§ 1
Definicje
Ilekroć w Umowie jest mowa o:
1. Administratorze danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
2. Danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
3. Przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany,
tj. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
4. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
5. RODO – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1).
§ 2
Oświadczenia stron
1. Zleceniodawca powierza PIK przetwarzanie danych osobowych w zakresie i w celu objętym Umową.
2. Zleceniodawca oświadcza, że jest administratorem danych osobowych w rozumieniu RODO, które to dane przetwarza zgodnie z obowiązującymi przepisami prawa.
3. Zleceniodawca oświadcza, że zawiera Umowę w celu bezpośrednio związanym z jego działalnością gospodarczą.
4. PIK oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami RODO.
§ 3
Powierzenie przetwarzania danych osobowych
1. PIK może przetwarzać dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie i w celu określonym w Umowie.
2. Zakres przetwarzania obejmuje dane osobowe pracowników Zleceniodawcy (zwykłe oraz należące
do specjalnych kategorii), w tym: imię i nazwisko, pesel, adres zameldowania, adres korespondencyjny, adres mailowy, data i miejsce urodzenia, nr dowodu osobistego i paszportu, lokalizacja samochodu – dane GPS, obywatelstwo, informacje o mandatach, karach, zatrzymaniach.
3. Dane osobowe będą przetwarzane przez PIK tylko i wyłącznie w celu realizacji usług/usługi, które są świadczone na podstawie odrębnej/nych umowy/umów zawartej/zawartych pomiędzy Stronami.
4. Przetwarzanie powierzonych danych odbywać się będzie przy wykorzystaniu systemów informatycznych.
§ 4
Obowiązki Procesora
1. Procesor będzie przetwarzał powierzone mu dane osobowe na warunkach i zgodnie z treścią obowiązujących przepisów prawa.
2. Przetwarzanie powierzonych danych odbywać się będzie w zgodzie z postanowieniami właściwych w zakresie przetwarzania danych osobowych przepisów prawa.
3. Procesor oświadcza, że przetwarzanie powierzonych mu danych osobowych, odbywa się z poszanowaniem przepisów RODO oraz wydanych na jego podstawie krajowych przepisów z zakresu ochrony danych osobowych.
4. W związku z powierzeniem przetwarzania danych osobowych Procesor zobowiązuje się do:
a) przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora,
b) zapewnienia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się
do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
c) podjęcia wszelkich środków gwarantujących bezpieczeństwo powierzonych do przetwarzania danych osobowych,
d) przestrzegania określonych w Umowie warunków podpowierzenia przetwarzania danych osobowych innemu podmiotowi,
e) aktywnej współpracy z Administratorem przez cały okres trwania powierzenia przetwarzania danych osobowych – w zakresie zagwarantowania bezpieczeństwa danych osobowych.
5. Procesor zobowiązuje się niezwłocznie zawiadomić Administratora o:
a) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Administratora wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,
b) każdym nieupoważnionym dostępie do danych osobowych,
c) każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba że zostanie do tego upoważniony przez Administratora.
6. Procesor, na każdy pisemny wniosek Administratora, zobowiązany jest do udzielenia odpowiedzi,
na skierowane przez Administratora pytania dotyczące kwestii związanych z przetwarzaniem powierzonych danych osobowych. Odpowiedzi Procesor udzieli niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania wniosku Administratora.
7. W przypadku ujawnienia okoliczności uznanych przez Administratora za uchybienia w zakresie wykonywania Umowy lub obowiązujących w tym zakresie przepisów prawa, Procesor zobowiązuje się do ich usunięcia w wyznaczonym terminie.
§ 5
Podpowierzenie
1. Procesor ma prawo podpowierzania danych osobowych, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w umowie (ogólna zgoda Administratora na podpowierzenie przetwarzania danych osobowych).
2. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający, w drodze zawartej pomiędzy tym podmiotem a Procesorem umowy, nałożone zostaną te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych.
§ 6
Usunięcie lub zwrot danych osobowych
1. W zależności od decyzji Administratora w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia trwania Umowy, Procesor jest zobowiązany do usunięcia lub zwrotu wszelkich powierzonych mu danych osobowych, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych.