Rodo

Klauzula Informacyjna OSME

1) administratorem Pani/Pana danych osobowych jest Ogólnopolskie Stowarzyszenie Praktyków Medycyny Estetycznej z siedzibą w Poznaniu przy ul. Przemysłowej nr 15/17 lok. 213, wpisaną do rejestru KRS pod numerem: 0000865733 Sąd Rejonowy dla Poznań Nowe Miasto i Wilda w Poznaniu, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego NIP: 7831827711

2) Pani/Pana dane osobowe przetwarzane będą w celu związanym z wykonaniem umowy cywilnoprawnej lub do podjęcia działań na Pani/Pana żądanie przed zawarciem w/w umowy (na podstawie art. 6 ust. 1 lit. b RODO).

3) Pani/Pana dane osobowe będą przechowywane przez okres wymagany przepisami prawa, celem realizacji umowy cywilnoprawnej zawartej z Administratorem danych oraz przez okres przedawnienia roszczeń z tytułu tej umowy;

4) posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, co do danych osobowych, których podanie jest dobrowolne.

5) ma Pan/Pani prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO;

6) podanie przez Pana/Panią danych osobowych jest dobrowolne, ale konieczne dla celów związanych z zawarciem i wykonaniem umowy cywilnoprawnej.

Powierzenie przetwarzania danych osobowych

  1. Strony zgodnie oświadczają, że zawarły umowę agencyjną na mocy, której Podmiot przetwarzający świadczy ww. usługi na rzecz Administratora (zwana w dalszej części umowy Umową Podstawową). W przypadku zawarcia przez Strony niniejszej umowy kilku Umów Podstawowych, postanowienia niniejszej umowy mają odpowiednie zastosowanie do każdej z nich.
  2. W związku z zawarciem umowy wskazanej w ust. 1 powyżej, Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego w dalszej części „Rozporządzeniem”) dane osobowe, do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
  3. Administrator oświadcza, że jest Administratorem danych osobowych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.
  4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
  5. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§ 2

Zakres i cel przetwarzania danych

  1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie niniejszej umowy dane osobowe. Przetwarzanie obejmować będzie wyłącznie zwykłe dane osobowe. Przetwarzanie nie będzie obejmować danych szczególnych kategorii ani danych karnych. Przetwarzanie będzie dotyczyć danych pracowników oraz współpracowników Administratora, zleceniobiorców Administratora oraz osób zatrudnionych u Administratora lub świadczących usługi dla Administratora na innej podstawie prawnej, których dane osobowe przetwarzane są celem prawidłowego wykonania przez Strony postanowień Umowy Podstawowej.
  2. Charakter i cel przetwarzania wynikają z Umowy Podstawowej.

§ 3

Obowiązki podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o którym mowa w art. 32 Rozporządzenia.
  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
  3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy oraz Umowy Podstawowej. Podmiot przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji niniejszej umowy oraz Umowy Podstawowej i posiadających odpowiednie upoważnienie.
  4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, zgodnie z art. 28 ust 3 pkt b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. W tym celu Podmiot przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych w wykonaniu umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
  5. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych powierzonych na mocy niniejszej umowy, w tym rejestru czynności przetwarzania danych osobowych (art. 30 Rozporządzenia). Podmiot przetwarzający udostępniania na żądanie Administratora prowadzony rejestr czynności przetwarzania danych Podmiotu przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę innych klientów Podmiotu przetwarzającego.
  6. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem w terminie 60 dni usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub przepisy prawa polskiego lub Umowa Podstawowa nakazują dalsze przechowywanie danych osobowych. W przypadku, gdy z Umowy Podstawowej wynika, że Podmiot przetwarzający zobowiązany jest archiwizować powierzone dane osobowe w oznaczonym czasie, Podmiot przeważający zobowiązany jest usunąć wszelkie dane osobowe oraz wszelkie ich istniejące kopie w terminie 60 dni po zakończeniu ustalonego w Umowie Podstawowej okresu archiwizacji danych. Po wykonaniu zobowiązania, o którym mowa w niniejszym ustępie Podmiot przetwarzający złoży Administratorowi na jego żądanie – pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych objętych niniejszą umową.
  7. Podmiot przetwarzający pomaga Administratorowi w odpowiednim zakresie, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. Podmiot przetwarzający zobowiązuje się wobec Administratora do odpowiadania, w sposób uprzednio uzgodniony z Administratorem, na żądania osoby, której dane powierzone dotyczą, w zakresie wykonywania praw określonych w rozdziale III Rozporządzenia („Prawa jednostki”). Podmiot przetwarzający oświadcza ponadto, że w odniesieniu do powierzonych danych zobowiązuje się pomagać Administratorowi w obsłudze Praw jednostki określonych w rozdziale III Rozporządzenia.
  8. Jeżeli Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem).
  9. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, w żadnym wypadku nie później niż w terminie  24 godzin. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru. Poza wypadkami wskazanymi w zdaniach poprzedzających Podmiot Przetwarzający zobowiązany jest zachować wszelkie informacje o naruszeniach ochrony danych osobowych w tajemnicy i ujawniać je wyłącznie Administratorowi lub podmiotom uprawnionym do otrzymania tych informacji na podstawie przepisów prawa. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Podmiot Przetwarzający niezwłocznie podejmuje wszystkie konieczne środki techniczne i organizacyjne w celu usunięcia lub zminimalizowania skutków naruszenia ochrony danych osobowych.

§ 4

Obowiązki Administratora

Administrator zobowiązany jest współdziałać z Podmiotem przetwarzającym w wykonaniu umowy, udzielać Podmiotowi przetwarzającemu wyjaśnień, w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków

wynikających z niniejszej umowy.

§ 5

Prawo kontroli

  1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
  2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem, nie częściej niż 2 raz w roku kalendarzowym, chyba, że przeprowadzenie dodatkowego audytu jest konieczne dla wyjaśnienia naruszenia przez Podmiot przetwarzający ochrony powierzonych danych osobowych lub organ ochrony danych osobowych nałożył na Administratora obowiązek przeprowadzenia audytu. Administrator lub wyznaczone przez niego osoby są uprawnione do:

(i) wstępu do pomieszczeń, w których przetwarzane są dane osobowe powierzone 

na mocy niniejszej umowy oraz

(ii) wglądu do dokumentacji związanej z przetwarzaniem danych osobowych będących

przedmiotem niniejszej umowy.

Administrator uprawniony jest do żądania od Podmiotu przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania powierzonych danych osobowych, oraz udostępnienia rejestrów przetwarzania wyłącznie w zakresie powierzonych danych.

  1. Podmiot przetwarzający współpracuje z urzędem ochrony danych osobowych w zakresie wykonywanych przez niego zadań.
  2. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym jednak niż 30 dni, z zastrzeżeniem § 3 ust. 8 powyżej.
  3. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.

§ 6

Dalsze powierzenie danych do przetwarzania

1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych lub braku sprzeciwu. Powierzenie przetwarzania danych podwykonawcy wymaga uprzedniego zgłoszenia Administratorowi w celu umożliwienia mu wyrażenia sprzeciwu. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom, jeżeli Administrator w terminie dwóch tygodni od daty powiadomienia nie zgłosi sprzeciwu. Administrator może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia danych konkretnemu podwykonawcy. W razie zgłoszenia sprzeciwu Podmiot przetwarzający nie ma prawa powierzyć danych podwykonawcy objętemu sprzeciwem. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Podmiot przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania. Przetwarzający nie ma prawa przekazać podwykonawcy całości wykonania niniejszej umowy. 2. Podmiot przetwarzający oświadcza, że nie przekazuje danych do państwa trzeciego lub organizacji międzynarodowej (poza Europejski Obszar Gospodarczy („EOG”)). Podmiot przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane poza EOG. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub przepisy prawa polskiego. W takim przypadku Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania. 3. Podwykonawca, o którym mowa w § 6 ust. 1 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie. 4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych powierzonych na podstawie niniejszej umowy.

§ 7

Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie powierzonych danych osobowych niezgodnie z treścią niniejszej umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
  2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy zapis dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

§ 8

Czas obowiązywania i rozwiązanie umowy

  1. Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas określony do dnia rozwiązania lub wygaśnięcia Umowy Podstawowej, a w wypadku gdy Umowa Podstawowa przewiduje zobowiązanie Podmiotu przetwarzającego do dokonania archiwizacji powierzonych danych przez czas oznaczony, niniejsza umowa obowiązuje do dnia w którym upłynął termin archiwizacji danych, zgodnie z Umową Podstawową. W przypadku zawarcia przez Strony niniejszej umowy kliku Umów Podstawowych, niniejsza umowa obowiązuje w odpowiednim zakresie do dnia rozwiązania lub wygaśnięcia odpowiednio każdej z zawartych Umów Podstawowych. W przypadku kilku Umów Podstawowych, okres archiwizacji danych wskazany powyżej odnosi się odrębnie do każdej z Umów Podstawowych.
  2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem 1 miesięcznego okresu wypowiedzenia. W przypadku wypowiedzenia niniejszej umowy bez wypowiedzenia lub rozwiązania Umowy lub Umów Podstawowych, Administrator zobowiązany jest dokonać anonimizacji danych objętych niniejszą umową, celem umożliwienia Podmiotowi Przetwarzającemu wykonania Umowy lub Umów Podstawowych bez dostępu do danych osobowych, objętych niniejszą umową.
  3. W braku odmiennych postanowień lub oświadczeń Stron, oświadczenie o wypowiedzeniu lub rozwiązaniu Umowy Podstawowej należy rozumieć jako oświadczenie o wypowiedzeniu lub rozwiązaniu niniejszej umowy powierzenia danych.
  4. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
  5. a) przetwarza dane osobowe w sposób niezgodny z umową lub przepisami prawa;
  6. b) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych.

§ 9

Zasady zachowania poufności

  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, materiałów, dokumentów zawierających dane osobowe, otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych osobowych uzyskanych przez Podmiot przetwarzający w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
  2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.

§ 10

Postanowienia końcowe

  1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
  2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
  3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora danych.
  4. Nieważność któregokolwiek z postanowień niniejszej umowy, pozostaje bez wpływu na ważność pozostałych jej postanowień. W przypadku uznania niektórych postanowień niniejszej umowy za nieważne, Strony będą dążyć do zastąpienia postanowień nieważnych, postanowieniami wywołującymi taki sam lub zbliżony skutek cywilnoprawny.
  5. Wszelka korespondencja będzie wysyłana na adresy wskazane przez Strony w nagłówku umowy. Zmiana adresu wymaga poinformowania o tym drugiej Strony pod rygorem uznania oświadczenia złożonego na poprzedni adres za skutecznie doręczone.
Przewiń do góry