Umowa o przetwarzanie zleceń

wave

Umowa o przetwarzanie zleceń

pomiędzy

– (zwaną dalej „Klientem“) – [Osoba odpowiedzialna]

a

Veronym Polska Sp. z o.o.

Żytnia 15c/9, 01-014 Warszawa

– (zwaną dalej „Veronym“) – [Osoba przetwarzająca zamówienia]

została zawarta umowa o następującej treści.


  • Przedmiot umowy
  • Niniejsza umowa o przetwarzanie danych reguluje przetwarzanie przez Veronym danych osobowych Klienta w ramach korzystania z usług Veronym.
  • Veronym przetwarza dane osobowe Klienta z jego upoważnienia i na jego polecenie
    w rozumieniu art. 4 pkt. 2 i art. 28 ogólnego rozporządzenia o ochronie danych na podstawie niniejszej umowy.
  • Niniejsza umowa stanowi istotny element umowy zlecenia na świadczenie usługi chmurowej z zakresu cyberbezpieczeństwa.
  • Niniejsza umowa nie wyklucza ani nie ogranicza obowiązków ochrony danych Veronym lub Klienta.
  • Umowa zachowuje ważność tak długo, aż wszystkie dane osobowe zebrane i/lub zgromadzone w ramach umowy zostaną skasowane.
  • Veronym nie nabywa żadnych praw do danych osobowych użytkowników, z wyjątkiem praw koniecznych do udostępnienia chmury bezpieczeństwa (Security Cloud) Veronym.
  • Usługi Veronym
  • Veronym przetwarza dane osobowe wyłącznie w ramach niniejszej umowy, umowy zlecenia i Ogólnych Warunków Handlowych.
  • Rodzaj i cel przetwarzania przez Veronym danych osobowych dla Klienta wynikają
    z umowy zlecenia na świadczenie usługi chmurowej z zakresu cyberbezpieczeństwa.
  • Veronym przestrzega zasad prawidłowego przetwarzania danych i pracuje w ramach ogólnych przepisów ustawy o ochronie danych.
  • Kategorie danych

Rodzaje/kategorie danych będących przedmiotem zbierania, przetwarzania
i wykorzystywania danych osobowych znajdują się w Załączniku 1 do niniejszej umowy.

  • Kategorie osób, których dane dotyczą:

Krąg osób, których dotyczy przetwarzanie danych w ramach niniejszego zlecenia, obejmuje następujące kategorie osób:

  • Przedstawiciele i użytkownicy końcowi Klienta, tacy jak np.:
  • pracownicy
  • zleceniobiorcy
  • kooperanci
  • klienci

  • Terytorium

Zbieranie, przetwarzanie i wykorzystywanie danych odbywa się wyłącznie na terytorium Republiki Federalnej Niemiec, w państwie członkowskim Unii Europejskiej lub w innym państwie-sygnatariuszu umowy o Europejskim Obszarze Gospodarczym. Każde przeniesienie do państwa trzeciego wymaga uprzedniej pisemnej zgody Klienta.

  • Obowiązki Veronym
  • Veronym przetwarza dane osobowe wyłącznie w ramach zlecenia lub na udokumentowane polecenia Klienta, o ile w celu innego przetwarzania danych nie jest do tego zobowiązany przez prawo Unii lub państw członkowskich, do których należy Veronym, (np. dochodzenie organów ścigania lub organów ochrony państwa). W takim wypadku zleceniobiorca zgłosi zleceniodawcy te wymagania prawne przed przetwarzaniem danych, o ile dane prawo nie zakazuje takiego zgłoszenia ze względu na ważny interes publiczny.
  • Veronym niezwłocznie zwróci Klientowi uwagę, jeżeli wydane przez Klienta polecenie według opinii Veronym narusza przepisy ustawowe.
  • Veronym jest zobowiązany przy danej okazji, ale przynajmniej raz w roku, zgodnie z art. 32 ust. 2 lit. d ogólnego rozporządzenia o ochronie danych przeprowadzić kontrolę
    i ocenę skuteczności działań technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych. Na zapytanie Klienta należy go poinformować
    o wyniku.
  • Veronym umożliwi i będzie wspierać kontrole, jakie będą wykonywane u zleceniodawcy przez Klienta lub zatrudnionego przez niego rewidenta. Klientowi jest wiadomo, że Veronym prowadzi wirtualne instancje chmury, tak więc możliwości kontroli mogą być ograniczone.
  • Veronym wykaże Klientowi za pomocą odpowiednich środków przestrzeganie obowiązków spisanych w niniejszej umowie.
  • Veronym zamówi pełnomocnika do spraw ochrony danych, którego dane kontaktowe zostaną podane zleceniodawcy w celu nawiązania bezpośredniego kontaktu. Klientowi należy niezwłocznie zgłosić zmianę pełnomocnika do spraw ochrony danych.
  • pełnomocnik Veronym do spraw ochrony danych:

datenschutz@veronym.de

  • Obowiązki Klienta
  • Za ocenę dopuszczalności przetwarzania danych oraz za ochronę praw osób, których dane dotyczą, w szczególności własnych pracowników jest wyłącznie odpowiedzialny Klient.
  • Klient odpowiada za uzyskanie i aktualność wszystkich wymaganych pozwoleń na przetwarzanie danych i informacji dotyczących przetwarzania danych, w szczególności pracowników Klienta.
  • Klient jest zobowiązany traktować poufnie wszystkie uzyskane w ramach stosunku umownego informacje o tajemnicach handlowych i środkach w zakresie bezpieczeństwa danych Veronym. Obowiązek ten obowiązuje nadal także po ustaniu niniejszej umowy.
  • Klient będzie wspierać Veronym przy obronie przed roszczeniami w przypadku wystąpienia osoby, której dane dotyczą, z roszczeniami w stosunku do Veronym zgodnie z art. 82 ogólnego rozporządzenia o ochronie danych.
  • Stosunek podzlecenia z podwykonawcami
  • Stosunek podzlecenia z podwykonawcami zachodzi wówczas, jeżeli Veronym zleci kolejnym osobom przetwarzającym zlecenie wykonanie całej lub części usługi z usług ustalonych w umowie.
  • Usługi ustalone w umowie zostaną ewentualnie wykonane przez następujących zatrudnionych podwykonawców:

Nazwa i adres podwykonawcy

CrowdStrike
150 Mathilda Place, Sunnyvale, CA 94068

Dane kontaktowe

e-mail:
privacy@crowdstrike.com

Opis usług częściowych

Veronym Device Security


Nazwa i adres podwykonawcy

Palo Alto Networks Inc.
Santa Clara, Kalifornia, USA

Dane kontaktowe

e-mail:
privacy@paloaltonetworks.com

Opis usług częściowych

Veronym Internet Security


Nazwa i adres podwykonawcy

Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy,
L-1855 Luxembourg, R.C.S.

Dane kontaktowe

formularz kontaktowy:
https://aws.amazon.com/de/contact-us/

Opis usług częściowych

Veronym Internet Security


  • Klient wie, że są to podwykonawcy z państw trzecich. Klient zgadza się na tych podwykonawców.
  • Zleceniobiorca jest uprawniony w ramach swoich obowiązków umownych do zastąpienia wyżej wymienionych podwykonawców. Ma on obowiązek wcześniej powiadomić o tym Klienta. Klient może wnieść sprzeciw przeciwko takiemu zastąpieniu i zatrudnieniu dalszych podwykonawców.
  • Veronym jest zobowiązany zadbać o staranny wybór podwykonawcy, ze szczególnym uwzględnieniem przydatności podjętych przez niego działań technicznych
    i organizacyjnych w rozumieniu art. 32 ogólnego rozporządzenia o ochronie danych.
  • Zatrudnienie podwykonawców w państwach trzecich może nastąpić tylko wówczas, jeżeli zostały spełnione szczególne przesłanki określone w art. 44 i nast. ogólnego rozporządzenia o ochronie danych.
  • Veronym jest zobowiązany zapewnić w umowie, żeby ustalenia dokonane między Klientem a Veronym mają zastosowanie także do podwykonawców.
  • Zgłoszenie naruszeń przez Veronym przepisów o ochronie danych
  • Veronym zgłosi Klientowi we wszystkich przypadkach naruszenia przez niego lub osoby przez niego zatrudnione przepisów o ochronie danych osobowych Klienta lub ustaleń dokonanych w zleceniu.
  • Veronym jest wiadomo, że może istnieć obowiązek udzielenia informacji w przypadku utraty lub bezprawnego przekazania lub uzyskania danych osobowych. Z tego względu takie zdarzenia należy niezwłocznie zgłosić Klientowi bez patrzenia na przyczynę. To dotyczy także technicznego przebiegu produkcji, podejrzenia o inne naruszenia przepisów o ochronie danych osobowych lub innych nieprawidłowości w przetwarzaniu danych osobowych Klienta. Veronym jest zobowiązany w porozumieniu z Klientem podjąć stosowne działania w celu zabezpieczenia danych oraz ograniczenia możliwych negatywnych skutków dla osób, których dane dotyczą.
  • Uprawnienie Klienta do udzielania poleceń
  • Strony ustalają, że przetwarzanie danych odbywać się będzie wyłącznie w ramach dokonanych ustaleń i na polecenie Klienta. Klient zastrzega sobie w ramach opisu zlecenia ustalonego w niniejszej umowie szerokie prawo udzielania poleceń dotyczących rodzaju, zakresu i metody przetwarzania danych, które może konkretyzować przez udzielenie poszczególnych poleceń. Zmiany przedmiotu przetwarzania i zmiany metody należy wspólnie uzgodnić i udokumentować. Veronym może udzielać informacji osobom trzecim lub osobie, której dane dotyczą, tylko po uprzedniej pisemnej zgodzie Klienta.
  • Klient niezwłocznie potwierdzi polecenia ustne na piśmie lub mailem (w formie tekstowej). Veronym nie będzie wykorzystywać danych do innych celów,
    a w szczególności nie ma prawa przekazywać ich osobom trzecim. Veronym nie wolno sporządzać kopii i duplikatów bez wiedzy Klienta. Wyjątek stanowią kopie backupowe, jeśli są konieczne do zapewnienia prawidłowego przetwarzania danych, oraz dane, które są konieczne odnośnie przestrzegania ustawowego obowiązku ich przechowywania.
  • Veronym jest zobowiązana zgodnie z § 11 ust. 3 zd. 2 ustawy federalnej o ochronie danych niezwłocznie poinformować Klienta, jeżeli jest zdania, że polecenie Klienta narusza przepisy ustawy o ochronie danych. Veronym ma prawo wstrzymać wykonanie odpowiedniego polecenia do czasu jego potwierdzenia lub zmiany przez osobę odpowiedzialna u Klienta.
  • Zwrot nośników informacji i kasowanie danych
  • Strony są zgodne, że po zakończeniu prac zgodnie z umową lub wcześniej na wezwanie Klienta – nie później niż z chwilą ustania umowy zlecenia – Veronym zwróci Klientowi wszelkie znajdujące się w jej posiadaniu dokumenty, opracowane wyniki przetwarzania lub wykorzystania oraz zasoby danych związane ze zleceniem lub zniszczy je zgodnie
    z ustawą o ochronie danych po uprzedniej pisemnej zgodzie Klienta. To samo dotyczy materiałów testowych i odpadów. Klientowi należy na żądanie przedstawić protokół kasowania danych.
  • Veronym ma prawo po ustaniu umowy przechowywać dokumentację będące dowodem zgodnego ze zleceniem i prawidłowego przetwarzania danych zgodnie z danymi okresami przechowywania danych. Veronym może przekazać je Klientowi w momencie zakończenia umowy.
  • Działania techniczne i organizacyjne

Do przetwarzania konkretnego zlecenia Veronym zapewni poziom ochrony właściwy dla ryzyka związanego z prawami i swobodami osób, których dotyczą przetwarzane dane. W tym celu cele ochrony określone w art. 32 ust. 1 ogólnego rozporządzenia o ochronie danych, takie jak poufność, integralność i dostępność systemów i usług oraz ich wytrzymałość odnośnie rodzaju, zakresu i celu przetwarzania danych zostaną uwzględnione w taki sposób, że dzięki odpowiednim technicznym
i organizacyjnym środkom zaradczym na dłuższą metę ryzyko zostanie zlikwidowane.

  • Czas trwania, wypowiedzenie zlecenia
  • Czas trwania niniejszej umowy jest dostosowany do czasu trwania umowy
    -zlecenia zawartej pomiędzy Veronym a Klientem, o ile z niniejszej umowy nie wynikają wykraczające ponad to obowiązki lub prawa wypowiedzenia umowy.
  • Czas trwania niniejszego zlecenia jest zgodny z czasem trwania umowy zlecenia, o ile ze specyfiki niniejszego zamówienia nie wynika nic innego.
  • Nie narusza to prawa żadnej ze Stron do wypowiedzenia umowy ze skutkiem natychmiastowym z ważnej przyczyny.
  • Klient może wypowiedzieć umowę w szczególności w każdym czasie bez zachowania okresu wypowiedzenia, jeżeli zachodzi poważne naruszenie przez zleceniobiorcę przepisów ustawy o ochronie danych lub postanowień niniejszej umowy, Veronym nie może lub nie chce wykonać polecenia Klienta lub Veronym wbrew umowie odmawia Klientowi prawa do kontroli. Poważne naruszenie stanowi w szczególności niedochowanie obowiązków ustalonych w niniejszej umowie i wynikających z art. 28 ogólnego rozporządzenia o ochronie danych.
  • Prawo właściwe, miejsce wykonania zobowiązania, właściwość sądu
  • Do niniejszej umowy ma zastosowanie prawo niemieckie.
  • Miejscem wykonania zobowiązania jest Berlin.
  • Sądem właściwym do rozstrzygania sporów wynikających z niniejszej umowy jest wyłącznie sąd w Berlinie.
  • Inne postanowienia
  • Zmiany, uzupełnienia i aneksy do niniejszej umowy są ważne tylko wówczas, jeżeli zostaną ustalone między Stronami w formie pisemnej. Dotyczy to także zmiany niniejszego postanowienia umownego.
  • Jeżeli poszczególne postanowienia umowy będą lub staną się nieskuteczne, nie
    narusza to skuteczności pozostałych postanowień umowy. Strony zobowiązują się zastąpić nieskuteczne postanowienie postanowieniem skutecznym najbardziej zbliżonym do gospodarczego celu nieskutecznego postanowienia. To samo dotyczy
    w przypadku luki w umowie.