Umowa powierzenia przetwarzania danych
Niniejsza Umowa zostaje zawarta między Synology Inc., tajwańską korporacją z siedzibą pod adresem 9F, No. 1, Yuan Dong Rd., Banqiao, New Taipei 220632, Tajwan („Przetwarzający”) i Użytkownikiem zgodnie z definicją zawartą w Ogólnej Umowie o świadczeniu Usług Synology C2 („Kontrolujący”).
Niniejsza Umowa zostaje niniejszym włączona do Ogólnej Umowy o świadczeniu Usług Synology C2 (zwanej dalej „Umową o świadczenie usług”) i stanowi jej część.
I. Definicje
Umowa oznacza niniejszą Umowę powierzenia przetwarzania danych.
Zgoda na wykorzystanie danych osobowych oznacza dowolne, konkretne, świadome i jednoznaczne wskazanie przyzwolenia przez osobę,której dane dotyczą, poprzez oświadczenia lub wyraźne działanie potwierdzające, oznaczające zgodę na przetwarzanie jej Danych osobowych.
Kontrolujący oznacza osobę fizyczną lub prawną, urząd publiczny, agencję lub inną jednostkę prawną, która – samodzielnie lub wspólnie z innymi – określa cele i środki przetwarzania Danych osobowych; jeżeli cele i środki przetwarzania są określone przez prawo Unii lub państwa członkowskiego, kontrolujący lub określone kryteria jego nominacji mogą zostać wskazane przez prawo Unii lub państwa członkowskiego.
Przetwarzanie transgraniczne oznacza:
- przetwarzanie danych osobowych, które ma miejsce w kontekście działań siedzib kontrolującego lub przetwarzającego w więcej niż jednym państwie członkowskim w Unii, jeśli kontrolujący lub przetwarzający ma siedzibę w więcej niż jednym państwie członkowskim; lub
- przetwarzanie Danych osobowych, które ma miejsce w kontekście działań jednej siedziby kontrolującego lub przetwarzającego w Unii, ale które w znacznym stopniu wpływa lub prawdopodobnie w znacznym stopniu wpłynie na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim.
Inspektor ochrony danych to ekspert w dziedzinie ochrony danych, który pracuje niezależnie, aby zapewnić, że jednostka przestrzega zasad i procedur określonych w rozporządzeniu RODO.
Osoba, której dane dotyczą oznacza osobę fizyczną, której Dane osobowe są przetwarzane przez kontrolującego lub przetwarzającego.
RODO oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna jest osobą, którą można zidentyfikować, bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, Identyfikator online lub jeden lub więcej czynników charakterystycznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturalnej lub społecznej tożsamości tej osoby fizycznej.
Naruszenie danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przetwarzanie oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na Danych osobowych lub na zestawach Danych osobowych, niezależnie od tego, czy są one wykonywane w sposób zautomatyzowany, czy są to na przykład zbieranie, rejestrowanie, organizacja, strukturyzacja, przechowywanie, adaptacja lub zmiana, pobieranie, konsultowanie, użycie, ujawnianie przez przekazywanie, rozpowszechnianie lub inne udostępnianie, dopasowywanie lub łączenie, ograniczanie, wymazywanie lub niszczenie.
Przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który przetwarza Dane osobowe w imieniu kontrolującego.
Pseudonimizacja oznacza przetwarzanie danych osobowych w taki sposób, że dane osobowe nie mogą być już przypisane do konkretnego podmiotu bez wykorzystania dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, że Danych osobowych nie można przypisać zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Odbiorca oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, któremu ujawniane są Dane osobowe, niezależnie od tego, czy jest to strona trzecia, czy nie. Organy publiczne, które mogą otrzymywać Dane osobowe w ramach określonego zapytania zgodnie z prawem Unii lub państwa członkowskiego, nie będą jednak traktowane jako odbiorcy; przetwarzanie tych danych przez te organy publiczne jest zgodne z odpowiednimi zasadami ochrony danych zgodnie z przeznaczeniem przetwarzania danych.
Przedstawiciel to osoba fizyczna lub prawna z siedzibą w Unii, wyznaczona przez kontrolującego lub przetwarzającego pisemnie zgodnie z art. 27, która reprezentuje kontrolującego lub przetwarzającego w odniesieniu do ich zobowiązań wynikających z rozporządzenia RODO.
Odsprzedawca oznacza zewnętrznego dostawcę usług, który subskrybuje usługę Synology C2 i wnosi opłatę za taką usługę bezpośrednio Przetwarzającemu w imieniu Kontrolującego.
Przepisy oznaczają rozporządzenie RODO i inne ogólnie wiążące regulacje prawne dotyczące obszaru ochrony Danych osobowych.
Strona trzecia oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub podmiot inny niż osoba, której dane dotyczą, kontrolujący, przetwarzający oraz osoby, które na mocy bezpośredniego upoważnienia kontrolującego lub przetwarzającego są upoważnione do przetwarzania Danych osobowych.
Standardowe klauzule umowne oznaczają standardowe klauzule umowne określone w Załączniku 1 dotyczące przekazywania Danych osobowych przez Kontrolującego znajdującego się na terytorium Europejskiego Obszaru Gospodarczego Przetwarzającym mającym siedzibę w państwach trzecich w formie określonej w Załączniku do decyzji wykonawczej Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r., ze zmianami polegającymi na włączeniu opisu przekazywanych Danych osobowych oraz środków technicznych i organizacyjnych, które należy wdrożyć, jak określono w tym Dodatku.
Organ nadzorczy oznacza organ rządowy odpowiedzialny za istotne kwestie związane z niniejszą Umową.
II. Czas trwania Umowy
Czas trwania niniejszej Umowy pokrywa się z czasem trwania Umowy o świadczeniu usług.
III. Charakter i cel Umowy
- Charakter i cel zamierzonego Przetwarzania Danych
Charakter i cel przetwarzania Danych osobowych przez Przetwarzającego na rzecz Kontrolującego są dokładnie określone w Umowie o świadczeniu usługi. - Rodzaj Danych
Przedmiot przetwarzania Danych osobowych składa się z następujących typów/kategorii danych:- Główne dane osobowe: Kontrolujący może przechowywać dane dowolnego typu na wynajętym serwerze według własnego uznania. Firma Synology nie ma na takie dane wpływu i nie ma do nich dostępu.
- Dane dotyczące płatności i rozliczeń objętych umową: W ramach realizacji Umowy o świadczeniu usług firma Synology będzie gromadzić dane osobowe zawarte w umowie, w tym adres kontaktowy, informacje o metodzie płatności, osobę kontaktową odpowiedniej Umowy o świadczeniu usług.
- Kategorie Osób, których dane dotyczą
Kategorie Osób, których dane dotyczą obejmują Klientów i Osoby kontaktowe Odsprzedawców.
IV. Obowiązki Przetwarzającego
- Przetwarzający przetwarza dane osobowe wyłącznie zgodnie z Przepisami i instrukcjami Kontrolującego lub zgodnie z innymi wymogami niniejszej Umowy. Obowiązek ten dotyczy również przekazywania przez Przetwarzającego danych osobowych do kraju trzeciego lub organizacji międzynarodowej, chyba że przetwarzający jest zobowiązany do tego na mocy Przepisów lub regulacji prawnych, którym podlega Przetwarzający. W takim przypadku przetwarzający powinien poinformować Kontrolującego o takich wymogach prawnych przed ich przetworzeniem, chyba że prawo zabrania udzielania takich informacji z ważnych względów publicznych.
- Przetwarzający i Kontrolujący zgadzają się, że niniejsza Umowa oraz Umowa o świadczeniu usług stanowią pełne i ostateczne instrukcje dla Przetwarzającego. Przetwarzanie wykraczające poza zakres niniejszej Umowy (jeśli takie istnieje) będzie wymagało uprzedniej pisemnej zgody obu stron na dodatkowe instrukcje dotyczące przetwarzania. Kontrolujący może rozwiązać niniejszą Umowę, jeśli Przetwarzający nie przestrzega wymaganych przez Kontrolującego instrukcji, które nie są objęte niniejszą Umową.
- W ramach realizacji niniejszej Umowy Kontrolujący niezwłocznie potwierdzi pisemnie instrukcje ustne.
- Kopie lub duplikaty danych przetwarzanych w imieniu Kontrolującego nie powinny być tworzone bez wiedzy Kontrolującego, za wyjątkiem kopii zapasowych, które są niezbędne do prawidłowego przetwarzania danych, oraz danych wymaganych do spełnienia wymogów prawnych w celu przechowywania danych zgodnie z Przepisami.
- Przetwarzający nie może samodzielnie poprawiać, usuwać ani ograniczać przetwarzania danych przetwarzanych w imieniu Kontrolującego ani przesyłać takich danych innym podmiotom; może to zrobić tylko zgodnie z udokumentowanymi instrukcjami Kontrolującego. Gdy Osoba, której dane dotyczą, kontaktuje się bezpośrednio z Przetwarzającym w sprawie poprawienia, usunięcia lub ograniczenia przetwarzania bądź skorzystania z prawa do przeniesienia, Przetwarzający natychmiast prześle żądanie Osoby, której dane dotyczą, do Kontrolującego. O ile wchodzi to w zakres usług, Przetwarzający powinien zapewnić zgodność zasad usuwania, „prawa do zapomnienia”, poprawiania, przenośności danych i dostępu do danych z udokumentowanymi instrukcjami Kontrolującego bez nieuzasadnionej zwłoki.
- Przetwarzający powinien natychmiast poinformować Kontrolującego, jeśli Przetwarzający uzna, że polecenie Kontrolującego narusza Przepisy. Przetwarzający ma wówczas prawo zawiesić wykonywanie odpowiednich instrukcji do czasu ich potwierdzenia lub zmiany przez Kontrolującego.
- Oprócz przestrzegania zasad określonych w niniejszej Umowie, Przetwarzający musi przestrzegać wymogów statutowych określonych w Przepisach. W związku z tym Przetwarzający zapewnia zgodność w szczególności z następującymi wymaganiami:
- Przetwarzający powierza przetwarzanie danych określone w niniejszej Umowie tylko takim pracownikom, którzy są zobowiązani do zachowania poufności i wcześniej zapoznali się z postanowieniami dotyczącymi ochrony danych odnoszącymi się do ich pracy. Przetwarzający ani żadna osoba działająca na podstawie jego uprawnień, która ma dostęp do danych osobowych, nie będzie przetwarzać tych danych, chyba że będzie to zgodne z instrukcjami udzielonymi przez Kontrolującego, co obejmuje uprawnienia nadane na mocy niniejszej Umowy, o ile nie jest to wymagane Przepisami.
- Przetwarzający musi pomagać Kontrolującemu w spełnianiu żądań osób korzystających ze swoich praw dostępu do danych osobowych, ich naprawy, przenoszenia, usuwania lub sprzeciwu wobec ich przetwarzania.
- Przetwarzający musi pomagać Kontrolującemu w spełnianiu żądań organów nadzorczych. Na żądanie organu nadzorczego Kontrolujący i Przetwarzający powinni z nim współpracować w zakresie wykonywania swoich zadań.
- Wyznaczenie inspektora ochrony danych, osoby kontaktowej, przedstawiciela
Z zespołem ds. ochrony danych firmy Synology można skontaktować się pod adresem https://www.synology.com/form/privacy_issue. Kontrolujący powinien być niezwłocznie informowany o każdej zmianie Inspektora ochrony danych. - Kontrolujący powinien być niezwłocznie informowany o wszelkich kontrolach i środkach stosowanych przez odpowiedni organ nadzorczy, jak opisano w punkcie IX niniejszej Umowy, w zakresie, w jakim odnoszą się one do przetwarzania niniejszej Umowy.
- W zakresie, w jakim Kontrolujący podlega kontroli organu nadzorczego, postępowaniu w sprawie naruszenia prawa administracyjnego, w sprawie występku lub postępowaniu karnemu, roszczeniu Osoby, której dane dotyczą, lub strony trzeciej, bądź jakiemukolwiek innemu roszczeniu w związku z przetwarzaniem danych Umowy przez Przetwarzającego, Przetwarzający powinien dołożyć wszelkich starań, aby wspierać Kontrolującego. Dalsze obowiązki związane z pomocą są opisane w punkcie X niniejszej Umowy.
- Przetwarzający pomoże Kontrolerowi w zapewnieniu zgodności ze zobowiązaniami, jak opisano w punkcie IX niniejszej Umowy.
- Wdrożenie i przestrzeganie zgodności z wszystkimi Środkami technicznymi i organizacyjnymi koniecznymi do zawarcia niniejszej Umowy, jak opisano w Dodatek.
V. Obowiązki związane z powiadamianiem
- Przetwarzający powinien natychmiast powiadomić kontrolera o wszelkich naruszeniach Danych osobowych. Zgłaszać należy także wszelkie uzasadnione podejrzenia naruszeń. Każde powiadomienie musi zawierać przynajmniej informacje zawarte w Przepisach.
- Kontrolujący musi być także niezwłocznie powiadamiany o wszelkich istotnych przerwach w wykonywaniu zadania, a także o naruszeniach przepisów dotyczących ochrony danych lub postanowień niniejszej Umowy, które zostały dokonane przez Przetwarzającego lub zatrudnione przez niego osoby.
- Przetwarzający powinien niezwłocznie poinformować Kontrolującego o wszelkich kontrolach i środkach stosowanych przez organy nadzorcze lub inne strony trzecie, jeśli dotyczą one zleconego przetwarzania danych.
- Przetwarzający dopilnuje, aby Kontrolujący był wspierany w wykonywaniu tych obowiązków, zgodnie z Przepisami, w wymaganym zakresie.
VI. Międzynarodowe przekazywanie danych
- Dane przetwarzane przez Synology w imieniu Klienta jako Przetwarzającego mogą być przechowywane na terenie Unii Europejskiej (UE) lub poza nią, w zależności od wyboru Klienta dotyczącego centrum danych.
- W przypadku międzynarodowego przekazywania Danych osobowych Przetwarzającym znajdującym się w państwach, które nie zapewniają odpowiedniej ochrony danych, zastosowanie mają następujące postanowienia:
- Strony zobowiązują się do przestrzegania postanowień standardowych klauzul umownych (Załącznik 1) w celu ułatwienia przekazywania Danych Osobowych do państw, które nie zapewniają odpowiedniej ochrony danych. Klauzule te zostały przyjęte w celu zapewnienia odpowiednich zabezpieczeń w zakresie prywatności, a także podstawowych praw i wolności jednostek. W ramach tych klauzul „Kontrolujący” będzie działał jako „Podmiot przekazujący dane”, a „Przetwarzający” jako „Podmiot odbierający dane”. W przypadku wystąpienia konfliktu pomiędzy standardowymi klauzulami umownymi a niniejszą Umową powierzenia przetwarzania danych, pierwszeństwo mają standardowe klauzule umowne.
- Strony na żądanie Kontrolującego zastąpią standardowe klauzule umowne i uzgodnią nowe postanowienia dotyczące przekazywania danych do podmiotów przetwarzających w państwach trzecich, zgodnie z art. 46 ust. 2 lit. c) lub d) RODO.
- W przypadku i w okresie, w którym Dane osobowe są przekazywane do państwa posiadającego decyzję stwierdzającą zapewnienie odpowiedniego stopnia ochrony na podstawie art. 45 ust. 3 RODO, stosowanie standardowych klauzul umownych nie jest wymagane. Jeżeli decyzja stwierdzająca zapewnienie odpowiedniego stopnia ochrony zostanie uchylona lub zawieszona, klauzule (a) i (b) zostaną zastosowane automatycznie.
VII. Środki techniczne i organizacyjne oraz bezpieczeństwo danych
Środki techniczne i organizacyjne zostały szczegółowo opisane w Dodatku — Załączniku II.
VIII. Podwykonawstwo
- Podwykonawstwo do celów niniejszej Umowy należy rozumieć jako usługi, które odnoszą się bezpośrednio do świadczenia usługi głównej. Nie obejmuje to usług zależnych, takich jak usługi telekomunikacyjne, usługi pocztowe/transportowe, usługi konserwacji i pomocy technicznej dla użytkowników lub utylizacja nośników danych, a także innych środków zapewniających poufność, dostępność, nienaruszalność i odporność sprzętu i oprogramowania urządzeń do przetwarzania danych. Przetwarzający będzie jednak zobowiązany do zawarcia odpowiednich i prawnie wiążących umów oraz do podjęcia odpowiednich działań kontrolnych w celu zapewnienia ochrony danych i bezpieczeństwa danych Kontrolującego, nawet w przypadku zewnętrznych usług zależnych.
- Przetwarzający może autoryzować podwykonawców wyłącznie po uprzedniej pisemnej lub udokumentowanej zgodzie ze strony Kontrolującego. Niezależnie od powyższych ustaleń, Kontrolujący nie będzie wstrzymywał zgody bez obiektywnie uzasadnionych przyczyn. W przypadku zgłoszenia przez Kontrolującego sprzeciwu dotyczącego powołania lub zastąpienia jakiegokolwiek podwykonawcy, Przetwarzający odstąpi od powołania lub zastąpienia podwykonawców lub, jeśli nie będzie to możliwe, Kontrolujący może zawiesić lub zakończyć świadczenie Usługi lub Usług bez uszczerbku dla wszelkich opłat poniesionych przez Kontrolującego jeszcze przed takim zawieszeniem lub zakończeniem świadczenia Usług.
- Zlecanie pracy podwykonawcom lub zmiana istniejącego podwykonawcy jest dopuszczalna, gdy:
- Przetwarzający przedstawi takie zlecenie pracy podwykonawcy w formie pisemnej lub tekstowej Kontrolującemu z odpowiednim wyprzedzeniem; oraz
- Kontrolujący nie wyrazi zastrzeżeń wobec planowanego zlecenia pracy w formie pisemnej lub tekstowej do dnia przekazania danych Przetwarzającemu; oraz
- te same obowiązki w zakresie ochrony danych, określone w niniejszej Umowie, zostaną nałożone na innego przetwarzającego (podwykonawcę) na podstawie kontraktu/umowy lub zlecenie pracy podwykonawcy odbywa się na podstawie umowy zgodnej z Przepisami.
- Przetwarzający pisemnie nałoży na podwykonawców odpowiednie zobowiązania umowne, zapewniające nie mniejszy stopień ochrony niż niniejsza Umowa lub wymagania prawne określone przez Przepisy, w tym odpowiednie zobowiązania umowne dotyczące poufności, ochrony danych, bezpieczeństwa danych i praw audytowych.
- Przekazanie danych osobowych podwykonawcy przez Kontrolującego i rozpoczęcie przetwarzania danych przez podwykonawcę będzie możliwe dopiero po spełnieniu wszystkich wymogów dotyczących zgodności.
- Przetwarzający ograniczy dostęp podwykonawcy do danych wyłącznie do zakresu niezbędnego do utrzymania usług podwykonawcy i uniemożliwi podwykonawcom dostęp do danych w jakimkolwiek innym celu.
- Przetwarzający pozostaje odpowiedzialny za przestrzeganie zobowiązań zawartych w niniejszej Umowie oraz za wszelkie działania lub zaniechania podwykonawcy, powodujące, że Przetwarzający naruszy swoje zobowiązania wynikające z niniejszej Umowy.
- Jeśli podwykonawca świadczy ustalone usługi poza Unią Europejską/EOG, Przetwarzający musi zapewnić zgodność z Przepisami, stosując odpowiednie środki.
- Dalsze zlecanie pracy przez podwykonawcę wymaga wyraźnej zgody Przetwarzającego (co najmniej w formie tekstowej); wszystkie postanowienia niniejszej Umowy powinny zostać przekazane i uzgodnione z każdym kolejnym podwykonawcą.
IX. Obowiązki i prawa Kontrolującego oraz nadzór nad nim
- Kontrolujący ponosi wyłączną odpowiedzialność za ocenę zasadności wnioskowanego przetwarzania oraz za prawa stron, których ono dotyczy.
- Kontrolujący ma prawo do przeprowadzania kontroli Przetwarzającego lub zlecania ich przeprowadzenia wspólnie uzgodnionemu audytorowi, wyznaczanemu dla każdego konkretnego przypadku na koszt Kontrolującego. Kontrolujący ma prawo do sprawdzenia, czy Przetwarzający zachowuje zgodność z niniejszą Umową w czasie jego godzin pracy za pomocą kontroli losowych, które powinny zostać zapowiedziane w rozsądnym czasie.
- Kontrole w siedzibie Przetwarzającego muszą być przeprowadzane bez możliwych do uniknięcia zakłóceń działalności Przetwarzającego. O ile z pilnych względów nie wskazano inaczej, co musi zostać udokumentowane przez Kontrolującego, kontrole powinny być przeprowadzane po odpowiednim wcześniejszym powiadomieniu i w godzinach pracy Przetwarzającego, a nie częściej niż co 12 miesięcy. Jeżeli Przetwarzający dostarcza dowodów na prawidłowe wdrożenie uzgodnionych zobowiązań dotyczących ochrony danych, zgodnie z opisem w rozdziale IX.-5 niniejszej Umowy, wszelkie kontrole powinny być ograniczone do próbek.
- Przetwarzający powinien zapewnić Kontrolującemu możliwość zweryfikowania zgodności z obowiązkami Przetwarzającego zgodnie z Przepisami. Przetwarzający zobowiązuje się przekazać Kontrolującemu na żądanie niezbędne informacje, wykazujące wprowadzenie środków technicznych i organizacyjnych.
- Dowody takich działań, które dotyczą nie tylko niniejszej Umowy, mogą być przekazywane w formie aktualnych certyfikatów, raportów lub fragmentów raportów dostarczanych przez niezależne organy (np. audytora, Inspektora ochrony danych, dział bezpieczeństwa IT, audytora prywatności danych, audytora jakości).
- Przetwarzający może żądać wynagrodzenia za umożliwienie kontroli Kontrolującemu.
X. Obowiązki Przetwarzającego związane z udzielaniem pomocy i informacji
- Przetwarzający powinien pomagać Kontrolującemu w wypełnianiu obowiązków dotyczących bezpieczeństwa Danych osobowych, zgłaszaniu wymagań dotyczących naruszenia danych, ocenie wpływu ochrony danych i wcześniejszych konsultacjach. Obejmuje to między innymi:
- Zapewnienie odpowiedniego poziomu ochrony za pomocą środków technicznych i organizacyjnych, które uwzględniają okoliczności i cele przetwarzania, jak również przewidywane prawdopodobieństwo i dotkliwość potencjalnego naruszenia prawa w wyniku luk w zabezpieczeniach, oraz umożliwiają natychmiastowe wykrycie istotnych zdarzeń naruszenia prawa.
- Obowiązek natychmiastowego zgłaszania naruszenia Danych osobowych Kontrolującemu.
- Obowiązek pomagania Kontrolującemu w wykonywaniu obowiązku Kontrolującego, polegającego na przekazywaniu danych Osobie, której dane dotyczą, oraz natychmiastowym przekazania Kontrolującemu wszystkich istotnych informacji w tym zakresie.
- Obowiązek udzielania Kontrolującemu pomocy w zakresie obowiązku przekazania przez niego danych organowi nadzorczemu. Na żądanie organu nadzorczego Kontrolujący powinien z nim współpracować w zakresie wykonywania swoich zadań.
- Wspieranie Kontrolującego poprzez ocenę wpływu ochrony danych.
- Wspieranie Kontrolującego w odniesieniu do wcześniejszej konsultacji z organem nadzorczym.
- Kontrolujący powinien być niezwłocznie informowany o wszelkich kontrolach i środkach stosowanych przez organ nadzorczy w zakresie przetwarzania danych związanych z niniejszą Umową. Dotyczy to również sytuacji, w której Przetwarzający podlega dochodzeniu lub jest stroną dochodzenia prowadzonego przez kompetentny organ w związku z naruszeniem jakichkolwiek przepisów prawa, zasad administracyjnych lub przepisów dotyczących przetwarzania danych w związku z przetwarzaniem niniejszej Umowy. W zakresie, w jakim Kontrolujący podlega kontroli organu nadzorczego, postępowaniu w sprawie naruszenia prawa administracyjnego, w sprawie występku lub postępowaniu karnemu, roszczeniu Osoby, której dane dotyczą, lub strony trzeciej, bądź jakiemukolwiek innemu roszczeniu w związku z przetwarzaniem danych przez Przetwarzającego w ramach tej Umowy, Przetwarzający powinien dołożyć wszelkich starań, aby wspierać Kontrolującego i zapewniać mu potrzebną dokumentację, zasoby i wsparcie. W przypadku gdy dane objęte niniejszą Umowy będą podlegać konfiskacie w trakcie postępowania dotyczącego upadłości lub niewypłacalności lub podobnych działań stron trzecich w trakcie przetwarzania przez Przetwarzającego, Przetwarzający powiadomi o tym Kontrolującego bez nieuzasadnionej zwłoki. Przetwarzający, bez nieuzasadnionej zwłoki, powiadomi Kontrolującego i będzie go informować na bieżąco, bez nieuzasadnionej zwłoki, o wszelkich zmianach i modernizacjach z zakresie tych działań i podejmie wszelkie środki w odpowiedzi na takie działania, zgodnie z wymaganiami Kontrolującego.
- Przetwarzający może żądać rekompensaty za usługi wsparcia, które nie zostały uwzględnione w opisie tych usług i które nie są związane z niedopełnieniami obowiązków Przetwarzającego, pod warunkiem wcześniejszego zatwierdzenia takiej rekompensaty przez Kontrolującego.
XI. Wynagrodzenie
Wynagrodzenie Przetwarzającego za usługi świadczone na podstawie niniejszej Umowy jest ostatecznie określone w Umowie o świadczeniu usługi. Niniejsza Umowa nie obejmuje odrębnego wynagrodzenia ani zwrotu kosztów.
XII. Odpowiedzialność prawna i za szkody
- Kontrolujący i Przetwarzający ponoszą odpowiedzialność odpowiednio za szkody spowodowane przez osoby nieupoważnione lub za nieprawidłowe przetwarzanie danych w ramach niniejszej Umowy, zgodnie z obowiązującymi przepisami prawa.
- W żadnym wypadku żadna ze stron nie będzie ponosić odpowiedzialności wobec drugiej strony za jakiekolwiek szkody pośrednie, karne, szczególne, przypadkowe lub wynikowe powstałe w związku z niniejszą umową lub powiązane z nią (w tym utratę zysków, korzyści, danych lub innych korzyści ekonomicznych), jednakże w przypadku naruszenia niniejszej umowy, w tym naruszenia gwarancji lub deliktu, nawet jeśli strona ta została wcześniej poinformowana o możliwości wystąpienia takich szkód.
XIII. Wypowiedzenie, zwrot i usunięcie danych
- Po rozwiązaniu niniejszej Umowy lub rozwiązaniu Umowy o świadczenie usługi, lub na żądanie ze strony Kontrolującego, Przetwarzający powinien przekazać Kontrolującemu lub — po uzyskaniu uprzedniej zgody Kontrolującego — zniszczyć wszystkie dane, wyniki ich przetwarzania i wykorzystania oraz zestawy danych związane z niniejszą Umową lub Umową o świadczenie usługi, które zostały przekazane w posiadanie Przetwarzającemu w sposób zgodny z przepisami dotyczącymi ochrony danych. To samo dotyczy wszystkich powiązanych testów, odpadów, nadmiarowych i odrzuconych materiałów. Zapis zniszczenia lub usunięcia powinien zostać przekazany Kontrolującemu po zakończeniu niszczenia lub usunięcia albo w dowolnym momencie, zgodnie z żądaniem Kontrolującego.
- Dokumentacja użyta w celu wykazania prawidłowego przetwarzania danych zgodnie z niniejszą Umową powinna być przechowywana przez Przetwarzającego po upływie okresu obowiązywania niniejszej Umowy zgodnie z odpowiednimi okresami przechowywania określonymi w Przepisach. Przetwarzający może przekazać taką dokumentację Kontrolującemu po zakończeniu okresu obowiązywania niniejszej Umowy lub w dowolnym momencie, zgodnie z żądaniem Kontrolującego.
- Przetwarzający jest zobowiązany do natychmiastowego zapewnienia zwrotu lub usunięcia danych przez podwykonawców.
- Przetwarzający musi przedstawić dowód prawidłowego zniszczenia danych przez Przetwarzającego lub podwykonawców i natychmiast przesłać ten dowód Kontrolującemu.
XIV. Różne
- Obie Strony są zobowiązane traktować wszystkie tajemnicę handlową i środki bezpieczeństwa danych, uzyskane od drugiej strony w ramach stosunku umownego, w sposób poufny, nawet po wygaśnięciu niniejszej Umowy. W razie jakichkolwiek wątpliwości co do tego, czy informacje są poufne, będą one traktowane jako poufne do czasu otrzymania pisemnej zgody drugiej strony. Na mocy niniejszej Umowy żaden interes w zakresie praw własności intelektualnej nie zostanie przekazany z Kontrolującego na Przetwarzającego.
- Wszelkie zmiany w niniejszej Umowie będą miały formę pisemną i zostaną uzgodnione przez obie Strony.
- Niniejszym wyklucza się wszelkie zwolnienia z prawa do przechowywania danych w odniesieniu do przetwarzanych danych i związanych z nimi operatorów danych.
- Jeśli jakakolwiek część niniejszej Umowy stanie się nieważna, nie będzie to miało wpływu na ważność pozostałej części niniejszej Umowy.
- Niniejsza Umowa podlega i jest interpretowana zgodnie z prawem Republiki Federalnej Niemiec, bez uwzględnienia norm kolizyjnych zawartych w tych przepisach.
- Wszelkie spory wynikające z lub w związku z niniejszą Umową będą rozpatrywane i ostatecznie rozstrzygane przez sąd właściwej jurysdykcji w Düsseldorfie w Nadrenii Północnej-Westfalii w Niemczech, z wyłączeniem Konwencji Narodów Zjednoczonych o Umowach Międzynarodowej Sprzedaży Towarów. Jeśli klient jest handlowcem zgodnie z § 1 ustępem 1 niemieckiego kodeksu handlowego (HGB), osobą prawną podlegającą prawu publicznemu lub specjalnym funduszem podlegającym prawu publicznemu, sądy w Düsseldorfie rozstrzygają wszelkie spory wynikające z niniejszej umowy.
Pobierz
Zapisz się na biuletynu C2
Zarejestruj się teraz, aby uzyskać najnowsze informacje o usługach C2, analizach technicznych, działaniach i wydarzeniach.
Aby zapewnić Ci otrzymanie naszego newslettera, utworzymy dla Ciebie konto Synology przy użyciu podanego adresu e-mail.