa stanowi udokumentowanie polecenie Administratora w rozumieniu zdania poprzedzającego.
1.4. [Profesjonalna staranność] Podmiot przetwarzający przetwarza dane zachowując najwyższy profesjonalny standard staranności w celu zagwarantowania prawnych, organizacyjnych i technicznych środków ochrony interesu Administratora związanego z przetwarzaniem.
1.5. [Nadzór] Podmiot przetwarzający udostępnia Administratorowi wszystkie informacje i dokumenty niezbędne do wykazania zgodności z obowiązkami nałożonymi przez Umowę, RODO, a także umożliwia i przyczynia się do przeprowadzenia audytów, w tym inspekcji przeprowadzanych przez Administratora lub innego audytora działającego z polecenia Administratora.
1.6. [Zakres danych osobowych] Zakres danych osobowych powierzonych do przetwarzania na podstawie niniejszej Umowy dane osobowe zwykłe / zwykłe i wrażliwe dotyczące: a) dane osobowe pracowników i współpracowników Klienta
b) dane osobowe niezbędne do korzystania z platformy
1.7. [Cel przetwarzania] Dane osobowe powierzone Podmiotowi przetwarzającemu na podstawie niniejszej Umowy są przetwarzane w celu realizacji umowy dotyczącej korzystania z platformy Planujgrafik
1.8. [Terytorium] Dane osobowe powierzone Podmiotowi przetwarzającemu na mocy niniejszej
Umowy mogą być przetwarzane na terytorium:
a) Europejskiego Obszaru Gospodarczego i/lub
b) państw, które zgodnie z decyzją Komisji Europejskiej zapewniają odpowiedni stopień
ochrony danych osobowych i/lub
c) Stanów Zjednoczonych, ale pod warunkiem, że Podmiot przetwarzający jest
uczestnikiem programu EU-US Data Privacy Framework
1.9. [Terytorium państwa trzeciego] W przypadku, jeżeli dane osobowe przetwarzane są na terytorium państwa innego niż wymienione w punkcie 1.8. powyżej, Strony zawrą porozumienie zawierające standardowe klauzule umowne, o których mowa w art. 28 „RODO”.
1.10. [Rozliczalność] Podmiot przetwarzający musi być w stanie wykazać przestrzeganie postanowień niniejszej Umowy oraz odpowiednio RODO. W tym celu, Podmiot przetwarzający wprowadza wewnętrzne polityki ochrony danych, przechowuje odpowiednią dokumentację dotyczącą przetwarzania danych oraz przeprowadza cykliczne wewnętrzne oraz zewnętrzne audyty przetwarzania danych.
1.11. [Szczególne kategorie danych] Podmiot przetwarzający przyjmuje do wiadomości, że dane osobowe powierzone mu do przetwarzania mogą obejmować dane wrażliwe/szczególne kategorie danych osobowych w rozumieniu art. 9(1) RODO. Podmiot przetwarzający rozumie i potwierdza, że przetwarzanie danych wrażliwych/szczególnych kategorii danych osobowych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, wobec czego ich przetwarzanie wymaga zachowania najwyższych standardów staranności i bezpieczeństwa.
1.12. [Sposób przekazania danych]. Przekazanie powierzonych danych osobowych nastąpi:
poprzez nadanie dostępu do systemów teleinformatycznych Administratora,
1.13. Jeżeli przekazanie powierzonych danych osobowych nastąpi poprzez nadanie dostępu do systemów teleinformatycznych Administratora, to należy spełnić warunków wynikających z wewnętrznych procedur dostępu do systemów teleinformatycznych Administratora. Po wygaśnięciu lub rozwiązaniu niniejszej Umowy, Administrator odbierze Podmiotowi Przetwarzającemu dostęp do systemów teleinformatycznych, w których przetwarzane były powierzone mu dane osobowe, zgodnie z zasadami określonymi w procedurach, o których mowa w zdaniu pierwszym.
2. Artykuł 2 Integralność danych i środki bezpieczeństwa
2.1. [Integralność] Podmiot przetwarzający przetwarza dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym za pomocą odpowiednich środków technicznych i organizacyjnych zapewnia ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
2.2. [Odpowiednie środki bezpieczeństwa] Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni względem ryzyka.
2.3. [Współdziałanie] Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Podmiot przetwarzający wspiera Administratora w wywiązywaniu się z obowiązków wynikających z art. 32-36 RODO (w szczególności, w zakresie obowiązku przeprowadzenia oceny skutków dla ochrony danych, o której mowa w art. 35 RODO).
2.4. [Naruszenie ochrony danych osobowych] Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, bez zbędnej zwłoki informuje o nim Administratora (naruszenie ochrony danych osobowych). Poinformowanie, o którym mowa w zdaniu pierwszym nastąpi niezwłocznie od chwili stwierdzenia naruszenia na adres podany przez Administratora.
2.5. [Opis zgłoszenia naruszenia] Zgłoszenie opisane w ust. 2.4 powyżej powinno zawierać m.in.
▪ datę i godzinę zdarzenia
▪ opis charakteru i okoliczności naruszenia danych osobowych,
▪ charakter i treść danych osobowych, których dotyczyło naruszenie,
▪ liczbę osób, których dotyczyło naruszenie,
▪ opis potencjalnych konsekwencji i niekorzystnych skutków naruszenia danych
osobowych dla osób, których dane dotyczą,
▪ opis środków technicznych i organizacyjnych, które zostały lub mają być zastosowane w
celu złagodzenia potencjalnych niekorzystnych skutków naruszenia danych osobowych,
▪ dane kontaktowe do osoby, od której można uzyskać więcej informacji na temat
zgłoszonego naruszenia danych osobowych,
▪ inne informacje jakie zostaną ustalone przez Strony w toku wykonywania Umowy oraz za
pośrednictwem poczty elektronicznej.
2.6. [Polecenia] Podmiot przetwarzający podejmuje działania w celu zapewnienia by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że wymaga tego od niej przepis obowiązującego prawa.
Artykuł 3 Prawa osób, których dane dotyczą
3.1. [Prawa osób, których dane dotyczą] Biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający, poprzez odpowiednie środki techniczne i organizacyjne oraz w miarę możliwości, wspiera Administratora w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych m.in. w rozdziale III RODO. Podmiot przetwarzający wspiera Administratora w szczególności w zapewnianiu, że dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do, celów dla których dane te są przetwarzane.
3.2. [Obowiązki notyfikacyjne] W ramach obowiązku, o którym mowa w punkcie poprzedzającym:
▪ Podmiot przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora, jednak nie później niż w terminie 48 godzin od otrzymania zgłoszenia przez osobę, której dane dotyczą, o żądaniu w zakresie realizacji praw tej osoby;
▪ Podmiot przetwarzający udziela Administratorowi wszelkich informacji niezbędnych do zrealizowania żądania osoby, której dane dotyczą lub ujawnia powierzone dane osobowe (lub w stosownych przypadkach – ich kopie) w terminie 5 dni roboczych od daty zażądania informacji przez Administratora;
▪ Podmiot przetwarzający prowadzi rejestr żądań osób, których dane dotyczą, zamierzających skorzystać z przysługujących im uprawnień w zakresie przetwarzania danych osobowych w odniesieniu do żądań, które zostały skierowane bezpośrednio do Podmiotu przetwarzającego. Rejestr ten udostępnia Administratorowi na jego żądanie, w terminie 48 godzin od jego zgłoszenia;
▪ Podmiot przetwarzający nie udziela osobom, których dane dotyczą, odpowiedzi na złożone przez nie wnioski, z wyjątkiem przypadków, gdy otrzyma w tym zakresie wyraźne polecenie Administratora.
Artykuł 4 Podprocesor
4.1. [Podprocesor] Podmiot przetwarzający może skorzystać z usług innego podmiotu przetwarzającego (Podprocesor) w drodze zawarcia z tym podmiotem pisemnej umowy pod warunkiem, że Administrator udzielił Podmiotowi przetwarzającemu uprzedniej pisemnej, pod rygorem nieważności, zgody (zgoda szczególna w rozumieniu art. 28 ust. 2 RODO) na skorzystanie z usług innego podmiotu przetwarzającego, przy czym za Podprocesora w rozumieniu Umowy nie uważa się osób fizycznych, którymi posługuje się Podmiot Przetwarzający, niezależnie od formy ich zatrudnienia i za których działania lub zaniechania ponosi odpowiedzialność, z włączeniem osób prowadzących indywidualną działalność gospodarczą.
4.2. [Cel] Podprocesor powołany zgodnie z pkt 4.1. powyżej przetwarza dane osobowe w zakresie określonym w pkt 1.6. – 1.8. powyżej.
4.3. [Terytorium] Podmiot przetwarzający może korzystać wyłącznie z usług tych Podprocesorów, którzy przetwarzają dane osobowe w ramach terytorium określonego w pkt 1.8 powyżej. W jakichkolwiek przypadkach Podmiot przetwarzający ma obowiązek zawrzeć w umowie z Podprocesorem postanowienia analogiczne do tych jakie zawarto w niniejszej Umowie oraz uzyskać zgodę Administratora wyrażoną w formie pisemnej oraz pod rygorem nieważności.
4.4. [Profesjonalność] Podmiot przetwarzający korzysta z usług wyłącznie takich Podprocesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą.
4.5. [Nadzór Podmiotu przetwarzającego] Podmiot przetwarzający nadzoruje Podprocesora w przetwarzaniu powierzonych mu danych.
4.6. [Zgodność] Podprocesor podlega tym samym obowiązkom wynikającym z niniejszej Umowy oraz RODO, co Podmiot przetwarzający.
Artykuł 5 Kontrola
5.1. [Prawo do kontroli] Administrator zastrzega sobie prawo do przeprowadzania kontroli, czy przetwarzanie przez Podmiot Przetwarzający powierzonych danych osobowych jest zgodne z postanowieniami Umowy i przepisami obowiązującego prawa.
5.2. [Dostęp do pomieszczeń] W trakcie kontroli przedstawiciele Administratora będą mieli prawo do wstępu do pomieszczeń Podmiotu Przetwarzającego, w których są przetwarzane powierzone dane osobowe, po uprzednim uzgodnieniu, z Podmiotem Przetwarzającym stosownie do okoliczności terminu kontroli.
5.3. [Termin kontroli] Podmiot Przetwarzający będzie informowany o terminie kontroli z wyprzedzeniem minimum 7 dni (słownie siedmiu dni). Powiadomienie o kontroli będzie określało przedmiot kontroli oraz wskazanie osób upoważnionych do prowadzenia kontroli w imieniu Administratora.
5.4. [Zakres kontroli] Kontrola przedstawicieli Administratora określona w ust. 5.1 może dotyczyć wyłącznie sposobu przetwarzania powierzonych danych osobowych, wglądu do dokumentacji wymaganej na gruncie RODO, przeprowadzania oględzin nośników i systemów teleinformatycznych służących do przetwarzania powierzonych danych osobowych w celu weryfikacji zabezpieczeń stosowanych przy przetwarzaniu powierzonych danych osobowych. Kontrola może także dotyczyć jakichkolwiek innych okoliczności faktycznych wzbudzających uzasadnione wątpliwości Administratora.
5.5. [Protokół z kontroli] Z kontroli zostanie sporządzony protokół podpisany przez obie Strony, którego jeden egzemplarz zatrzyma Podmiot Przetwarzający.
5.6. [Zastrzeżenia do protokołu] Podmiot Przetwarzający może wnieść zastrzeżenia do protokołu z kontroli w ciągu 7 dni roboczych od daty jego podpisania, przez Strony.
Artykuł 6 Poufność
6.1. [Ujawnienie] O ile niniejsza Umowa nie stanowi inaczej, Podmiot przetwarzający nie ujawnia powierzonych mu danych, ani bezpośrednio ani w jakimkolwiek kontekście.
6.2. [Pracownicy] Podmiot przetwarzający zobowiązuje pracowników, którzy przetwarzają dane osobowe na podstawie niniejszej Umowy, do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem danych i do podpisania odpowiednych oświadczeń o zachowaniu poufności przed przystąpieniem do wykonywania obowiązków pracowniczych.
6.3. [Okres czasu] Podmiot przetwarzający zachowuje w poufności wszelkie informacje związane z powierzeniem mu danych do przetwarzania oraz wszystkie dane osobowe powierzone mu na mocy niniejszej Umowy, w okresie trwania niniejszej Umowy i przez czas nieoznaczony po zakończeniu jej obowiązywania.
Artykuł 7 Okres obowiązywania Umowy
7.1. [Okres obowiązywania Umowy] Umowa zostaje zawarta na czas nieoznaczony, nie dłuższy niż jest to konieczne z punktu widzenia celów przetwarzania danych.
7.2. [Wypowiedzenie Umowy przez Administratora z zachowaniem okresu wypowiedzenia] Umowa może zostać wypowiedziana przez Administratora z zachowaniem 3-miesięcznego okresu wypowiedzenia. Wypowiedzenie powinno zostać dokonane – pod rygorem nieważności – w formie pisemnej.
7.3. [Wypowiedzenie Umowy przez Administratora ze skutkiem natychmiastowym] Umowa może zostać wypowiedziana przez Administratora ze skutkiem natychmiastowym w przypadku naruszenia przez Podmiot przetwarzający lub Podprocesora któregokolwiek z postanowień Umowy lub przepisów prawa znajdujących zastosowanie do niniejszej Umowy.
Artykuł 8 Odpowiedzialność
8.1. [Odpowiedzialność Podmiotu przetwarzającego] Odpowiedzialność Stron z tytułu utraconych korzyści zostaje wyłączona. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodne z treścią Umowy, a w szczególności za udostępnienie powierzonych mu do przetwarzania danych osobowych osobom nieupoważnionym. dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
8.2. [Zawiadomienie] Podmiot przetwarzający niezwłocznie informuje Administratora o wszystkich postępowaniach, w szczególności administracyjnych i sądowych, dotyczących przetwarzania danych osobowych w zakresie danych powierzonych Podmiotowi przetwarzającemu (lub Podprocesorowi), oraz o wszystkich decyzjach administracyjnych i sądowych dotyczących przetwarzania danych, a także o kontrolach dotyczących przetwarzania danych w zakresie powierzenia.
8.3. [Współpraca] W przypadku wystąpienia przez osobę trzecią z roszczeniem przeciwko Podmiotowi Przetwarzającemu oraz/lub Administratorowi w związku naruszeniem zasad przetwarzania danych, Podmiot przetwarzający jest zobowiązany do współpracy z Administratorem w celu podjęcia odpowiednich środków prawnych w szczególności w celu oddalenia lub odrzucenia roszczenia osoby trzeciej przez sąd właściwy, złożenia odwołania i zawarcia ugody lub innego środka prawnego.
Artykuł 9 Postanowienia końcowe
9.1. [Okres obowiązywania Umowy] Umowa zostaje zawarta na okres nie dłuższy niż jest to konieczne z punktu widzenia celów przetwarzania danych osobowych powierzonych na podstawie Umowy.
9.2. [Zakończenie Umowy] Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, zależnie od decyzji Administratora:
a. Podmiot przetwarzający na żądanie Administratora usuwa lub zwraca mu wszelkie dane osobowe powierzone na podstawie niniejszej Umowy oraz usuwa wszelkie ich istniejące kopie, chyba że przepisy obowiązującego prawa nakazują przechowywanie danych osobowych. Podmiot przetwarzający potwierdza usunięcie lub zwrot danych osobowych oświadczeniem złożonym zgodnie ze wzorem stanowiącym Załącznik nr 1 do niniejszej Umowy.
b. Administrator odbierze Podmiotowi przetwarzającemu dostęp do systemów teleinformatycznych, w których przetwarzane były powierzone mu dane osobowe, zgodnie z zasadami określonymi w procedurach Administratora.
9.3. [Klauzula salwatoryjna] Jeżeli którekolwiek z postanowień niniejszej Umowy okaże się z jakiegokolwiek powodu nieważne lub nieskuteczne, pozostałe postanowienia pozostają w mocy, a Strony zobowiązują się na wniosek którejkolwiek z nich do zastąpienia tych nieważnych (nieskutecznych) postanowień, postanowieniami mającymi moc prawną i skutek ekonomiczny możliwie najbardziej zbliżony do zastępowanego postanowienia.
9.4. [Prawo właściwe] Umowa oraz wynikające z niej prawa i obowiązki Stron podlegają przepisom prawa obowiązującego na terytorium Rzeczypospolitej Polskiej. Wszelkie spory powstałe w związku z niniejszą Umową będzie rozstrzygał wyłącznie Sąd właściwy dla siedziby Administratora. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.