Hosting GLPI 

Dane rejestrowe hostingu GLPI

 

99NET Sp. z o. o., ul. Nowogrodzka 42 lok. 19, 00-65 Warszawa NIP: 7010864303 KRS: 0000749403 REGON: 38134367300000 Sąd Rejonowy w Warszawie - XII Wydział Gospodarczy Krajowego Rejestru Sądowego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Wersja z dnia 2018.05.25

Niniejsza umowa powierzenia przetwarzania danych osobowych (zwana dalej "Umową powierzenia") stanowi część umowy, zwanej dalej "Umową", która została zawarta pomiędzy 99NET Sp. z o.o. ("99NET") a Klientem określającej warunki mające zastosowanie do usług świadczonych przez 99NET ("Usługi"). Niniejsza Umowa powierzenia i inne postanowienia Umowy są komplementarne. Niemniej jednak, w przypadku niezgodności pomiędzy nimi, zastosowanie będzie miała Umowa powierzenia.

Terminy rozpoczynające się z wielkiej litery, które nie zostały zdefiniowane w niniejszej Umowie powierzenia, należy rozumieć tak, jak zostały one zdefiniowane w Umowie.

Umowa powierzenia, zawierana między 99NET a Klientem zgodnie z artykułem 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych („Ogólne Rozporządzenie o Ochronie Danych Osobowych“ lub „RODO“), określa warunki, na jakich 99NET jest uprawniony, jako Podmiot przetwarzający, w ramach świadczonych Usług określonych w Umowie, do przetwarzania danych osobowych zdefiniowanych w RODO („Dane osobowe”) zgodnie z poleceniem Klienta. Przetwarzanie Danych osobowych przez 99NET w charakterze administratora danych nie wchodzi w zakres niniejszej Umowy powierzenia.

Dla celów niniejszej Umowy powierzenia, 99NET działa jako „Podmiot przetwarzający” a Klient jako „Administrator”.

Jeśli Klient działa jako podmiot przetwarzający w imieniu zewnętrznego administratora danych, Strony wyrażają zgodę na poniższe warunki:

  • (a) Klient zapewnia, że (I) uzyskał od Administratora wszelkie zezwolenia niezbędne do podpisania niniejszej Umowy powierzenia, w tym wskazał 99NET jako podmiot mający dokonywać dalszego przetwarzania, (II) zawarł on z Administratorem umowę, która jest w pełni zgodna z warunkami Umowy zawierającej niniejszą Umowę powierzenia, zgodnie z artykułem 28 RODO, (III) wszelkie polecenia otrzymane przez 99NET od Klienta w ramach realizacji Umowy oraz niniejszej Umowy powierzenia są w pełni zgodne z poleceniami Administratora oraz, (IV) wszelkie informacje przekazane lub udostępnione przez 99NET na podstawie niniejszej Umowy powierzenia są odpowiednio przekazywane Administratorowi.
  • (b) 99NET powinno (I) przetwarzać Dane Osobowe wyłącznie zgodnie z poleceniem Klienta i (II) nie otrzymywać żadnych poleceń bezpośrednio od Administratora, poza przypadkami, gdy Klient przestał istnieć faktycznie lub formalnie i nie ma prawnego następcy, który przejmie prawa i obowiązki Klienta.

 

  • (c) Klient, który ponosi pełną odpowiedzialność wobec 99NET w zakresie właściwej realizacji zobowiązań Administratora zgodnie z postanowieniami niniejszej Umowy powierzenia, zabezpiecza i chroni 99NET przed (I) wszelkimi działaniami Administratora niezgodnymi z obowiązującym prawem i (II) przed wszelkimi działaniami, roszczeniami lub skargami ze strony Administratora dotyczącymi jakichkolwiek postanowień Umowy (w tym niniejszej Umowy powierzenia) lub jakichkolwiek poleceń otrzymanych przez 99NET od Klienta.

 

  1. Zakres

99NET jest upoważniony, jako Podmiot przetwarzający działający zgodnie z poleceniami Klienta, do przetwarzania Danych Osobowych Administratora w zakresie niezbędnym do świadczenia Usług.

Charakter operacji przeprowadzanych przez 99NET na Danych Osobowych może być związany z obliczaniem, przechowywaniem i/lub z innymi Usługami określonymi w Umowie.

Rodzaj Danych Osobowych i kategorie osób, których dane dotyczą są określane i kontrolowane przez Klienta.

Czynności przetwarzania są wykonywane przez 99NET przez okres określony w Umowie.

 

  1. Wybór Usług

Wyłącznie odpowiedzialnym za wybór Usług jest Klient. Klient zapewnia, że wybrane Usługi posiadają wymagane cechy oraz spełniają warunki zapewniające zgodność z działalnością Administratora i celami przetwarzania, jak również z rodzajem Danych Osobowych przetwarzanych w ramach Usług, w tym gdy Usługi są wykorzystywane do przetwarzania Danych Osobowych podlegających szczególnym regulacjom prawnym lub standardom (takich jak dane dotyczące zdrowia czy dane bankowe w niektórych krajach). Klient jest informowany, że niektóre Usługi proponowane przez 99NET posiadają środki organizacyjne oraz środki bezpieczeństwa zaprojektowane specjalnie do przetwarzania danych dotyczących zdrowia lub danych bankowych.

Jeśli przetwarzanie danych przez Administratora może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, Klient powinien ostrożnie wybierać Usługi. Przy ocenie ryzyka należy uwzględnić w szczególności, ale nie wyłącznie, następujące kryteria: ocena lub punktowanie osób, których dane dotyczą; zautomatyzowane podejmowanie decyzji ze skutkiem prawnym lub w podobny sposób znacząco wpływających; systematyczne monitorowanie osób, których dane dotyczą; przetwarzanie danych wrażliwych lub danych o charakterze szczególnie osobistym; przetwarzanie na dużą skalę; dopasowywanie lub łączenie zbiorów danych; przetwarzanie danych osobowych osób wymagających szczególnej opieki; wykorzystywanie do przetwarzania nowych innowacyjnych technologii nieznanych społeczeństwu.

99NET zobowiązuje się udostępnić Klientowi informacje, na warunkach określonych poniżej w artykule 12 „Audyty”, dotyczące stosowanych w ramach Usług środków bezpieczeństwa, w zakresie niezbędnym do oceny zgodności tych środków z czynnościami przetwarzania Administratora.

 

  1. Zgodność z obowiązującymi przepisami

Każda ze stron zobowiązuje się do przestrzegania obowiązujących przepisów dotyczących ochrony danych osobowych, w tym Rozporządzenia o Ochronie Danych Osobowych od daty ich wejścia w życie w Unii Europejskiej.

  1. Obowiązki 99NET

99NET zobowiązuje się:

  1. a) przetwarzać Dane Osobowe przesłane, przechowywane i wykorzystywane przez Klienta w ramach Usług tylko, jeśli to konieczne do świadczenia Usług zgodnie z Umową,
  2. b) nie uzyskiwać dostępu ani nie wykorzystywać Danych Osobowych do celów innych, niż wymagane do świadczenia Usług (w szczególności w odniesieniu do celów zarządzania incydentami),
  3. c) wdrożyć środki techniczne oraz organizacyjne opisane w Umowie, w celu zapewnienia bezpieczeństwa Danych Osobowych w ramach Usługi,
  4. d) zapewnić, że pracownicy 99NET upoważnieni do przetwarzania Danych Osobowych zgodnie z Umową podlegają obowiązkowi zachowania tajemnicy i zostali odpowiednio przeszkoleni w zakresie ochrony Danych Osobowych,
  5. e) informować Klienta, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia RODO lub innych przepisów Unii Europejskiej lub państwa członkowskiego Unii Europejskiej o ochronie danych,
  6. f) w przypadku otrzymania wniosku od właściwego organu dotyczącego Danych Osobowych przetwarzanych na mocy niniejszej Umowy powierzenia, poinformować Klienta (chyba że jest to zabronione przez obowiązujące prawo lub nakaz organu), oraz ograniczyć przekazywane dane do danych faktycznie żądanych przez organ.

 

Na pisemne żądanie Klienta 99NET zapewni Klientowi swoją pomoc w przeprowadzeniu oceny skutków dla ochrony danych i konsultacji z właściwym organem nadzorczym, jeśli jest to wymagane od Klienta zgodnie z obowiązującym prawem dotyczącym ochrony danych osobowych, wyłącznie w zakresie, w jakim ta pomoc jest konieczna i dotyczy przetwarzania przez 99NET Danych Osobowych objętych tą Umową powierzenia. Pomoc ta będzie polegać na zapewnieniu przejrzystości w zakresie środków bezpieczeństwa wdrożonych przez 99NET dla Usług.

99NET zobowiązuje się do wdrożenia następujących technicznych i organizacyjnych środków bezpieczeństwa:

  • (a) fizyczne środki bezpieczeństwa, mające na celu uniemożliwienie dostępu osobom niepowołanym do Infrastruktury, na której są przechowywane dane Klienta,
  • (b) weryfikacja tożsamości i dostępu za pomocą systemu uwierzytelniania, jak również polityka dotycząca haseł,
  • (c) system zarządzania dostępem, który ogranicza dostęp do pomieszczeń do tych osób, które muszą mieć do nich dostęp w ramach pełnienia swoich obowiązków i w zakresie ich odpowiedzialności,
  • (d) personel ochrony odpowiedzialny za monitorowanie fizycznego bezpieczeństwa pomieszczeń 99NET,
  • (e) system, który fizycznie i logicznie izoluje od siebie poszczególnych klientów,
  • (f) procesy uwierzytelniania dla użytkowników i administratorów oraz środki, mające na celu ochronę dostępu do funkcji administracyjnych,

 

 

  • (g) system zarządzania dostępem dla operacji wsparcia i konserwacji, który działa na zasadach najmniejszych uprawnień i potrzebnych informacji, oraz
  • (h) procesy i środki służące do śledzenia wszystkich działań przeprowadzanych w jego systemie informatycznym.

 

  1. Naruszenie ochrony danych osobowych

Jeśli 99NET stwierdzi wystąpienie incydentu wpływającego na Dane Osobowe Administratora (takiego jak nieuprawniony dostęp, utrata, ujawnienie lub modyfikacja danych), bez zbędnej zwłoki zgłasza go Klientowi.

Zgłoszenie musi (I) opisywać charakter incydentu, (II) opisywać możliwe konsekwencje incydentu, (III) opisywać środki zastosowane lub proponowane przez 99NET w odpowiedzi na incydent i (IV) zawierać punkt kontaktowy 99NET.

 

  1. Lokalizacja i przekazywanie danych

W przypadku, gdy Usługi umożliwiają Klientowi przechowywanie treści, w szczególności Danych Osobowych, lokalizacja (lokalizacje) lub obszar geograficzny dostępnego Centrum Danych (dostępnych Centrów Danych) są określone na stronie internetowej 99NET. W przypadku dostępności kilku lokalizacji lub obszarów geograficznych, Klient wybiera jedną z nich podczas składania zamówienia. Z zastrzeżeniem obowiązujących Szczegółowych Warunków Usług, 99NET nie może bez zgody Klienta zmienić lokalizacji lub obszaru geograficznego wybranego podczas składania zamówienia.

Z zastrzeżeniem poprzednich postanowień dotyczących lokalizacji Centrów Danych, spółki-córki 99NET znajdujące się w Unii Europejskiej, Kanadzie lub każdym innym kraju uznanym przez Unię Europejską jako zapewniający odpowiedni stopień ochrony Danych Osobowych („Decyzja stwierdzająca odpowiedni stopień ochrony”), z wyłączeniem Stanów Zjednoczonych Ameryki, mogą przetwarzać Dane Osobowe wyłącznie, gdy jest to niezbędne do realizacji Usług, i w szczególności w odniesieniu do celów zarządzania incydentami.

Dane przechowywane przez Klienta w ramach Usług nie będą dostępne dla 99NET z kraju, który nie podlega Decyzji stwierdzającej odpowiedni stopień ochrony, chyba że (a) taki dostęp jest wyraźnie określony w obowiązujących Szczegółowych Warunkach Usług, lub (b) Klient wybiera Centrum Danych znajdujące się poza Unią Europejską w kraju, który nie podlega Decyzji stwierdzającej odpowiedni stopień ochrony lub (c) Klient zawarł szczególną umowę.

W przypadku, gdy Dane Osobowe przetwarzane na mocy niniejszej Umowy powierzenia są przekazywane poza Unię Europejską do kraju, który nie podlega Decyzji stwierdzającej odpowiedni stopień ochrony, zostanie wdrożona umowa przekazywania danych zgodna ze standardowymi klauzulami przyjętymi przez Komisję Europejską, lub w zależności od decyzji 99NET, wszelkie inne środki ochrony uznane za wystarczające

 

przez Komisję Europejską. Gdy przekazywanie jest związane z wybraniem przez Klienta Usługi w Centrum Danych, które znajduje się poza Unią Europejską, wdrożenie wyżej wymienionej umowy przekazywania danych osobowych (lub odpowiednich środków ochrony) nie jest automatyczne i wymaga specjalnego wniosku Klienta.

Administrator dopełnia wszelkich formalności i uzyskuje wszystkie niezbędne upoważnienia (w tym od osób, których dane dotyczą oraz od właściwych organów ochrony danych osobowych, jeśli jest to wymagane), w celu przekazywania Danych Osobowych w zakresie Umowy dotyczącej Usług.

 

  1. Dalsze przetwarzanie

Z zastrzeżeniem postanowień artykułu 6 „Lokalizacja i przekazywanie danych” powyżej, 99NET może zaangażować inny podmiot przetwarzający w przetwarzanie Danych Osobowych w ramach świadczenia Usług („Inny podmiot przetwarzający”).

Z zastrzeżeniem wszelkich sprzecznych postanowień obowiązujących Warunków Usług, 99NET nie może bez uprzedniej zgody Klienta angażować podmiotów nie będących spółkami-córkami do przetwarzania. Jeśli obowiązujące Warunki Usług umożliwiają angażowanie kolejnych podmiotów przetwarzających nie będących spółkami-córkami, zaakceptowanie tych Warunków Usług przez Klienta uważa się za zatwierdzenie odpowiednich wymienionych podmiotów dokonujących dalszego przetwarzania. Lista podmiotów przetwarzających nie będących spółkami-córkami znajduje się na stronie internetowej 99NET lub w obowiązujących Warunkach Usług.

99NET zapewnia, że Inny podmiot przetwarzający jest zdolny do spełniania zobowiązań podjętych przez 99NET w niniejszej Umowie powierzenia dotyczących przetwarzania Danych Osobowych realizowanego przez ten Inny podmiot przetwarzający. W tym celu 99NET zawiera umowę z tym podmiotem przetwarzającym. 99NET pozostaje w pełni odpowiedzialny wobec Klienta za realizację wszelkich zobowiązań niedopełnionych przez ten podmiot przetwarzający.

99NET jest upoważniony do nawiązywania współpracy z dostawcami zewnętrznymi (takimi jak dostawcy energii elektrycznej, dostawcy sieci, firmy zarządzające punktami połączeń sieciowych, kolokowane centra danych, dostawcy sprzętu i oprogramowania, przewoźnicy, dostawcy techniczni, firmy ochroniarskie), bez konieczności informowania Administratora lub uzyskiwania jego uprzedniej zgody, pod warunkiem, że tacy dostawcy zewnętrzni nie będą mieli dostępu do Danych Osobowych.

  1. Obowiązki Klienta i Administratora

W celu przetwarzania Danych Osobowych zgodnie z Umową, Klient dostarcza 99NET na piśmie (a) odpowiednie polecenia i (b) wszelkie informacje niezbędne do utworzenia przez Podmiot przetwarzający rejestru czynności przetwarzania. Wyłącznie odpowiedzialnym za te informacje oraz polecenia przekazane 99NET jest Klient.

Administrator jest odpowiedzialny za zapewnienie, że:

  1. a) przetwarzanie Danych Osobowych Administratora, jako część realizacji Usługi, posiada odpowiednią podstawę prawną (na przykład zgoda osób, których dane dotyczą, zgoda Administratora, uzasadnione interesy, zezwolenie od właściwego organu nadzorczego, itp.),
  2. b) zostały zrealizowane wszelkie wymagane procedury i formalności (takie jak ocena skutków dla ochrony danych, powiadomienie właściwego organu do spraw ochrony danych i wniosek o udzielenie zezwolenia, gdy jest to wymagane),
  3. c) osoby, których dane dotyczą, zostały poinformowane o przetwarzaniu ich Danych Osobowych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem zgodnie z przepisami RODO,
  4. d) osoby, których dane dotyczą, zostały poinformowane, że w każdej chwili mogą wykonywać przysługujące im prawa dotyczące danych zgodnie z zapisami RODO bezpośrednio u Klienta lub Administratora.

 

Klient jest odpowiedzialny za wdrożenie odpowiednich technicznych i organizacyjnych środków zapewniających bezpieczeństwo zasobów, systemów, aplikacji i operacji, które nie wchodzą w zakres odpowiedzialności 99NET zgodnie z Umową (w szczególności systemów i oprogramowania wdrożonych i uruchomionych przez Klienta lub Użytkowników w ramach Usług).

 

  1. Prawa osoby, której dane dotyczą

Administrator jest całkowicie odpowiedzialny za informowanie osób, których dane dotyczą, o przysługujących im prawach, i za przestrzeganie tych praw, w tym prawa dostępu, sprostowania, usunięcia, ograniczenia lub przenoszenia.

99NET w miarę możliwości zapewni pomoc w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą. Pomoc ta może polegać na (a) informowaniu Klienta o każdym wniosku otrzymanym bezpośrednio od osoby, której dane dotyczą i (b) umożliwieniu Administratorowi projektowania i wdrażania technicznych i organizacyjnych środków niezbędnych do odpowiadania na żądania osób, których dane dotyczą. Administrator ponosi pełną odpowiedzialność za odpowiadanie na te żądania.

Klient przyjmuje do wiadomości i zgadza się, że w przypadku, gdy taka współpraca i pomoc będzie wymagać znacznych zasobów ze strony Podmiotu przetwarzającego, wysiłki te zostaną podjęte za opłatą po uprzednim powiadomieniu Klienta i uzgodnieniu z Klientem

  1. Usunięcie i zwrot Danych Osobowych

Po wygaśnięciu Usługi (w szczególności w przypadku jej zakończenia lub nieodnowienia), 99NET zobowiązuje się usunąć na zasadach przewidzianych w Umowie, całą zawartość (w tym informacje, dane, pliki, systemy, aplikacje, strony internetowe i inne elementy), która jest powielana, przechowywana, instalowana i w inny sposób używana przez Klienta w ramach Usług, chyba że wniosek złożony przez właściwy organ sądowy lub prawny, lub obowiązujące prawo Unii Europejskiej lub państwa członkowskiego Unii Europejskiej, stanowi inaczej.

Klient jest w pełni odpowiedzialny za wykonanie wszelkich operacji (takich jak tworzenie kopii zapasowych, przekazywanie danych do rozwiązań stron trzecich, Snapshoty, itp.) niezbędnych do zabezpieczenia Danych Osobowych, w szczególności przed zakończeniem lub wygaśnięciem Usług i przed przystąpieniem do operacji usunięcia, aktualizacji lub przeinstalowania Usług.

W związku z tym Klient jest informowany, że zakończenie i wygaśnięcie Usług z jakiegokolwiek powodu (w tym, ale nie wyłącznie, ich nieodnowienia), jak również niektóre operacje aktualizacji lub przeinstalowania Usług, powodują automatyczne i nieodwracalne usunięcie całej zawartości (w tym informacji, danych, plików, systemów, aplikacji, stron internetowych i innych elementów), która jest powielana, przechowywana, instalowana lub w inny sposób używana przez Klienta w ramach Usług, w tym ewentualnych kopii zapasowych.

 

  1. Odpowiedzialność

99NET odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy (I) nie dopełnił obowiązków, które RODO nakłada na podmioty przetwarzające lub gdy (II) działał wbrew zgodnym z prawem pisemnym instrukcjom Klienta. W takich przypadkach zastosowanie ma zapis dotyczący odpowiedzialności zawarty w Umowie.

Gdy 99NET i Klient uczestniczą w przetwarzaniu w ramach niniejszej Umowy, które spowodowało szkody osobom, których dane dotyczą, Klient w pierwszej kolejności zapłaci pełne odszkodowanie (lub inną rekompensatę) osobie, której dane dotyczą, a następnie będzie mógł żądać od 99NET zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność, z zastrzeżeniem ograniczeń odpowiedzialności stosowanych w ramach Umowy.

 

  1. Audyty

99NET udostępnia Klientowi wszelkie informacje niezbędne do (a) wykazania zgodności z wymaganiami RODO i (b) umożliwienia przeprowadzenia audytów.

Informacje te są dostępne w formie standardowej dokumentacji na Stronie internetowej 99NET. Dodatkowe informacje mogą zostać przekazane Klientowi po uprzednim skontaktowaniu się Klienta z Biurem Obsługi Klienta.

 

Jeśli Usługa posiada certyfikat, jest zgodna z kodeksem postępowania lub podlega szczególnym procedurom audytu, 99NET udostępnia Klientowi te certyfikaty i raporty z audytów na jego pisemne żądanie.

Jeśli powyższe informacje, raporty i certyfikaty okażą się niewystarczające, aby Klient mógł wykazać, że spełnia zobowiązania ustanowione przez RODO, 99NET i Klient uzgodnią warunki operacyjne, warunki bezpieczeństwa oraz finansowe technicznej inspekcji na miejscu. W każdym przypadku, warunki tej inspekcji nie mogą wpływać na bezpieczeństwo innych klientów 99NET.

Wspomniana wyżej inspekcja, a także przekazanie certyfikatów i raportów z audytów, mogą być przedmiotem dodatkowych kosztów.

Wszelkie informacje przekazane Klientowi zgodnie z tym artykułem i niedostępne na Stronie internetowej 99NET uważa się za poufne informacje 99NET w ramach Umowy. Przed przekazaniem takich informacji 99NET może wymagać podpisania umowy o poufności.

Niezależnie od powyższego Klient jest upoważniony do odpowiadania na wnioski właściwego organu nadzorczego, pod warunkiem że ujawni wyłącznie informacje wymagane przez wspomniany organ nadzorczy. W takim przypadku, o ile nie jest to zabronione przez obowiązujące prawo, Klient powinien najpierw skonsultować się z 99NET w sprawie ujawnienia informacji.