STANDARDOWE KLAUZULE UMOWNE. MODUŁ I. Klauzule dotyczące przekazywania danych pomiędzy administratorami.

SEKCJA I.

Klauzula 1. Cel i zakres

1. a) Niniejsze standardowe klauzule umowne mają na celu zapewnienie zgodności z wymogami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (1)w zakresie przekazywania danych osobowych do państwa trzeciego.
2. b) Strony:

(i) osoby fizyczne lub prawne, organy publiczne, agencje lub inne organy (zwane dalej „podmiotami”) przekazujące dane osobowe, wymienione w załączniku I część A (zwane dalej „podmiotem przekazującym dane”) oraz

(ii) podmioty w państwie trzecim otrzymujące dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio za pośrednictwem innego podmiotu, będącego również Stroną niniejszych klauzul, umieszczone w wykazie w załączniku I część A (zwane dalej „podmiotem odbierającym dane”)

uzgodniły niniejsze standardowe klauzule umowne (zwane dalej „klauzulami”).

1. c) Niniejsze klauzule mają zastosowanie do przekazywania danych osobowych, jak określono w załączniku I część B.
2. d) Dodatek do niniejszych klauzul zawierający wymienione w nich załączniki stanowi integralną część niniejszych klauzul.

Klauzula 2. Skutek i niezmienność klauzul

1. a) Niniejsze klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej, zgodnie z art. 46 ust. 1 i art. 46 ust. 2 lit. c) rozporządzenia (UE) 2016/679, oraz standardowe klauzule umowne zgodnie z art. 28 ust. 7 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych od administratorów do podmiotów przetwarzających lub od podmiotów przetwarzających do podmiotów przetwarzających, pod warunkiem że klauzule te nie są modyfikowane, z wyjątkiem modyfikowania w celu wyboru odpowiedniego modułu lub odpowiednich modułów lub w celu dodania informacji do dodatku lub aktualizacji takich informacji. Nie uniemożliwia to Stronom włączania standardowych klauzul umownych określonych w niniejszych klauzulach do szerszej umowy lub dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie są one bezpośrednio ani pośrednio sprzeczne z niniejszymi klauzulami ani nie naruszają podstawowych praw lub wolności osób, których dane dotyczą.
2. b) Niniejsze klauzule nie naruszają obowiązków, którym podlega podmiot przekazujący dane na mocy rozporządzenia (UE) 2016/679.

Klauzula 3. Osoby trzecie, na rzecz których zawarto umowę

1. a) Osoby, których dane dotyczą, mogą powoływać się na niniejsze klauzule i egzekwować je, jako osoby trzecie, na rzecz których zawarto umowę, względem podmiotu przekazującego dane lub podmiotu odbierającego dane, z następującymi wyjątkami:

(i) klauzula 1, klauzula 2, klauzula 3, klauzula 6, klauzula 7;

(ii) klauzula 8 – moduł pierwszy: klauzula 8.5 lit. e) i klauzula 8.9 lit. b); moduł drugi: klauzula 8.1 lit. b), klauzula 8.9 lit. a), c), d) i e); moduł trzeci: klauzula 8.1 lit. a), c) i d) oraz klauzula 8.9 lit. a), c), d), e), f) i g); moduł czwarty: klauzula 8.1 lit. b) oraz klauzula 8.3 lit. b);

(iii) klauzula 9 – moduł drugi: klauzula 9 lit. a), c), d) i e); moduł trzeci: klauzula 9 lit. a), c), d) i e);

(iv) klauzula 12 – moduł pierwszy: klauzula 12 lit. a) i d); moduły drugi i trzeci: klauzula 12 lit. a), d) i f);

(v) klauzula 13;

(vi) klauzula 15.1 lit. c), d) i e);

(vii) klauzula 16 lit. e);

( viii) klauzula 18 – moduły pierwszy, drugi i trzeci: klauzula 18 lit. a) i b); moduł czwarty: klauzula 18.

679. b) Lit. a) pozostaje bez uszczerbku dla praw osób, których dane dotyczą, w trybie rozporządzenia (UE) 2016/679.

Klauzula 4. Interpretacja

1. a) W przypadku gdy w niniejszych klauzulach stosuje się terminy zdefiniowane w rozporządzeniu (UE) 2016/679, terminy te mają znaczenie nadane im w tym rozporządzeniu.
2. b) Niniejsze klauzule należy odczytywać i interpretować w świetle przepisów rozporządzenia (UE) 2016/679.
3. c) Klauzul tych nie należy interpretować w sposób sprzeczny z prawami i obowiązkami określonymi w rozporządzeniu (UE) 2016/679.

Klauzula 5. Hierarchia

W przypadku sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między Stronami, obowiązujących w chwili uzgodnienia niniejszych klauzul, lub zawartych w późniejszym terminie, niniejsze klauzule mają pierwszeństwo.

Klauzula 6. Opis przekazywania danych

Szczegóły dotyczące przekazywania danych, w szczególności kategorie przekazywanych danych osobowych oraz cel lub cele ich przekazywania, określono w załączniku I część B.

SEKCJA II – OBOWIĄZKI STRON

Klauzula 8 Zabezpieczenia służące ochronie danych

Podmiot przekazujący dane gwarantuje, że dołożył zasadnych starań w celu ustalenia, że podmiot odbierający dane jest w stanie – dzięki wdrożeniu odpowiednich środków technicznych i organizacyjnych – wypełnić swoje obowiązki określone w niniejszych klauzulach.

8.1.   Ograniczenie celu

Podmiot odbierający dane przetwarza dane osobowe wyłącznie w określonym celu lub określonych celach przekazywania, jak wskazano w załączniku I część B. Może on przetwarzać dane osobowe w innym celu wyłącznie w przypadku:

(i) uzyskania uprzedniej zgody osoby, której dane dotyczą;

(ii) gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego; lub

(iii) gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

8.2.   Przejrzystość

1. a) W celu umożliwienia osobom, których dane dotyczą, skutecznego wykonywania ich praw zgodnie z klauzulą 10, podmiot odbierający dane przekazuje im, bezpośrednio lub za pośrednictwem podmiotu przekazującego dane, informacje dotyczące:

(i) swoich danych identyfikujących i danych kontaktowych;

(ii) kategorii przetwarzanych danych osobowych;

(iii) prawa do otrzymania kopii niniejszych klauzul;

(iv) w przypadku gdy planuje dalsze przekazywanie danych osobowych stronie trzeciej lub stronom trzecim – odbiorcy lub kategorii odbiorców (w razie potrzeby w celu przekazania istotnych informacji), celu dalszego przekazania oraz jego uzasadnienia zgodnie z klauzulą 8.7.

1. b) Lit. a) nie ma zastosowania w przypadku, gdy osoba, której dane dotyczą, już posiada te informacje, w tym gdy podmiot przekazujący dane przekazał już te informacje lub przekazanie ich jest niemożliwe lub wymagałoby niewspółmiernego wysiłku ze strony podmiotu odbierającego dane. W tym drugim przypadku podmiot odbierający dane udostępnia publicznie dane w zakresie, w jakim jest to możliwe.
2. c) Strony udostępniają bezpłatnie na żądanie osobie, której dane dotyczą, kopię niniejszych klauzul, w tym dodatek wypełniony przez Strony. W zakresie koniecznym w celu ochrony tajemnic handlowych lub innych informacji poufnych, w tym danych osobowych, Strony mogą częściowo zredagować tekst dodatku przed udostępnieniem jego kopii, lecz przekazują stosowne streszczenie, jeżeli bez takiego streszczenia osoba, której dane dotyczą, nie byłaby w stanie zrozumieć treści takiego tekstu lub korzystać ze swoich praw. Na żądanie Strony przekazują osobie, której dane dotyczą, powody zredagowania tekstu, w miarę możliwości bez ujawniania utajnionych informacji.
3. d) Postanowienia zawarte w lit. a)–c) pozostają bez uszczerbku dla obowiązków spoczywających na podmiocie przekazującym dane na mocy art. 13 i 14 rozporządzenia (UE) 2016/679.

8.3.   Prawidłowość i minimalizacja danych

1. a) Każda Strona zapewnia, aby dane osobowe były prawidłowe i w razie potrzeby uaktualniane. Podmiot odbierający dane podejmuje wszelkie zasadne działania, aby dane osobowe, które są nieprawidłowe w świetle celu lub celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
2. b) Jeżeli jedna ze Stron zda sobie sprawę, że przekazane lub otrzymane przez nią dane osobowe są nieprawidłowe lub nieaktualne, powiadamia o tym bez zbędnej zwłoki drugą Stronę.
3. c) Podmiot odbierający dane zapewnia, aby dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celu lub celów przetwarzania.

8.4.   Ograniczenie przechowywania

Podmiot odbierający dane zatrzymuje dane osobowe przez okres nie dłuższy, niż jest to niezbędne do celu lub celów, w których dane te są przetwarzane. Wdraża on odpowiednie środki techniczne lub organizacyjne, aby zapewnić wypełnienie tego obowiązku, w tym usunięcie lub anonimizację (2) danych oraz wszelkich kopii zapasowych po zakończeniu okresu zatrzymywania.

8.5.   Bezpieczeństwo przetwarzania

1. a) Podmiot odbierający dane, a podczas przesyłania również podmiot przekazujący dane, wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przeciwko naruszeniu bezpieczeństwa prowadzącemu do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (zwanego dalej „naruszeniem ochrony danych osobowych”). Przy ocenie odpowiedniego poziomu bezpieczeństwa podmioty te uwzględniają stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cel lub cele przetwarzania, a także ryzyko wynikające z przetwarzania dla osoby, której dane dotyczą. Strony rozważą w szczególności posłużenie się szyfrowaniem lub pseudonimizacją, w tym podczas przesyłania, w przypadkach, gdy cel przetwarzania może być spełniony w ten sposób.
2. b) Strony uzgodniły środki techniczne i organizacyjne określone w załączniku II. Podmiot odbierający dane przeprowadza regularne kontrole, aby zagwarantować, że środki te wciąż zapewniają odpowiedni poziom bezpieczeństwa.

1. c) Podmiot odbierający dane zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
2. d) W przypadku naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych przez podmiot odbierający dane na podstawie niniejszych klauzul podmiot odbierający dane stosuje odpowiednie środki w celu zaradzenia naruszeniu danych osobowych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
3. e) W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw i wolności osób fizycznych, podmiot odbierający dane bez zbędnej zwłoki zgłasza takie naruszenie zarówno podmiotowi przekazującemu dane, jak i właściwemu organowi nadzorczemu zgodnie z klauzulą 13. Zgłoszenie takie zawiera: (i) opis charakteru naruszenia (w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), (ii) jego możliwe konsekwencje, (iii) środki zastosowane lub proponowane w celu zaradzenia naruszeniu oraz (iv) szczegółowe dane dotyczące punktu kontaktowego, w którym można uzyskać więcej informacji. W zakresie, w jakim dla podmiotu odbierającego dane niemożliwe jest udzielenie wszystkich informacji w tym samym czasie, może udzielać ich sukcesywnie bez zbędnej zwłoki.
4. f) W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw i wolności osób fizycznych, administrator bez zbędnej zwłoki zgłasza również osobom, których dane dotyczą, naruszenie ochrony danych osobowych oraz jego charakter, w stosownych przypadkach we współpracy z podmiotem przekazującym dane, wraz z informacjami, o których mowa w lit. e) ppkt (ii)–(iv), chyba że podmiot odbierający dane wdrożył środki służące istotnemu ograniczeniu ryzyka naruszenia praw lub wolności osób fizycznych lub zgłoszenie wymagałoby niewspółmiernie dużego wysiłku. W tym drugim przypadku podmiot odbierający dane zamiast tego wydaje komunikat publiczny lub podejmuje podobne działanie w celu poinformowania ogółu społeczeństwa o naruszeniu ochrony danych osobowych.
5. g) Podmiot odbierający dane dokumentuje wszelkie istotne fakty związane z naruszeniem ochrony danych osobowych, w tym jego skutki oraz wszelkie podjęte działania zaradcze.

8.6.   Dane wrażliwe

Gdy przekazywanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących lub czynów zabronionych (zwane dalej „danymi wrażliwymi”), podmiot odbierający dane stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia dostosowane do szczególnego charakteru danych i ponoszonego ryzyka. Mogą one obejmować ograniczenia w zakresie personelu, któremu zezwala się na dostęp do danych osobowych, dodatkowe środki bezpieczeństwa (takie jak pseudonimizacja) lub dodatkowe ograniczenia dotyczące dalszego ujawniania.

8.7.   Dalsze przekazywanie danych

Podmiot odbierający dane nie ujawnia danych osobowych stronie trzeciej zlokalizowanej poza terytorium Unii Europejskiej (3) (w tym samym państwie co podmiot odbierający dane lub w innym państwie trzecim; dalej „dalsze przekazanie”), chyba że strona trzecia jest związana niniejszymi klauzulami bądź zgadza się im podlegać, na mocy odpowiedniego modułu. W innych przypadkach dalsze przekazanie przez podmiot odbierający dane może mieć miejsce wyłącznie wówczas, gdy:

(i) odbywa się do państwa objętego decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 rozporządzenia (UE) 2016/679, obejmującą dalsze przekazywanie;

(ii) strona trzecia zapewnia w inny sposób odpowiednie zabezpieczenia w odniesieniu do przedmiotowego przetwarzania zgodnie z art. 46 lub 47 rozporządzenia (UE) 2016/679;

(iii) strona trzecia zawiera wiążący instrument z podmiotem odbierającym dane, zapewniający taki sam poziom ochrony danych jak poziom przewidziany w niniejszych klauzulach, a podmiot odbierający dane przekazuje kopię tych zabezpieczeń podmiotowi przekazującemu dane;

(iv) jest ono niezbędne do ustalenia, dochodzenia lub obrony roszczeń w kontekście szczególnego postępowania administracyjnego, regulacyjnego lub sądowego;

(v) jest ono jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; lub

(vi) jeżeli żaden z pozostałych warunków nie ma zastosowania – podmiot odbierający dane uzyskał wyraźną zgodę osoby, której dane dotyczą, na dalsze ich przekazywanie w określonej sytuacji, po uprzednim poinformowaniu tej osoby o celu lub celach dalszego przekazania, tożsamości odbiorcy oraz ewentualnym ryzyku, na które – ze względu na brak odpowiednich zabezpieczeń służących ochronie danych – może być narażona osoba, której dane dotyczą, w związku z tym przekazaniem. W takim przypadku podmiot odbierający dane informuje podmiot przekazujący dane i na żądanie tego ostatniego przekazuje mu kopię informacji przekazanych osobie, której dane dotyczą.

Wszelkie dalsze przekazanie odbywa się pod warunkiem przestrzegania przez podmiot odbierający dane wszystkich pozostałych zabezpieczeń na mocy niniejszych klauzul, w szczególności ograniczenia celu.

8.8.   Przetwarzanie z upoważnienia podmiotu odbierającego dane

Podmiot odbierający dane zapewnia, aby każda osoba działająca z jego upoważnienia, w tym podmiot przetwarzający, przetwarzała dane wyłącznie na jego polecenie.

8.9.   Dokumentacja i zgodność

1. a) Każda ze Stron będzie w stanie wykazać, że przestrzega ciążących na niej obowiązków wynikających z niniejszych klauzul. W szczególności podmiot odbierający dane przechowuje odpowiednią dokumentację wykonanych czynności przetwarzania, za które odpowiada.
2. b) Podmiot odbierający dane udostępnia tę dokumentację na żądanie właściwego organu nadzorczego.

Klauzula 10. Prawa osoby, której dane dotyczą

1. a) Podmiot odbierający dane, w stosownych przypadkach z pomocą podmiotu przekazującego dane, rozpatrzy – bez zbędnej zwłoki, a najpóźniej w terminie jednego miesiąca od otrzymania zapytania lub żądania – wszelkie zapytania i żądania otrzymane od osoby, której dane dotyczą, związane z przetwarzaniem jej danych osobowych i wykonywaniem jej praw na mocy niniejszych klauzul (10). Podmiot odbierający dane stosuje odpowiednie środki mające na celu ułatwienie występowania z takimi zapytaniami i żądaniami oraz wykonywania praw osób, których dane dotyczą. Wszelkie informacje przekazywane osobie, której dane dotyczą, muszą być podane w zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka.
2. b) W szczególności, na żądanie osoby, której dane dotyczą, podmiot odbierający dane jest zobowiązany do nieodpłatnego:

(i) przekazania osobie, której dane dotyczą, potwierdzenia, czy dotyczące jej dane osobowe są przetwarzane – a jeżeli przetwarzanie takie ma miejsce – kopii odnoszących się do niej danych oraz informacji określonych w załączniku I; jeżeli dane osobowe zostały lub zostaną dalej przekazane – przekazania informacji o odbiorcach lub kategoriach odbiorców (w stosownych przypadkach w celu dostarczenia istotnych informacji), którym dane osobowe zostały lub zostaną dalej przekazane, o celu takiego dalszego przekazywania i jego podstawie wynikającej z klauzuli 8.7 oraz przekazania informacji o prawie do wniesienia skargi do organu nadzorczego zgodnie z klauzulą 12 lit. c) ppkt (i);

(ii) sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych odnoszących się do osoby, której dane dotyczą;

(iii) usunięcia danych osobowych osoby, której dane dotyczą, jeżeli dane te są lub były przetwarzane z naruszeniem którejkolwiek z niniejszych klauzul zapewniających przysługiwanie jej praw jako osobie trzeciej, na rzecz której zawarto umowę, lub jeżeli osoba, której dane dotyczą, wycofa zgodę, na podstawie której przetwarzanie się odbywa.

1. c) Jeżeli podmiot odbierający dane przetwarza dane osobowe do celów marketingu bezpośredniego, musi zaprzestać takiego przetwarzania, jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec takiego przetwarzania.
2. d) Podmiot odbierający dane nie może podjąć decyzji opierającej się jedynie na zautomatyzowanym przetwarzaniu przekazanych danych osobowych (zwanym dalej „zautomatyzowanym podejmowaniem decyzji”), która to decyzja wywoływałaby skutki prawne względem osoby, której dane dotyczą, lub wywierałaby na nią podobny znaczący wpływ, o ile taki podmiot nie uzyskał wyraźnej zgody osoby, której dane dotyczą, lub nie został do tego upoważniony na mocy przepisów państwa przeznaczenia, o ile przepisy te obejmują stosowne środki w celu zabezpieczenia praw i uzasadnionych interesów osoby, której dane dotyczą. W takim przypadku podmiot odbierający dane, w razie potrzeby we współpracy z podmiotem przekazującym dane, musi:

(i) poinformować osobę, której dane dotyczą, o planowanym zautomatyzowanym podejmowaniu decyzji, przewidywanych konsekwencjach oraz o zasadach podejmowania decyzji oraz

(ii) wdrożyć odpowiednie zabezpieczenia, przynajmniej poprzez umożliwienie osobie, której dane dotyczą, zakwestionowania decyzji, wyrażenia swojego punktu widzenia i zyskania możliwości przeprowadzenia weryfikacji przez człowieka.

1. e) Jeżeli żądania osoby, której dane dotyczą, są nadmierne, w szczególności ze względu na swój ustawiczny charakter, podmiot odbierający dane może pobrać rozsądną opłatę, uwzględniając administracyjne koszty spełnienia żądania, albo odmówić podjęcia działań w związku z żądaniem.
2. f) Podmiot odbierający dane może odmówić spełnienia żądania osoby, której dane dotyczą, jeżeli taka odmowa jest dozwolona na mocy przepisów państwa przeznaczenia oraz w demokratycznym społeczeństwie jest środkiem niezbędnym i proporcjonalnym służącym ochronie jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679.
3. g) W przypadku gdy podmiot odbierający dane zamierza odmówić spełnienia żądania osoby, której dane dotyczą, informuje ją o przyczynach odmowy oraz o możliwości złożenia skargi do właściwego organu nadzorczego lub dochodzenia roszczeń na drodze sądowej.

Klauzula 11 Dochodzenie roszczeń

1. a) Podmiot odbierający dane – w sposób przejrzysty i łatwo dostępny w drodze indywidualnego zawiadomienia lub na swojej stronie internetowej – informuje osoby, których dane dotyczą, o tym, który punkt kontaktowy jest upoważniony do rozpatrywania skarg. Podmiot ten niezwłocznie rozpatruje wszelkie skargi otrzymane od osoby, której dane dotyczą.
2. b) W przypadku gdy między osobą, której dane dotyczą, a jedną ze Stron wystąpi spór co do przestrzegania klauzul, Strona ta dokłada wszelkich starań, aby rozwiązać spór w sposób polubowny i terminowy. Strony na bieżąco przekazują sobie informacje na temat pojawienia się takich sporów i w stosownych przypadkach współpracują, by je rozwiązać.
3. c) W przypadku gdy osoba, której dane dotyczą, powoła się na wynikające z klauzuli 3 prawo przysługujące jej jako osobie trzeciej, na rzecz której zawarto umowę, podmiot odbierający dane akceptuje decyzję osoby, której dane dotyczą, aby:

(i) złożyć skargę do organu nadzorczego w państwie członkowskim miejsca zwykłego pobytu lub miejsca pracy tej osoby lub do właściwego organu nadzorczego zgodnie z klauzulą 13;

(ii) skierować spór do sądów właściwych w rozumieniu klauzuli 18.

679. d) Strony akceptują, że osobę, której dane dotyczą, mogą reprezentować podmiot, organizacja lub zrzeszenie, które nie mają charakteru zarobkowego, na warunkach określonych w art. 80 ust. 1 rozporządzenia (UE) 2016/679.
680. e) Podmiot odbierający dane stosuje się do decyzji wiążącej na podstawie obowiązującego prawa Unii lub państwa członkowskiego.
681. f) Podmiot odbierający dane potwierdza, że wybór, jakiego dokona osoba, której dane dotyczą, pozostanie bez uszczerbku dla praw podmiotowych lub procesowych przysługujących jej zgodnie z mającymi zastosowanie przepisami.

Klauzula 12 Odpowiedzialność

1. a) Każda Strona ponosi odpowiedzialność wobec podmiotu lub podmiotów będących drugą Stroną za wszelkie wyrządzone im przez siebie szkody wynikające z naruszenia niniejszych klauzul.
2. b) Każda Strona ponosi odpowiedzialność wobec osoby, której dane dotyczą, a osobie, której dane dotyczą, przysługuje prawo do odszkodowania z tytułu jakichkolwiek szkód majątkowych lub niemajątkowych wyrządzonych osobie, której dane dotyczą, przez Stronę w wyniku naruszenia praw przysługujących jej jako osobie trzeciej, na rzecz której zawarto umowę, na podstawie niniejszych klauzul. Zasada ta pozostaje bez uszczerbku dla odpowiedzialności spoczywającej na podmiocie przekazującym dane na podstawie rozporządzenia (UE) 2016/679.
3. c) W przypadku gdy za jakiekolwiek szkody wobec osoby, której dane dotyczą, wynikające z naruszenia niniejszych klauzul, odpowiedzialność ponosi więcej niż jednak Strona, wszystkie odpowiedzialne Strony ponoszą odpowiedzialność solidarną, a osobie, której dane dotyczą, przysługuje prawo do wystąpienia do sądu przeciwko którejkolwiek z tych Stron.
4. d) Strony uzgadniają, że w przypadku pociągnięcia na podstawie lit. c) jednej Strony do odpowiedzialności przysługuje jej prawo do żądania od podmiotu lub podmiotów będących drugą Stroną odszkodowania w wysokości odpowiadającej stopniowi odpowiedzialności za wyrządzoną szkodę.
5. e) Podmiot odbierający dane nie może powołać się na postępowanie podmiotu przetwarzającego ani podwykonawcy przetwarzania, aby uniknąć własnej odpowiedzialności.

Klauzula 13. Nadzór

1. a) Organ nadzorczy odpowiedzialny za zapewnianie, aby podmiot przekazujący dane przestrzegał przepisów rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania danych, jak wskazano w załączniku I część C, działa w charakterze właściwego organu nadzorczego.
2. b) Podmiot odbierający dane zgadza się poddać jurysdykcji właściwego organu nadzorczego i współpracować z tym organem w zakresie wszystkich procedur ukierunkowanych na zapewnienie przestrzegania niniejszych klauzul. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i przestrzegać środków przyjętych przez organ nadzorczy, w tym środków zaradczych i kompensacyjnych. Przedstawia on organowi nadzorczemu pisemne potwierdzenie podjęcia się realizacji niezbędnych działań.

 

SEKCJA III – LOKALNE PRAWA I OBOWIĄZKI W PRZYPADKU DOSTĘPU PRZEZ ORGANY PUBLICZNE

Klauzula 14 Prawa i praktyki lokalne wpływające na przestrzeganie klauzul

1. a) Strony gwarantują, że nie mają podstaw, by uważać, iż prawa i praktyki w państwie trzecim przeznaczenia, mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymogi dotyczące ujawniania danych osobowych lub środki upoważniające organy publiczne do uzyskania dostępu, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego obowiązków wynikających z niniejszych klauzul. Opiera się to na założeniu, że przepisy i praktyki, które nie naruszają istoty podstawowych praw i wolności oraz nie wykraczają poza to, co jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym służącym zabezpieczeniu jednego z celów wymienionych w art. 23 ust. 1 rozporządzenia (UE) 2016/679, nie są sprzeczne z niniejszymi klauzulami.
2. b) Strony oświadczają, że składając gwarancję, o której mowa w lit. a), należycie uwzględniły w szczególności następujące elementy:

(i) szczególne okoliczności przekazywania, w tym długość łańcucha przetwarzania, liczbę zaangażowanych podmiotów i wykorzystywane kanały przekazywania; planowane dalsze przekazywanie; rodzaj odbiorcy; cel przetwarzania danych; kategorie i format przekazywanych danych osobowych; sektor gospodarki, w którym dochodzi do przekazywania danych; miejsce przechowywania przekazywanych danych;

(ii) przepisy i praktyki państwa trzeciego przeznaczenia, w tym przepisy i praktyki wymagające ujawnienia danych organom publicznym lub upoważniające takie organy do uzyskania dostępu, istotne w świetle szczególnych okoliczności przekazywania danych oraz mających zastosowanie ograniczeń i zabezpieczeń (12);

(iii) wszelkie stosowne zabezpieczenia umowne, techniczne lub organizacyjne wprowadzone w celu uzupełnienia zabezpieczeń wynikających z niniejszych klauzul, w tym środki stosowane w czasie przekazywania i przetwarzania danych osobowych w państwie przeznaczenia.

1. c) Podmiot odbierający dane gwarantuje, że przeprowadzając ocenę na podstawie postanowień lit. b), dołożył wszelkich starań, aby udostępnić podmiotowi przekazującemu dane odpowiednie informacje, oraz wyraża zgodę na dalszą współpracę z podmiotem przekazującym dane w zakresie zapewnienia zgodności z niniejszymi klauzulami.
2. d) Strony zgadzają się udokumentować ocenę, o której mowa w lit. b), i udostępnić ją na żądanie właściwego organu nadzorczego.
3. e) Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane, jeśli po uzgodnieniu niniejszych klauzul i w okresie obowiązywania umowy ma powody, aby sądzić, że podlega lub zaczął podlegać przepisom lub praktykom niezgodnym z wymogami określonymi w lit. a), w tym w wyniku zmiany przepisów państwa trzeciego lub środka (takiego jak żądanie ujawnienia danych) wskazującego na stosowanie takich przepisów w praktyce, które nie jest zgodne z wymogami określonymi w lit. a).
4. f) Po otrzymaniu powiadomienia zgodnie z lit. e) lub jeżeli podmiot przekazujący dane ma inny powód, by sądzić, że podmiot odbierający dane nie może dłużej wypełniać swoich obowiązków wynikających z niniejszych klauzul, podmiot przekazujący dane bezzwłocznie określa odpowiednie środki (na przykład środki techniczne lub organizacyjne służące zapewnieniu bezpieczeństwa i poufności), które podmiot przekazujący dane lub podmiot odbierający dane powinni przyjąć w celu zaradzenia zaistniałej sytuacji [w przypadku modułu trzeciego: w stosownych przypadkach w porozumieniu z administratorem]. Podmiot przekazujący dane wstrzymuje przekazywanie danych, jeżeli uzna, że zapewnienie odpowiednich zabezpieczeń w odniesieniu do takiego przekazywania jest niemożliwe, lub na polecenie [w przypadku modułu trzeciego: administratora lub] właściwego organu nadzorczego. W takim przypadku podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych klauzul. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej. W przypadku rozwiązania umowy na podstawie niniejszej klauzuli zastosowanie ma klauzula 16 lit. d) i e).

Klauzula 15 Obowiązki podmiotu odbierającego dane w przypadku dostępu przez organy publiczne

15.1.   Powiadomienie

1. a) Podmiot odbierający dane zobowiązuje się do niezwłocznego powiadomienia podmiotu przekazującego dane oraz, o ile to możliwe, osoby, której dane dotyczą (w stosownych przypadkach z pomocą podmiotu przekazującego dane), jeśli:

(i) otrzyma od organu publicznego, w tym sądowego, prawnie wiążące żądanie – zgodnie z przepisami państwa przeznaczenia – ujawnienia danych osobowych przekazywanych na podstawie niniejszych klauzul; takie powiadomienie zawiera informacje na temat danych osobowych, których dotyczy żądanie, organu występującego z żądaniem, podstawy prawnej żądania oraz udzielonej odpowiedzi; lub

(ii) dowie się o jakimkolwiek przypadku bezpośredniego dostępu przez organy publiczne do danych osobowych przekazywanych na podstawie niniejszych klauzul zgodnie z przepisami państwa przeznaczenia; takie powiadomienie zawiera wszelkie informacje, do których podmiot odbierający dane ma dostęp.

1. b) Jeżeli podmiotowi odbierającemu dane zakazano powiadamiania podmiotu przekazującego dane lub osoby, której dane dotyczą, na mocy przepisów państwa przeznaczenia, zgadza się on dołożyć wszelkich starań, aby uzyskać zwolnienie z tego zakazu w celu przekazania jak największej ilości informacji w jak najkrótszym czasie. Podmiot odbierający dane zgadza się udokumentować swoje starania, aby móc je wykazać na żądanie podmiotu przekazującego dane.
2. c) Jeżeli jest to dopuszczalne zgodnie z przepisami państwa przeznaczenia, podmiot odbierający dane zgadza się dostarczać podmiotowi przekazującemu dane, w regularnych odstępach czasu w okresie obowiązywania umowy, jak najwięcej istotnych informacji o otrzymanych żądaniach (w szczególności na temat liczby żądań, rodzaju wymaganych danych, organu lub organów występujących z żądaniem, a także informacji o tym, czy żądania były przedmiotem środków zaradczych służących ich zakwestionowaniu i jaki był wynik takich działań itp.).
3. d) Podmiot odbierający dane zgadza się przechowywać informacje, o których mowa w lit. a)–c), przez okres obowiązywania umowy i udostępniać je na żądanie właściwego organu nadzorczego.
4. e) Lit. a)–c) pozostają bez uszczerbku dla obowiązku podmiotu odbierającego dane wynikającego z klauzuli 14 lit. e) i klauzuli 16, dotyczącego niezwłocznego poinformowania podmiotu przekazującego dane, w przypadku gdy nie może on zapewnić zgodności z postanowieniami niniejszych klauzul.

15.2.   Kontrola legalności i minimalizacja danych

1. a) Podmiot odbierający dane zgadza się skontrolować legalność żądania ujawnienia danych, a w szczególności kwestii, czy mieści się ono w zakresie uprawnień przyznanych organowi publicznemu występującemu z żądaniem, oraz zakwestionować ważność żądania, jeżeli po dokonaniu starannej oceny stwierdzi, że istnieją uzasadnione podstawy do uznania, iż żądanie jest niezgodne z prawem w świetle przepisów państwa przeznaczenia, mających zastosowanie zobowiązań wynikających z prawa międzynarodowego i zasad kurtuazji międzynarodowej. Podmiot odbierający dane korzysta z możliwości odwołania się na tych samych warunkach. Kwestionując żądanie, podmiot odbierający dane dąży do zastosowania środków tymczasowych w celu zawieszenia skutków żądania do czasu rozstrzygnięcia istoty sprawy przez właściwy organ sądowy. Nie może ujawniać danych osobowych, których dotyczy żądanie, dopóki nie będzie do tego zobowiązany na mocy mających zastosowanie przepisów procesowych. Wymogi te pozostają bez uszczerbku dla obowiązków podmiotu odbierającego dane wynikających z klauzuli 14 lit. e).
2. b) Podmiot odbierający dane zgadza się udokumentować swoją ocenę prawną, a także wszelkie przypadki zakwestionowania żądania ujawnienia danych oraz, w zakresie dopuszczalnym przez przepisy państwa przeznaczenia, udostępnić dokumentację podmiotowi przekazującemu dane. Udostępnia ją również na żądanie właściwego organu nadzorczego.
3. c) Podmiot odbierający dane zgadza się dostarczyć minimalną dopuszczalną ilość informacji, udzielając odpowiedzi na żądanie ujawnienia danych, w oparciu o jego rozsądną interpretację.

SEKCJA IV – POSTANOWIENIA KOŃCOWE

Klauzula 16 Brak zgodności z klauzulami i rozwiązanie umowy

1. a) Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane, jeżeli z jakiegokolwiek powodu nie może zapewnić przestrzegania postanowień niniejszych klauzul.
2. b) W przypadku gdy podmiot odbierający dane narusza postanowienia niniejszych klauzul lub nie może zapewnić przestrzegania ich postanowień, podmiot przekazujący dane czasowo, do chwili ponownego zapewnienia przestrzegania klauzul lub rozwiązania umowy, wstrzymuje przekazywanie danych osobowych do podmiotu odbierającego. Powyższe pozostaje bez uszczerbku dla postanowień klauzuli 14 lit. f).
3. c) Podmiot przekazujący dane jest uprawniony do rozwiązania umowy – o ile problem dotyczy przetwarzania danych osobowych na podstawie niniejszych klauzul – w przypadku gdy:

(i) podmiot przekazujący dane wstrzymał przekazywanie danych osobowych do podmiotu odbierającego dane na podstawie lit. b), a zgodność z postanowieniami niniejszych klauzul nie została przywrócona w rozsądnym terminie, a w każdym razie w ciągu jednego miesiąca od wstrzymania;

(ii) podmiot odbierający dane w poważnym stopniu lub uporczywie narusza postanowienia niniejszych klauzul; lub

(iii) podmiot odbierający dane nie zastosował się do wiążącej decyzji właściwego sądu lub organu nadzorczego dotyczącej jego obowiązków wynikających z niniejszych klauzul.

W takich przypadkach informuje on właściwy organ nadzorczy [w przypadku modułu trzeciego: oraz administratora] o takim przypadku niezastosowania się do decyzji. W przypadku gdy umowa dotyczy więcej niż dwóch Stron, podmiot przekazujący dane może skorzystać z tego prawa do rozwiązania umowy tylko w odniesieniu do odpowiedniej Strony, chyba że Strony uzgodniły inaczej.

1. d) Dane osobowe przekazane przed rozwiązaniem umowy na podstawie lit. c) muszą zostać – w zależności od wyboru dokonanego przez podmiot przekazujący dane – niezwłocznie zwrócone temu podmiotowi lub w całości usunięte. To samo dotyczy wszelkich kopii tych danych.] [W przypadku modułu czwartego: Dane osobowe zgromadzone przez podmiot przekazujący dane w UE, które zostały przekazane przed rozwiązaniem umowy na podstawie lit. c), a także wszelkie ich kopie, muszą niezwłocznie zostać w całości usunięte.] Podmiot odbierający dane poświadcza usunięcie danych podmiotowi przekazującemu. Do czasu usunięcia lub zwrotu danych podmiot odbierający dane nadal zapewnia zgodność z niniejszymi klauzulami. Jeżeli lokalne prawo obowiązujące podmiot odbierający dane zabrania zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że będzie w dalszym ciągu zapewniał przestrzeganie niniejszych klauzul oraz że będzie przetwarzał dane wyłącznie w zakresie i w czasie wymaganym przez to prawo lokalne.
2. e) Każda ze Stron może wycofać swoją zgodę na związanie się niniejszymi klauzulami, w przypadku gdy: (i) Komisja Europejska przyjmie decyzję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 obejmującą przekazywanie danych osobowych, do których mają zastosowanie niniejsze klauzule; lub (ii) rozporządzenie (UE) 2016/679 stanie się częścią ram prawnych państwa, do którego przekazywane są dane osobowe. Powyższe pozostaje bez uszczerbku dla pozostałych obowiązków mających zastosowanie do przedmiotowego przetwarzania na podstawie rozporządzenia (UE) 2016/679.

Klauzula 17 Prawo właściwe

Niniejsze klauzule podlegają przepisom prawa jednego z państw członkowskich UE, pod warunkiem że prawo to dopuszcza prawa osób trzecich, na rzecz których zawarto umowę. Strony uzgadniają, że jest to prawo obowiązujące na terytorium Polski.

Klauzula 18 Wybór forum i jurysdykcji

1. a) Wszelkie spory wynikające z niniejszych klauzul są rozstrzygane przez sądy państwa członkowskiego UE.
2. b) Strony uzgadniają, że są to sądy polskie.
3. c) Osoba, której dane dotyczą, może również wszcząć postępowanie sądowe przeciwko podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane przed sądami państwa członkowskiego, w którym znajduje się jej miejsce zwykłego pobytu.
4. d) Strony uzgadniają, że będą podlegały jurysdykcji tych sądów.

(1)  Gdy podmiot przekazujący dane jest podmiotem przetwarzającym podlegającym rozporządzeniu (UE) 2016/679, działającym w imieniu instytucji lub organu Unii, poleganie na niniejszych klauzulach przy angażowaniu innego podmiotu przetwarzającego (podwykonawstwo przetwarzania) niepodlegającego rozporządzeniu (UE) 2016/679 zapewnia również zgodność z art. 29 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39) w zakresie, w jakim niniejsze klauzule oraz obowiązki dotyczące ochrony danych, określone w umowie lub innym akcie prawnym zawartym między administratorem a podmiotem przetwarzającym zgodnie z art. 29 ust. 3 rozporządzenia (UE) 2018/1725, są ze sobą zgodne. Będzie to dotyczyło w szczególności sytuacji, gdy administrator i podmiot przetwarzający opierają się na standardowych klauzulach umownych zawartych w decyzji 2021/915

(2)  Oznacza to dokonanie anonimizacji danych w taki sposób, aby osób, których dane dotyczą, nie można było zidentyfikować, zgodnie z motywem 26 rozporządzenia (UE) 2016/679, oraz aby proces ten był nieodwracalny.

(3)  W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG – Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul.

(4)  W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG – Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul.

(5)  Zob. art. 28 ust. 4 rozporządzenia (UE) 2016/679, a w przypadku gdy administrator jest instytucją lub organem Unii – art. 29 ust. 4 rozporządzenia (UE) 2018/1725.

(6)  W Porozumieniu o Europejskim Obszarze Gospodarczym (Porozumienie EOG) przewidziano rozszerzenie rynku wewnętrznego Unii Europejskiej na trzy państwa EOG – Islandię, Liechtenstein i Norwegię. Unijne prawodawstwo dotyczące ochrony danych, w tym rozporządzenie (UE) 2016/679, jest objęte Porozumieniem EOG i zostało włączone do jego załącznika XI. W związku z tym wszelkie ujawnianie danych stronie trzeciej zlokalizowanej w EOG przez podmiot odbierający dane nie kwalifikuje się jako dalsze przekazanie do celów niniejszych klauzul.

(7)  Obejmuje to kwestię, czy przekazywanie i dalsze przetwarzanie dotyczy danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby lub dane dotyczące wyroków skazujących lub czynów zabronionych.

(8)  Podwykonawca przetwarzania może spełnić ten wymóg, przystępując do niniejszych klauzul na podstawie odpowiedniego modułu zgodnie z klauzulą 7.

(9)  Podwykonawca przetwarzania może spełnić ten wymóg, przystępując do niniejszych klauzul na podstawie odpowiedniego modułu zgodnie z klauzulą 7.

(10)  Termin ten można przedłużyć w niezbędnym zakresie maksymalnie o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. Podmiot odbierający dane należycie i niezwłocznie informuje osobę, której dane dotyczą, o każdym takim przedłużeniu.

(11)  Podmiot odbierający dane może zaoferować możliwość niezależnego rozwiązywania sporów za pośrednictwem sądu arbitrażowego wyłącznie wówczas, gdy posiada jednostkę organizacyjną w państwie, które ratyfikowało Konwencję nowojorską o uznawaniu i wykonywaniu zagranicznych orzeczeń arbitrażowych.

(12)  Jeżeli chodzi o wpływ takich przepisów i praktyk na zgodność z niniejszymi klauzulami, w ogólnej ocenie można wziąć pod uwagę różne elementy. Do elementów takich można zaliczyć odpowiednie i udokumentowane praktyczne doświadczenie w związku z wcześniejszymi przypadkami żądania przez organy publiczne ujawnienia danych lub brakiem takich żądań, obejmujące wystarczająco reprezentatywne ramy czasowe. Dotyczy to w szczególności wewnętrznych rejestrów lub innych dokumentów, sporządzanych na bieżąco zgodnie z zasadą należytej staranności i certyfikowanych przez kadrę kierowniczą wyższego szczebla, pod warunkiem że informacje te mogą być zgodnie z prawem udostępniane stronom trzecim. Jeżeli takie praktyczne doświadczenie stanowi podstawę do stwierdzenia, że podmiot odbierający dane nie będzie miał utrudnionej możliwości przestrzegania niniejszych klauzul, musi być ono poparte innymi istotnymi, obiektywnymi elementami i to do Stron należy staranne rozważenie, czy elementy te łącznie są wystarczająco istotne pod względem ich wiarygodności i reprezentatywności, aby potwierdzić takie stwierdzenie. W szczególności Strony muszą wziąć pod uwagę, czy ich praktyczne doświadczenie jest potwierdzone i czy nie zaprzeczają mu publicznie udostępnione lub w inny sposób dostępne wiarygodne informacje na temat występowania lub braku żądań w tym samym sektorze lub stosowania prawa w praktyce, takie jak orzecznictwo i sprawozdania sporządzone przez niezależne organy nadzoru.

ZAŁĄCZNIK I

1. WYKAZ STRON

1.

Nazwa: Colian sp. z o.o. Adres: Zdrojowa 1, 62-860 Opatówek Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: wskazane w umowie Działania mające znaczenie dla danych przekazywanych na podstawie niniejszych klauzul: wykorzystywanie danych osobowych w celu zawarcia i wykonywania umowy zakupu surowców/sprzedaży towarów. Podpis i data: wskazana w umowie Rola (administrator/podmiot przetwarzający): Administrator

Podmiot(y) odbierający(-e) dane: [Dane identyfikujące i dane kontaktowe podmiotu(-ów) odbierającego(-ych) dane, w tym każdej osoby wyznaczonej do kontaktów odpowiedzialnej za ochronę danych]

1.

Nazwa: Strona umowy Adres: Każdorazowo wskazany w umowie Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: wskazane w umowie Działania mające znaczenie dla danych przekazywanych na podstawie niniejszych klauzul: wykorzystywanie danych osobowych w celu zawarcia i wykonywania umowy zakupu surowców/sprzedaży towarów. Podpis i data: wskazana w umowie Rola (administrator/podmiot przetwarzający): Administrator

1. OPIS PRZEKAZYWANIA DANYCH

Kategorie przekazywanych danych osobowych

Dane kontaktowe, imię i nazwisko, nazwa i dane działalności gospodarczej, nr. telefonu, stanowisko służbowe, adres email, w określonych przypadkach nr. PESEL, lub numer paszportu, adres zamieszkania.

Przekazywane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nim ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla pracowników, który odbyli specjalistyczne szkolenie), przechowywanie zapisów przypadków udostępnienia danych, ograniczenia dalszego przekazywania lub dodatkowe środki bezpieczeństwa

brak

Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo, czy w sposób ciągły)

w zależności od potrzeby

Charakter przetwarzania

przetwarzanie ciągłe

Cel(e) przekazywania danych i dalszego przetwarzania

przygotowanie umowy oraz prawnie uzasadniony interes Administratora

Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu

max. 6 lat

W przypadku przekazywania podwykonawcom przetwarzania należy również określić przedmiot, charakter i czas trwania przetwarzania

brak

1. WŁAŚCIWY ORGAN NADZORCZY

Należy określić właściwy organ nadzorczy/organy nadzorcze zgodnie z klauzulą 13

Prezes Urzędu Ochrony Danych Osobowych, Urząd Ochrony Danych Osobowych

1. Stawki 2, 00-193 Warszawa

ZAŁĄCZNIK II

ŚRODKI TECHNICZNE I ORGANIZACYJNE, W TYM ŚRODKI TECHNICZNE I ORGANIZACYJNE MAJĄCE NA CELU ZAPEWNIENIE BEZPIECZEŃSTWA DANYCH

UWAGA WYJAŚNIAJĄCA:

Środki techniczne i organizacyjne muszą być opisane w sposób szczegółowy (a nie ogólny). Zob. również ogólna uwaga na pierwszej stronie dodatku, w szczególności w odniesieniu do potrzeby wyraźnego wskazania, które środki mają zastosowanie do każdego jednorazowego lub wielokrotnego przekazania.

Opis środków technicznych i organizacyjnych wdrożonych przez podmiot(y) odbierający(-e) dane (w tym odpowiednich certyfikacji) w celu zapewnienia odpowiedniego poziomu ochrony, biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania oraz ryzyko dla praw i wolności osób fizycznych.

Środki polegające na zapewnieniu poufności, integralności, dostępności i odporności systemów i usług przetwarzania: zobowiązanie pracowników do zachowania poufności informacji.

Środki mające na celu zapewnienie zdolności szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; wsparcie obsługi informatycznej, przyjęcie procedur bezpieczeństwa informacji.

Środki identyfikacji i autoryzacji użytkowników: przesyłanie korespondencji na imienne adresy email, stosowanie indywidulanych haseł i kont w programach.

Środki mające na celu zapewnienie minimalizacji danych; regularna weryfikacja zakresu danych koniecznych do wykonania celu przetwarzania.

W przypadku przekazywania danych podmiotom przetwarzającym (lub podwykonawcom przetwarzania) należy również opisać konkretne środki techniczne i organizacyjne, które ma zastosować ten podmiot lub podwykonawca, aby móc udzielać pomocy administratorowi, a w przypadku przekazywania danych od podmiotu przetwarzającego do podwykonawczy – podmiotowi przekazującemu dane.