Partner Tech

Umowa o przetwarzanie danych


w imieniu


pomiędzy klientem, indywidualnie zwanym również "stroną" 

a Partner Tech Europe GmbH, indywidualnie zwanym również "Wykonawcą" lub "Stroną" 

i łącznie zwanymi "Stronami".



1. Ogólne

  1. W ramach świadczenia usług na podstawie głównej umowy zawartej między stronami nie można wykluczyć, że w trakcie konserwacji i serwisowania dostarczonego sprzętu i oprogramowania wykonawca może mieć kontakt z danymi osobowymi (zwanymi dalej danymi klienta), dla których klient jest podmiotem odpowiedzialnym w rozumieniu przepisów o ochronie danych. Niniejsza umowa o przetwarzaniu danych określa prawa i obowiązki stron w związku z przetwarzaniem danych osobowych klienta. 
  2. Wykonawca przetwarza dane osobowe w imieniu klienta w rozumieniu art. 4 nr 8 i art. 5 ust. 1 lit. a) RODO. 4 nr 8 i art. 28 Rozporządzenia (UE) 2016/679 - Ogólne rozporządzenie o ochronie danych (RODO). Niniejsza umowa reguluje prawa i obowiązki stron w związku z przetwarzaniem danych osobowych w imieniu klienta. Poszczególne usługi świadczone przez wykonawcę są opisane bardziej szczegółowo w głównej umowie zawartej między stronami. Dalsze szczegóły dotyczące gromadzenia, przetwarzania i wykorzystywania danych można znaleźć w ofertach wykonawcy stanowiących podstawę relacji biznesowych oraz, w stosownych przypadkach, w dalszych indywidualnych zamówieniach.
  3. Jeśli w niniejszej umowie używane są terminy, które są prawnie zdefiniowane w RODO, odpowiednia definicja z RODO zostanie przyjęta i wykorzystana jako podstawa niniejszej umowy. Dotyczy to w szczególności terminu "przetwarzanie" (danych) w art. 4 nr 2 RODO. 4 nr 2 RODO.


2. Przedmiot umowy

Przedmiot przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, są określone w umowie głównej.


3. Prawa i obowiązki klienta

  1. Klient jest administratorem w rozumieniu art. 4 nr 7 RODO w odniesieniu do danych osobowych. 4 nr 7 RODO w odniesieniu do przetwarzania danych w imieniu wykonawcy. 
  2. Klient jest odpowiedzialny za ochronę praw osób, których dane dotyczą. Wykonawca niezwłocznie poinformuje klienta, jeśli osoby, których dane dotyczą, dochodzą swoich praw wobec wykonawcy.
  3. Klient ma prawo w dowolnym momencie wydać wykonawcy dodatkowe instrukcje dotyczące rodzaju, zakresu i procedury przetwarzania danych. Instrukcje należy przekazywać w formie tekstowej (np. pocztą elektroniczną). Instrukcje ustne muszą zostać niezwłocznie potwierdzone w formie tekstowej.
  4. Postanowienia dotyczące rekompensaty za dodatkowe wydatki poniesione przez wykonawcę w wyniku dodatkowych instrukcji od klienta pozostają nienaruszone.
  5. Klient niezwłocznie poinformuje wykonawcę, jeśli wykryje błędy lub nieprawidłowości w związku z przetwarzaniem danych osobowych przez wykonawcę.
  6. W przypadku, gdy istnieje obowiązek przekazania informacji stronom trzecim zgodnie z art. 33 i 34 RODO lub jakimkolwiek innym prawnym obowiązkiem sprawozdawczym mającym zastosowanie do klienta, klient będzie odpowiedzialny za przestrzeganie takich obowiązków.


4ogólne obowiązki wykonawcy

  1. Wykonawca będzie przetwarzał dane osobowe wyłącznie w ramach zawartych umów i/lub zgodnie z wszelkimi dodatkowymi instrukcjami wydanymi przez klienta. Nie dotyczy to przepisów prawa, które mogą zobowiązywać wykonawcę do przetwarzania danych w inny sposób. W takim przypadku wykonawca poinformuje klienta o tych wymogach prawnych przed rozpoczęciem przetwarzania, chyba że odpowiednie prawo zabrania takiego powiadomienia ze względu na ważny interes publiczny. W przeciwnym razie cel, rodzaj i zakres przetwarzania danych będą regulowane wyłącznie przez niniejszą umowę i/lub instrukcje klienta. Wykonawcy nie wolno przetwarzać danych w żaden inny sposób, chyba że klient wyrazi na to pisemną zgodę.
  2. Przetwarzanie danych klienta przez wykonawcę w imieniu klienta odbywa się zasadniczo w państwach członkowskich Unii Europejskiej (UE) lub Europejskiego Obszaru Gospodarczego (EOG). Wykonawca może jednak również przetwarzać dane klienta poza EOG zgodnie z postanowieniami niniejszej umowy, jeśli spełnia wymogi art. 44 i nast. 44 i nast. RODO.
  3. Wykonawca niezwłocznie poinformuje klienta, jeśli jego zdaniem instrukcja wydana przez klienta narusza przepisy prawa. Wykonawca ma prawo zawiesić wykonanie danego polecenia do czasu jego potwierdzenia lub zmiany przez klienta. Jeżeli wykonawca jest w stanie wykazać, że przetwarzanie danych zgodnie z instrukcjami klienta może prowadzić do odpowiedzialności wykonawcy na mocy art. 82 RODO, wykonawca ma prawo zawiesić wykonywanie przedmiotowych instrukcji do czasu ich potwierdzenia lub zmiany przez klienta. 82 RODO, wykonawca ma prawo zawiesić dalsze przetwarzanie w tym zakresie do czasu wyjaśnienia odpowiedzialności między stronami.
  4. Przetwarzanie danych w imieniu klienta poza siedzibą wykonawcy lub podwykonawców jest dozwolone wyłącznie za zgodą klienta, która musi zostać udzielona co najmniej na piśmie. Przetwarzanie danych na rzecz klienta w domach prywatnych jest zasadniczo dozwolone. Klient ma prawo sprzeciwić się takiemu przetwarzaniu w prywatnych domach w uzasadnionych przypadkach; wykonawca może, według własnego uznania, kontynuować przetwarzanie w swoim miejscu prowadzenia działalności lub zaradzić powodom sprzeciwu klienta.
    Wykonawca zapewni przestrzeganie w szczególności środków technicznych i organizacyjnych. Klient jest świadomy, że może to skutkować ograniczeniem opcji kontroli.
  5. Wykonawca będzie przetwarzać dane, które przetwarza w imieniu klienta, oddzielnie od innych danych. Oddzielenie fizyczne nie jest obowiązkowe. 

5. Inspektor ochrony danych wykonawcy
  1. Wykonawca potwierdza, że wyznaczył inspektora ochrony danych zgodnie z art. 37 RODO. 37 RODO. Wykonawca zapewni, że inspektor ochrony danych posiada niezbędne kwalifikacje i wiedzę fachową. Wykonawca przekaże klientowi imię i nazwisko oraz dane kontaktowe inspektora ochrony danych na piśmie na żądanie. 
  2. Obowiązek wyznaczenia inspektora ochrony danych zgodnie z paragrafem 1 nie ma zastosowania, jeśli wykonawca może udowodnić, że nie jest prawnie zobowiązany do wyznaczenia inspektora ochrony danych, a wykonawca może udowodnić, że istnieją przepisy operacyjne, które zapewniają przetwarzanie danych osobowych zgodnie z przepisami ustawowymi, postanowieniami niniejszej umowy i wszelkimi dalszymi instrukcjami klienta.


6obowiązki sprawozdawcze wykonawcy

  1. Wykonawca jest zobowiązany do niezwłocznego powiadomienia klienta o wszelkich naruszeniach przepisów o ochronie danych lub zawartych umów i/lub instrukcji wydanych przez klienta, które miały miejsce w trakcie przetwarzania danych przez niego lub inne osoby zaangażowane w przetwarzanie. To samo dotyczy wszelkich naruszeń ochrony danych osobowych, które wykonawca przetwarza w imieniu klienta.
  2. Ponadto wykonawca niezwłocznie poinformuje klienta, jeśli organ nadzorczy podejmie działania przeciwko wykonawcy zgodnie z art. 58 RODO, co może mieć również wpływ na przetwarzanie danych osobowych przez wykonawcę. 58 RODO, co może mieć również wpływ na przetwarzanie prowadzone przez wykonawcę w imieniu klienta.
  3. Wykonawca będzie wspierał klienta w wypełnianiu obowiązków sprawozdawczych zgodnie z art. 33 RODO oraz obowiązku powiadamiania zgodnie z art. 33 RODO. 33 RODO oraz obowiązku powiadamiania zgodnie z art. 34 RODO. Raport wykonawcy dla klienta musi zawierać w szczególności następujące informacje:

    • opis charakteru naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, kategorie danych osobowych, których dotyczy naruszenie, oraz przybliżoną liczbę rekordów danych osobowych, których dotyczy naruszenie;
    • opis środków podjętych lub zaproponowanych przez wykonawcę w celu zaradzenia naruszeniu ochrony danych osobowych oraz, w stosownych przypadkach, środków mających na celu złagodzenie jego ewentualnych negatywnych skutków.


7obowiązki wykonawcy w zakresie współpracy

  1. Wykonawca będzie wspierał klienta w jego obowiązku odpowiadania na wnioski o wykonanie praw osób, których dane dotyczą, zgodnie z art. 12-22 RODO. Zastosowanie mają postanowienia sekcji 11 niniejszej umowy.
  2. Wykonawca pomaga klientowi w sporządzaniu rejestrów czynności przetwarzania. Przekazuje klientowi niezbędne informacje w tym zakresie w odpowiedni sposób.
  3. Wykonawca wspiera klienta w wypełnianiu obowiązków określonych w art. 32-36 RODO, biorąc pod uwagę charakter przetwarzania i dostępne mu informacje.


8uprawnienia kontrolne

  1. Klient ma prawo do monitorowania przestrzegania przez wykonawcę przepisów ustawowych dotyczących ochrony danych i/lub postanowień umownych uzgodnionych między stronami i/lub instrukcji klienta w dowolnym momencie w niezbędnym zakresie.
  2. Wykonawca jest zobowiązany do dostarczenia klientowi informacji w zakresie niezbędnym do przeprowadzenia monitorowania w rozumieniu ust. 1.
  3. Klient może zażądać dostępu do danych przetwarzanych przez wykonawcę na rzecz klienta, a także do systemów przetwarzania danych i wykorzystywanych programów.
  4. Klient może, po uprzednim powiadomieniu, przeprowadzić kontrolę w rozumieniu ust. 1 w siedzibie wykonawcy w normalnych godzinach pracy. Klient zapewni, że inspekcje są przeprowadzane tylko w niezbędnym zakresie, tak aby nie zakłócać w nieproporcjonalny sposób działalności gospodarczej wykonawcy.
  5. Inspekcja zgodnie z poprzednim punktem (4) może być również przeprowadzona przez eksperta wyznaczonego przez klienta. Wykonawca musi zostać powiadomiony o takim wyznaczeniu z wyprzedzeniem i w odpowiednim czasie, tak aby mógł w uzasadnionych przypadkach sprzeciwić się takiemu wyznaczeniu, np. jeśli ekspert jest potencjalnym konkurentem wykonawcy. W przypadku takiego sprzeciwu klient może, według własnego uznania, samodzielnie przeprowadzić odpowiednią kontrolę lub zaradzić powodom sprzeciwu kontrahenta (np. poprzez wyznaczenie innego eksperta). 
  6. W przypadku podjęcia przez organ nadzorczy środków przeciwko klientowi w rozumieniu art. 58 RODO, w szczególności w odniesieniu do art. 6 ust. 1 lit. a) RODO. 58 RODO, w szczególności w odniesieniu do obowiązków informacyjnych i kontrolnych, wykonawca jest zobowiązany do przekazania klientowi niezbędnych informacji i umożliwienia właściwemu organowi nadzorczemu przeprowadzenia kontroli na miejscu. Klient musi zostać poinformowany przez wykonawcę o wszelkich takich planowanych środkach.


9. Podwykonawstwo

  1. Klient zgadza się, że wykonawca może zaangażować podwykonawców. Wykonawca poinformuje klienta przed zaangażowaniem dodatkowych podwykonawców lub zastąpieniem istniejących podwykonawców. Klient może sprzeciwić się zmianie z ważnego powodu w ciągu dwóch tygodni od otrzymania informacji od wykonawcy, powiadamiając biuro wyznaczone przez wykonawcę. W przypadku braku sprzeciwu w tym terminie, zgodę na zmianę uznaje się za udzieloną. Podwykonawcy zatrudnieni przez wykonawcę w momencie podpisania umowy są wymienieni na następnej stronie XXX i są akceptowani przez klienta.
  2. Wykonawca zawrze z podwykonawcą umowę o przetwarzaniu danych, która spełnia wymogi art. 28 RODO. 28 RODO. Ponadto wykonawca nałoży na podwykonawcę takie same obowiązki w zakresie ochrony danych osobowych, jak te uzgodnione między klientem a wykonawcą. Kopia umowy o przetwarzaniu danych zostanie przekazana klientowi na jego żądanie.
  3. Wykonawca jest w szczególności zobowiązany do zapewnienia poprzez postanowienia umowne, że uprawnienia kontrolne (sekcja 8 niniejszej umowy) klienta i organów nadzorczych mają również zastosowanie do podwykonawcy oraz że uzgodniono odpowiednie uprawnienia kontrolne klientów i organów nadzorczych. Należy również przewidzieć w umowie, że podwykonawca musi tolerować te środki kontroli i wszelkie kontrole na miejscu.
  4. Usługi, z których wykonawca korzysta od stron trzecich jako usługi czysto pomocnicze w celu prowadzenia swojej działalności gospodarczej, nie są uważane za stosunki podwykonawstwa w rozumieniu klauzuli 9. Obejmują one na przykład usługi sprzątania, usługi czysto telekomunikacyjne bez konkretnego związku z usługami świadczonymi przez wykonawcę na rzecz klienta, usługi pocztowe i kurierskie, usługi transportowe i usługi ochrony. Wykonawca jest jednak zobowiązany do zapewnienia podjęcia odpowiednich środków ostrożności oraz środków technicznych i organizacyjnych w celu zagwarantowania ochrony danych osobowych, nawet w przypadku usług dodatkowych świadczonych przez osoby trzecie. Konserwacja i serwisowanie systemów informatycznych lub aplikacji stanowi stosunek podwykonawstwa wymagający zgody i przetwarzania zamówienia w rozumieniu art. 28 RODO, jeżeli konserwacja i testowanie systemów informatycznych lub aplikacji stanowi stosunek podwykonawstwa wymagający zgody i przetwarzania zamówienia w rozumieniu art. 28 RODO. 28 RODO, jeśli konserwacja i testowanie dotyczą systemów informatycznych, które są również wykorzystywane w związku ze świadczeniem usług na rzecz klienta i jeśli dane osobowe przetwarzane w imieniu klienta mogą być dostępne podczas konserwacji.


10zobowiązanie do zachowania poufności i tajemnicy

  1. Obie strony zobowiązują się traktować wszystkie informacje, które otrzymają w związku z wykonywaniem niniejszej umowy, jako poufne przez czas nieokreślony i wykorzystywać je wyłącznie w celu wykonania umowy. 
  2. Żadna ze stron nie jest uprawniona do wykorzystywania tych informacji, w całości lub w części, do celów innych niż te, o których mowa powyżej, ani do udostępniania tych informacji osobom trzecim. Powyższe postanowienie nie ma zastosowania do audytów w ramach realizacji zamówienia.
  3. Powyższe zobowiązania wynikające z (1) i (2) nie mają zastosowania do informacji, które jedna ze stron w sposób oczywisty otrzymała od osób trzecich bez obowiązku zachowania poufności lub które są publicznie znane.
  4. Wykonawca jest zobowiązany do zachowania poufności podczas przetwarzania danych i informacji, które otrzymuje lub o których dowiaduje się w związku z zamówieniem. Wykonawca zobowiązuje się do przestrzegania tych samych zasad poufności, które obowiązują klienta. Klient jest zobowiązany do poinformowania wykonawcy o wszelkich szczególnych zasadach poufności.
  5. Wykonawca gwarantuje, że zna obowiązujące przepisy dotyczące ochrony danych i jest zaznajomiony z ich stosowaniem. Wykonawca gwarantuje ponadto, że zapozna swoich pracowników z odpowiednimi przepisami dotyczącymi ochrony danych. 
  6. Wykonawca gwarantuje ponadto, że dodatkowo zobowiązał pracowników zaangażowanych w wykonywanie pracy do zachowania poufności i poinformował ich o instrukcjach klienta. Na żądanie klienta należy przedstawić dowody potwierdzające spełnienie tego obowiązku przez pracowników.


11. Ochrona praw osób, których dane dotyczą

  1. Wykonawca jest zobowiązany do wspierania klienta w jego obowiązku przetwarzania wniosków osób, których dane dotyczą, zgodnie z art. 12-22 RODO. W tym celu wykonawca zapewni w szczególności niezwłoczne przekazanie klientowi niezbędnych informacji, tak aby klient mógł wypełnić swoje obowiązki wynikające z art. 12 ust. 3 RODO. 12 (3) RODO. W szczególności wykonawca podejmie niezbędne środki zgodnie z instrukcjami klienta. 
  2. W przypadku, gdy osoba, której dane dotyczą, skontaktuje się z wykonawcą w celu wykonania swoich praw w związku z przetwarzaniem jej danych, wykonawca przekaże klientowi odpowiednie informacje.



12. Środki techniczne i organizacyjne w zakresie bezpieczeństwa danych

  1. Wykonawca zobowiązuje się wobec klienta do przestrzegania środków technicznych i organizacyjnych niezbędnych do przestrzegania obowiązujących przepisów o ochronie danych. Obejmuje to w szczególności wymogi art. 32 RODO. 32 RODO.
  2. Status środków technicznych i organizacyjnych istniejących w momencie zawarcia umowy jest udokumentowany pod adresem [LINK]. Strony zgadzają się, że zmiany środków technicznych i organizacyjnych mogą być konieczne w celu dostosowania do okoliczności technicznych i prawnych. Środki, które nie wpływają negatywnie na integralność, poufność i dostępność danych osobowych, mogą zostać wdrożone przez wykonawcę bez konsultacji z klientem. Klient może zapoznać się z aktualną wersją środków technicznych i organizacyjnych podjętych przez wykonawcę w dowolnym momencie za pośrednictwem powyższego linku. 
  3. Wykonawca będzie regularnie, a także doraźnie, sprawdzać skuteczność podjętych przez siebie środków technicznych i organizacyjnych oraz ogólnie informować o niezbędnych zmianach na odpowiedniej stronie.


13. Okres obowiązywania umowy; rozwiązanie

  1. Okres obowiązywania niniejszej umowy odpowiada okresowi obowiązywania umowy głównej. Postanowienia dotyczące zwykłego wypowiedzenia umowy głównej stosuje się odpowiednio.
  2. Klient ma prawo do nadzwyczajnego wypowiedzenia niniejszej umowy w dowolnym momencie z ważnego powodu. Uznaje się, że ważny powód istnieje dla klienta w szczególności, jeśli
    • wykonawca narusza istotny obowiązek wynikający z niniejszej umowy,
    • wykonawca wykorzystuje dane klienta do celów innych niż dozwolone na mocy niniejszej umowy,
    • wykonawca nie wykonuje instrukcji klienta,
    • wykonawca odmawia wykonania praw klienta do kontroli lub znacząco utrudnia takie wykonanie, lub
    • wykonawca angażuje inny podmiot przetwarzający dane niezgodnie z postanowieniami klauzuli 9.
  3. W przypadku rozwiązania niniejszej umowy, umowa główna może być kontynuowana tylko wtedy, gdy wykluczone jest przetwarzanie danych klienta przez wykonawcę. W razie wątpliwości rozwiązanie umowy głównej uznaje się również za rozwiązanie niniejszej umowy, a rozwiązanie niniejszej umowy uznaje się również za rozwiązanie umowy głównej.


14. Odpowiedzialność

Wykonawca ponosi odpowiedzialność zgodnie z przepisami ustawowymi dotyczącymi odpowiedzialności za wszelkie szkody poniesione przez klienta w wyniku zawinionego naruszenia niniejszej umowy przez wykonawcę lub ustawowych obowiązków ochrony danych mających bezpośrednie zastosowanie do wykonawcy. Wszelkie inne ograniczenia odpowiedzialności uzgodnione między stronami (np. w umowie głównej) nie mają zastosowania w tym zakresie. 


15. Rozwiązanie umowy

  1. Po rozwiązaniu umowy wykonawca usunie wszystkie dokumenty, dane i wyniki przetwarzania lub użytkowania utworzone w związku ze stosunkiem umownym, które weszły w jego posiadanie. Usunięcie należy udokumentować w odpowiedni sposób. 
  2. Wszelkie ustawowe obowiązki przechowywania lub inne obowiązki przechowywania danych pozostają nienaruszone. W przypadku nośników danych muszą one zostać zniszczone, jeśli klient zażąda ich usunięcia, przy czym należy przestrzegać co najmniej poziomu bezpieczeństwa 3 ISO 21964-1 do 3; dowód zniszczenia musi zostać dostarczony klientowi.
  3. Klient ma prawo sprawdzić, czy dane zostały zwrócone i usunięte przez wykonawcę w całości i zgodnie z umową. Można to również zrobić poprzez sprawdzenie sprzętu do przetwarzania danych w siedzibie wykonawcy. Klient jest zobowiązany do powiadomienia z odpowiednim wyprzedzeniem o każdej kontroli na miejscu.


16. Prawo do zatrzymania danych

Strony uzgadniają, że prawo wykonawcy do zatrzymania danych w rozumieniu § 273 niemieckiego kodeksu cywilnego (BGB) jest wykluczone w odniesieniu do przetwarzanych danych i powiązanych nośników danych.


17postanowienia końcowe

  1. Jeżeli mienie klienta w siedzibie wykonawcy jest zagrożone przez środki podjęte przez osoby trzecie (np. poprzez zajęcie lub konfiskatę), przez postępowanie upadłościowe lub przez inne zdarzenia, wykonawca niezwłocznie poinformuje o tym klienta. Wykonawca niezwłocznie poinformuje wierzycieli, że przedmiotowe dane są przetwarzane w imieniu klienta.
  2. Umowy dodatkowe muszą być sporządzone na piśmie.
  3. Jeżeli poszczególne części niniejszej umowy okażą się nieważne, nie wpłynie to na ważność pozostałych postanowień umowy. Strony zobowiązują się zastąpić nieważne postanowienie prawnie dopuszczalnym postanowieniem, które jest najbliższe celowi nieważnego postanowienia i najlepiej spełnia wymogi art. 28 RODO. 28 RODO.
  4. W przypadku sprzeczności między niniejszą umową a innymi umowami między stronami, w szczególności umową główną i Ogólnymi Warunkami, pierwszeństwo mają postanowienia niniejszej umowy.
  5. Niniejsza umowa jest dołączona do Ogólnych Warunków i stanowi integralną część umów umownych między stronami. Odrębne oświadczenie woli stron o zawarciu niniejszej umowy o przetwarzanie danych (np. w formie podpisu) nie jest wymagane.