REGULAMIN POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ PODWYKONAWCÓW OBOWIĄZUJĄCY W FIRMIE WIELKOPOLSKI INDYK

  1. INFORMACJE PODSTAWOWE

1.1

W trosce o zachowanie prawa do prywatności Klientów i Kontrahentów Firmy Wielkopolski Indyk, wypełniając wymogi obowiązujących przepisów prawa, w tym przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO), publikujemy niniejszy Regulamin przetwarzania danych osobowych przez podwykonawców, zwany dalej Regulaminem, który opisuje obowiązujące w naszej Firmie zasady powierzania przetwarzania danych podmiotom, którym w związku z prowadzoną współpracą czy świadczonymi przez nie usługami, powierzamy do przetwarzania udostępnione nam dane osobowe.

1.2

  1. Regulamin wiąże wszystkie podmioty współpracujące z Firmą Wielkopolski Indyk lub świadczące na jej rzecz usługi, którym w związku z prowadzoną współpracą lub świadczonymi przez nie usługami Firma Wielkopolski Indyk powierza do przetwarzania dane osobowe, którymi administruje. Podmioty te zwane są dalej Podwykonawcami lub Procesorem.
  2. Regulamin ma zastosowanie do wszystkich danych osobowych, których przetwarzanie Firma Wielkopolski Indyk powierza  swoim Podwykonawcom.
  3. Jeżeli Podwykonawca zawarł  z  Firmą Wielkopolski Indyk osobną umowę dotyczącą powierzenia przetwarzania danych postanowienia tej umowy mają pierwszeństwo przed postanowieniami niniejszego Regulaminu. W zakresie nieuregulowanym w umowie zastosowanie mają postanowienia Regulaminu.
  4. Regulamin został wprowadzony w dniu 24 maja 2018 r. i obowiązują bezterminowo. Firma Wielkopolski Indyk zastrzega sobie  prawo  do  jego zmiany. Podwykonawcy  zostaną  poinformowani  o zakresie zmian z co najmniej 14 dniowym wyprzedzeniem.

1.3

Dla potrzeb niniejszego Regulaminu ustala się następujące znaczenie niżej wymienionych pojęć:

  1. Administrator ? Wielkopolski Indyk sp. z o.o. z siedzibą w Bolesławcu pod adresem Bolesławiec 12A, 62-050 Mosina, wpisana do Krajowego Rejestru Sadowego pod numerem 0000646404,
    NIP 7773271756, REGON 365834337;
  2. RODO ? rozporządzenie  Parlamentu  Europejskiego  i  Rady  (UE)  2016/679  z  dnia  27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i  w  sprawie  swobodnego  przepływu  takich  danych  oraz  uchylenia  dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1);
  3. Podwykonawca/Procesor ? podmiot przetwarzający dane osobowe na polecenie Administratora i w sposób ustalony przez Administratora;
  4. Współpraca ? współpraca pomiędzy Administratorem a Podwykonawcą, w związku z którą Administrator powierza Podwykonawcy przetwarzanie danych osobowych;
  5. Umowa ? umowa o świadczenie usług lub inna umowa cywilnoprawna łącząca Administratora z Podwykonawcą, w związku z którą Administrator powierza Podwykonawcy przetwarzanie danych osobowych;

2. ZAKRES, CEL I CHARAKTER PRZETWARZANIA DANYCH OSOBOWYCH

2.1.

Każdy Podwykonawca (Procesor), któremu w związku z prowadzoną Współpracą lub zawartą Umową Administrator powierza przetwarzanie danych osobowych, zobowiązany jest do przetwarzania powierzonych mu danych osobowych zgodnie z zasadami określonymi w niniejszym Regulaminie oraz obowiązującymi przepisami prawa.

2.2

  1. Powierzenie przetwarzania danych osobowych Procesorowi może dotyczyć w szczególności danych następujących kategorii osób:
  2. pracowników i współpracowników Administratora;
  3. osób wchodzących w skład organów Administratora;
  4. klientów i kontrahentów Administratora;
  5. pracowników, współpracowników, podwykonawców lub kontrahentów osób, o których mowa w punkcie c).
  6. Zakres powierzanych Procesorowi do przetwarzania danych osobowych może obejmować:
  7. imię i nazwisko;
  8. adres zamieszkania;
  9. adres e-mail;
  10. numer telefonu;
  11. numer rachunku bankowego;
  12. numer rejestracyjny samochodu lub innego pojazdu (jeśli dane świadczenie dotyczy samochodu)
  13. dane identyfikujące osobę ? PESEL, NIP, seria i numer dokumentu tożsamości;
  14. dane dotyczące prowadzonej działalności gospodarczej

2.3

  1. Powierzenie Procesorowi przetwarzania danych osobowych następuje w takim zakresie, w jakim jest to niezbędne do realizacji celów Współpracy lub należytego wykonania Umowy.
  2. Dane osobowe określone w § 2.2. przetwarzane są:
  • wyłącznie w celach wynikających z przedmiotu Współpracy lub z przedmiotu Umowy, w tym również w celu wykonania jednorazowej usługi zleconej doraźnie w innej formie niż pisemna, oraz
  • w zakresie, w jakim jest to niezbędne dla realizacji celów Współpracy lub Umowy.
  1. Dane nie mogą być przetwarzane w innym celu lub w szerszym zakresie niż określony w ustępie 2 niniejszego paragrafu.
  2. Przetwarzanie przez Procesora powierzonych  danych osobowych w szerszym zakresie lub dla realizacji innych celów niż wskazane w ustępach 1 i 2 niniejszego paragrafu, przy braku dysponowania odpowiednią podstawą prawną, będzie stanowiło naruszenie przepisów RODO oraz Regulaminu, co może stanowić podstawę zaprzestania współpracy lub składania  dalszych  zleceń  przez  Administratora  oraz  wyciągnięcia  konsekwencji przewidzianych przepisami prawa.

2.4

  1. Dane osobowe mogą być przekazywane Procesorowi  w  formie pisemnej lub elektronicznej (np. w formie papierowej,  w wiadomości sms, przez telefon, za pośrednictwem poczty elektronicznej, pocztą tradycyjną) osobiście lub na wskazany przez Procesora numer telefonu, adres e-mail, adres korespondencyjny.
  2. Przetwarzanie danych osobowych przez Procesora może odbywać się w formie papierowej lub przy wykorzystaniu systemów informatycznych w zależności od tego, w jakim celu dane są przetwarzane.

3. OKRES POWIERZENIA

3.1

  1. Powierzenie przetwarzania danych osobowych Procesorowi, z zastrzeżeniem postanowień ustępu 2 niniejszego paragrafu, następuje na czas trwania Współpracy lub Umowy.
  2. Po zakończeniu Współpracy lub rozwiązaniu bądź wygaśnięciu Umowy Procesor jest uprawniony do przechowywania powierzonych mu danych osobowych tylko w zakresie i przez okres niezbędny dla wywiązywania się przez Procesora z obowiązków wynikających z przepisów prawa (w szczególności prawa podatkowego), a także przez okres odpowiadający okresowi przedawnienia roszczeń wynikających ze Współpracy lub Umowy.

3.2

Po upływie okresu, o którym mowa w § 3.1, Procesor – zależnie od decyzji Administratora – usunie lub zwróci Administratorowi wszelkie powierzone mu dane osobowe oraz zniszczy wszelkie ich istniejące kopie w terminie 7 dni roboczych od dnia doręczenia decyzji Administratora, chyba że prawo Unii Europejskiej lub prawo polskie nakazują przechowywanie danych osobowych.

4. PRAWA I OBOWIĄZKI ADMINISTRATORA

4.1

  1. Administrator, audytor lub inna osoba upoważniona przez Administratora ma prawo do przeprowadzenia kontroli przestrzegania przez Procesora zasad przetwarzania danych osobowych.
  2. Administrator, audytor lub inna osoba upoważniona przez Administratora uprawniony jest do  kontrolowania przestrzegania przez Procesora zasad przetwarzania danych osobowych w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania przez Procesora danych osobowych lub dokonywanie kontroli w miejscach, w których są przetwarzane powierzone dane osobowe.

4.2

  1. Administrator zobowiązany jest współdziałać z Podwykonawcą w wykonaniu obowiązków wynikających z Regulaminu oraz udzielać wyjaśnień w razie wątpliwości co do legalności poleceń Administratora.
  2. Uprawnienia określone w niniejszym paragrafie przysługują Administratorowi odpowiednio w stosunku do podmiotów, o których mowa w punkcie VI – w przypadku wyrażania przez Administratora zgody na powierzenie przez Procesora przetwarzania powierzonych mu danych innym podmiotom przetwarzającym (podprzetwarzanie).

5. OBOWIĄZKI PROCESORA

5.1

  1. Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora przy czym za takie udokumentowane polecenie uważa się również polecenie przekazywane drogą elektroniczną na wskazany przez Procesora adres e-mail lub za pośrednictwem wiadomości sms na wskazany przez Procesora numer telefonu.
  2. Procesor bez wyraźnej zgody Administratora nie może przetwarzać danych osobowych do państwa trzeciego lub organizacji międzynarodowej, tj. poza obszar EOG (Europejski Obszar Gospodarczy), chyba, że obowiązek taki nakłada na niego prawo Unii Europejskiej lub przepisy prawa krajowego.
  3. W przypadku obowiązku lub zamiaru przekazania danych osobowych poza EOG, Procesor, zobowiązany jest, o ile prawo tego nie zabrania, poinformować o tym Administratora w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych dla zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.

5.2.

  1. Procesor zobowiązany jest zapewnić, aby do przetwarzania powierzonych mu danych osobowych były dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych, o którym mowa w art. 29 RODO, i które zostały przeszkolenie z zakresu przepisów dotyczących ochrony danych osobowych.
  2. Procesor zobowiązany jest również zapewnić, by osoby upoważnione do przetwarzania powierzonych mu danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  3. Procesor ma obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania powierzonych mu danych osobowych oraz przekazywania tejże ewidencji na każde żądanie Administratora.

5.3.

  1. Procesor zobowiązany jest do wdrożenia i utrzymywania przez cały okres przetwarzania danych odpowiednich środków technicznych i organizacyjnych, jakie są niezbędne do należytego zabezpieczenia powierzonych mu danych osobowych, w szczególności do zabezpieczenia tych danych (np. poprzez  zabezpieczenie  telefonu  lub  komputera  hasłem  nieudostępnianym  osobom trzecim) przed dostępem do nich osób nieuprawnionych.
  2. Procesor zobowiązany jest zachować w tajemnicy powierzone mu dane osobowych oraz sposoby ich zabezpieczenia.
  3. Procesor ma obowiązek poinformowania Administratora z wyprzedzeniem o planowanych zmianach w sposobie przetwarzania danych, w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Procesora zmiany w opinii Administratora zagrażają bezpieczeństwu danych lub zwiększają ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

5.4

  1. Obowiązkiem Procesora jest udzielanie Administratorowi pomocy w wywiązaniu się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, to jest w szczególności w zakresie realizacji prawa tej osoby do:
  • dostępu do treści jej danych;
  • sprostowania jej danych;
  • usunięcia jej danych;
  • ograniczenia przetwarzania jej danych;
  • przenoszenia jej danych do innego podmiotu;
  • cofnięcia zgody na przetwarzanie jej danych;
  • wniesienia sprzeciwu wobec przetwarzania jej danych.
  1. Pomoc, o której mowa w ustępie 1 niniejszego paragrafu, udzielana jest poprzez odpowiednie środki techniczne i organizacyjne.
  2. W każdym przypadku Procesor ma obowiązek udzielić pomocy nie później niż w terminie 7 dni od dnia otrzymania wezwania od Administratora.
  3. Procesor zobowiązany jest do poinformowania Administratora o fakcie lub zamiarze wykorzystywania zautomatyzowanego przetwarzania danych, w tym profilowania, w zakresie i celu niezbędnym do wykonania przez Administratora obowiązku informacyjnego.

5. 5

Procesor ma nadto obowiązek udzielania Administratorowi pomocy w wywiązaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności:

  • zgłaszania Administratorowi jakiegokolwiek naruszenia danych osobowych w terminie nie późniejszym niż 24 godziny od momentu wykrycia naruszenia, w tym informowania co najmniej o:
  1. charakterze naruszenia, kategorii i przybliżonej liczbie osób, których dane dotyczą, przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie,
  2. możliwych konsekwencjach naruszenia ochrony danych osobowych,
  3. środkach zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków

oraz przekazania Administratorowi niezbędnej dokumentacji dotyczącej naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru;

  • przekazania Administratorowi oceny skutków planowanych operacji przetwarzania dla ochrony danych ? jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych ? w przypadku gdyby w toku wykonywania niniejszej umowy ocena ryzyka uległa zmianie bądź gdyby pojawiły się nowe ryzyka;
  • dokumentowania wszelkich naruszeń ochrony danych osobowych w postaci Rejestru Naruszeń zawierającej co najmniej informacje o okolicznościach naruszenia ochrony danych osobowych, skutkach tego naruszenia oraz działaniach zaradczych.

5.6

Do obowiązków Procesora należy również:

  • udostępnienie Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wskazanych w Regulaminie lub przepisach regulujących ochronę danych osobowych, w terminie 5 roboczych od dnia otrzymania żądania Administratora;
  • umożliwienie Administratorowi, audytorowi lub innej osobie upoważnionej przez Administratora, przeprowadzenia audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych w terminie uzgodnionym z Procesorem, przy czym ustalenie nastąpi nie później na 7 dni przed planowanym audytem;
  • stosowanie się do zaleceń pokontrolnych przekazanych przez Administratora w terminie wskazanych przez Administratora;
  • niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub przepisów prawa krajowego o ochronie danych osobowych;
  • niezwłocznego powiadomienia Administratora:
  1. o kontroli przetwarzania danych osobowych, zapowiedzianej lub prowadzonej przez organy państwowe upoważnione do przeprowadzania takich kontroli, oraz wszelkich decyzjach  lub  postanowieniach  administracyjnych  wydanych  wobec  Procesora  w związku z kontrolą;
  2. wszczętych lub  toczących  się  postępowaniach  administracyjnych,  sądowych  lub przygotowawczych  związanych  z  powierzeniem  Procesorowi  przetwarzania  danych osobowych,  a  także  o  wszelkich  decyzjach,  postanowieniach  lub  orzeczeniach wydanych wobec Procesora w związku z powyższym.

6. DALSZE POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

6.1

  1. Na dalsze powierzenie przetwarzania danych osobowych przez Procesora jego podwykonawcy (tzw. podpowierzenie) wymagana jest pisemna zgoda Administratora. Zgoda może mieć charakter ogólny lub szczególny.
  2. Zgoda udzielana jest pod warunkiem, że:
  • zakres i cel podpowierzenia nie będzie szerszy niż wynikający z niniejszej Regulaminu lub osobno zawartej z Administratorem umowy o powierzenie przetwarzania danych;
  • przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa Administratora, zostaną zachowane w umowie podpowierzenia odpowiednio do warunków opisanych w Regulaminie lub osobno zawartej przez Procesora z Administratorem umowie o powierzenie przetwarzania danych osobowych;
  • Podpowierzenie będzie niezbędne dla realizacji celów Współpracy lub wykonania Umowy;
  • Podpowierzenie nie naruszy interesów Administratora;
  • umowa podpowierzenia zostanie zawarta na piśmie i zgodnie z obowiązującymi przepisami dotyczącymi powierzania przetwarzania danych osobowych oraz nakładać będzie na podwykonawcę Procesora obowiązek realizacji wszystkich obowiązków Procesora wynikających z niniejszej Umowy;
  • Procesor w umowie podpowierzenia zobowiąże swoich podwykonawców do przestrzegania przy przetwarzaniu powierzonych danych obowiązków dotyczących ochrony danych na poziomie co najmniej określonym w Regulaminie lub osobno zawartej przez Procesora z Administratorem umowie o powierzeniu przetwarzania danych oraz w RODO i przepisach prawa krajowego, a także do wykonywania bezpośrednio w stosunku do Administratora obowiązków informacyjnych wynikających z Regulaminu, w szczególności w zakresie realizacji uprawnień osób, których dane dotyczą, oraz naruszeń bezpieczeństwa danych.
  1. Administrator w każdym czasie może z uzasadnionych i udokumentowanych przyczyn cofnąć zgodę na podpowierzenie w stosunku do konkretnego podwykonawcy Procesora. W razie cofnięcia zgody Procesor nie ma prawa w dalszym ciągu powierzać przetwarzania danych danemu podwykonawcy.

6.2

Podpowierzanie bez zgody Administratora będzie  stanowiło  naruszenie  przepisów  RODO  i niniejszego Regulaminu,  co  może  stanowić  podstawę  zaprzestania Współpracy lub korzystania z usług Procesora oraz wyciągnięcia konsekwencji przewidzianych przepisami prawa.

7. ODPOWIEDZIALNOŚĆ

7.1

  1. Procesor ponosi pełną odpowiedzialność wobec Administratora lub osób trzecich za szkody spowodowane przetwarzaniem danych osobowych niezgodnie z przepisami RODO lub innymi przepisami prawa dotyczącego ochrony danych osobowych, w szczególności, gdy nie dopełnił obowiązków określonych w RODO, innych przepisach prawa oraz w Regulaminie lub osobnej umowie o powierzenie przetwarzania danych zawartej z Administratorem .
  2. Przetwarzający odpowiada wobec Administratora za działania i zaniechania podwykonawcy, któremu podpowierzył przetwarzanie danych, jak za działania i zaniechania własne.

8. POSTANOWIENIA KOŃCOWE

8.1

Regulamin został wprowadzony w dniu 24 maja 2018 r. i obowiązują bezterminowo. Firma Wielkopolski Indyk zastrzega sobie prawo do jego zmiany. Podwykonawcy zostaną poinformowani o zakresie zmian z co najmniej 14 dniowym wyprzedzeniem.

 

Bolesławiec, dnia 24 maja 2018 r.