Regulamin powierzenia przetwarzania danych osobowych przez HS Solutions Sp. z o.o. z siedzibą w Gliwicach z dnia 1.02.2020 r.

preambuła 
Mając na względzie, iż zgodnie z art. 28 ust. 3 RODO powierzenie przetwarzania danych osobowych przez podmiot przetwarzając odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa, HS Solutions Sp. z o.o. z siedzibą w Gliwicach, w zakresie w jakim jest Administratorem danych osobowych, niniejszym regulaminem określa zasady powierzenia przetwarzania danych osobowych podmiotom przetwarzającym.

§1
[Słownik Pojęć]
1. Ilekroć w Regulaminie Powierzenie Przetwarzania Danych Osobowych użyte następujące definicje i zwroty, należy im nadawać znaczenie określone poniżej:
1.1. Administrator danych osobowych – oznacza spółkę HS Solutions Sp. z o.o. z siedzibą w Gliwicach, ul. Prymasa Stefana Wyszyńskiego 11/207b, wpisaną do Krajowego Rejestru Sądowego przez Sąd Rejonowy w Gliwicach, X Wydział Gospodarczy KRS pod numerem: 0000755115 NIP: 6312682521, REGON: 381693350, kapitał zakładowy w wysokości 10 000 zł.
1.2. Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
1.3. Dane wrażliwe – oznaczają dane specjalne i dane karne.
1.4. Dane specjalne – oznaczają dane wymienione w art. 9 ust. 1 RODO, tj. dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.
1.5. Dane karne – oznaczają dane wymienione w art. 10 RODO, tj. dane dotyczące wyroków skazujących i naruszeń prawa.
1.6. Dane dzieci – oznaczają dane osób poniżej 16 roku życia.
1.7. Dane dotyczące zdrowia – oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
1.8. Eksport danych – oznacza przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
1.9. naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
1.10. Osoba – oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z postanowień Regulaminu.
1.11. Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
1.12. przetwarzanie nie wymagające identyfikacji – przetwarzanie przez Administratora danych osobowych nie wymagających lub już nie wymagających zidentyfikowania przez niego osoby ze względu na cel przetwarzania.
1.13. przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
1.14. Podwykonawca – podmiot, z którego usług Przetwarzający korzysta przy wykonywaniu konkretnych czynności przetwarzanie danych osobowych w imieniu Administratora.
1.15. Profilowanie – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
1.16. Pracownik – osoba wykonująca pracę na rzecz Administratora zarówno na podstawie umowy o pracę, umowy zlecenie lub innej umowy cywilnoprawnej.
1.17. Regulamin – oznacza niniejsza Regulamin Przetwarzania Danych Osobowych, o ile co innego nie wynika wyraźnie z kontekstu.
1.18. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04).
1.19. Transgraniczne przetwarzanie – oznacza:
1.19.1. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo
1.19.2. przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;
1.20. Umowa Podstawowa – umowa cywilnoprawna zawarta przez Administratora z Przetwarzającym w związku z wykonaniem której Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Regulaminem.
1.21. umowa o powierzenie przetwarzania danych osobowych – umowa zawierana pomiędzy Administratorem a przetwarzającym, określająca przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, obowiązki i prawa Administratora.
1.22. ustaw o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019. 1781 t.j. z dnia 2019.09.19).

§2
[Postanowienia ogólne]
1. Celem niniejszego regulaminu jest ustalenie warunków na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora.
2. Administrator oświadcza, że jest administratorem Danych osobowych określonych w § 3 ust. 4 oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.

§3
[Opis przetwarzania]
1. Na warunkach oraz w celu określonym Regulaminem oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie dalej opisanych danych osobowych.
2. Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu prawidłowego wykonania Umowy Podstawowej.
4. Przetwarzanie obejmować będzie następujące rodzaje danych osobowych: dane zwykłe, dane specjalne, dane dot. zdrowia.
5. Przetwarzanie danych osobowych będzie dotyczyć danych Pracowników Administratora oraz osób rekrutowanych przez Administratora do pracy u Przetwarzającego.

§4
[Podpowierzenie]
1. Przetwarzający może powierzyć konkretne operacje przetwarzania Danych osobowych w drodze pisemnej umowy innym podmiotom przetwarzającym, pod warunkiem uprzedniego poinformowania Administratora oraz wyrażenia przez niego pisemnej akceptacji podwykonawcy. Powyższe dotyczy również zmiany podwykonawcy przez Przetwarzającego.
2. Administrator może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia Danych osobowych konkretnemu Podwykonawcy w ciągu dwóch tygodni od daty otrzymania pisemnego zawiadomienia od Przetwarzającego, o którym mowa w ust. 1 powyżej.
3. W razie zgłoszenia sprzeciwu Przetwarzający nie ma prawa powierzyć danych osobowych Podwykonawcy objętemu sprzeciwem.
4. Dokonując podpowierzenia Przetwarzający ma obowiązek zobowiązać Podwykonawcę do realizacji wszystkich obowiązków Przetwarzającego wynikających z Regulaminu, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.
5. Przetwarzający ponosi odpowiedzialności za działanie oraz zaniechanie Podwykonawcy jak za swoje własne.

§5
[Obowiązki Przetwarzającego]
1. Przetwarzający zobowiązany jest:
1.1. przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
1.2. nadać upoważnienie do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe w celu realizacji niniejszej umowy;
1.3. udostępnić dane osobowe wyłącznie osobom, których dostęp do tych danych jest potrzebny dla realizacji Umowy Podstawowej i posiadających upoważnienie, o którym mowa w pkt. b powyżej;
1.4. uzyskać od osób, które zostały upoważnione do przetwarzania danych osobowych, pisemne zobowiązanie do zachowania tajemnicy, ewentualnie upewnić się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy;
1.5. przetwarzać powierzone dane osobowe oraz je zabezpieczyć poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, zgodnie z art. 32 RODO,
1.6. przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (Podwykonawcy),
1.7. biorąc pod uwagę charakter przetwarzania, pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
1.8. zapewnić obsługę Praw jednostki w odniesieniu do powierzonych Danych osobowych,
1.9. współpracować z Administratorem przy wykonywaniu przez niego obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO;
1.10. prowadzić dokumentacje opisującą sposób przetwarzania danych osobowych, w tym rejestr czynności przetwarzania danych osobowych,
1.11. udostępnić administratorowi wszelkie informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwić administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich,
1.12. w przypadku wykorzystywania w celu realizacji Umowy zautomatyzowanego przetwarzania lub profilowania, poinformować o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego,
1.13. niezwłoczne poinformowanie Administratora, że jego zdaniem wydane mu polecenie stanowi naruszenie RODO, ustawy o ochronie danych osobowych lub innych przepisów Unii lub państwa członkowskiego o ochronie danych osobowych.

§6
[Obowiązki Administratora]
1. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu postanowień Regulaminu, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.

§7
[Bezpieczeństwo danych]
2. Przetwarzający zobowiązany jest przeprowadzić analizę ryzyka przetwarzania powierzonych Danych osobowych i stosować się do jej wyników, co do organizacyjnych i technicznych środków ochrony danych.
3. Przetwarzający zobowiązany jest zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, a na żądanie Administratora przedstawi dokumenty potwierdzające wdrążenie odpowiednich środków technicznych i organizacyjnych.

§8
[Powiadomienie o naruszeniu danych osobowych]
1. Przetwarzający zobowiązany jest powiadomić Administratora o każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia.
2. Przetwarzający umożliwi Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
3. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.

§9
[Nadzór]
1. Administrator kontroluje sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do:
1.1. wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe,
1.2. wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych.
2. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych oraz udostępnienia rejestrów przetwarzania.
3. Przetwarzający współpracuje z urzędem ochrony danych osobowych w zakresie wykonywanych przez niego zadań.
4. Przetwarzający:
4.1. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
4.2. umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.

§10
[Odpowiedzialność]
1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
3. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podwykonawca spoczywa na Przetwarzającym.

§11
[Usunięcie danych]
1. Z chwilą rozwiązania Umowy Podstawowej Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych osobowych i jest zobowiązany do:
1.1. usunięcia Danych osobowych,
1.2. usunięcia wszelkich ich istniejących kopii lub zwrotu Danych osobowych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie danych osobowych.
2. Przetwarzający dokona usunięcia Danych osobowych po upływie 180 dni od zakończenia Umowy Podstawowej, chyba że Administrator poleci mu to uczynić wcześniej.
3. Po wykonaniu zobowiązania, o którym mowa w ust. 1 Przetwarzający złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich Danych osobowych.

§12
[POSTANOWIENIA KOŃCOWE]
1. Regulamin wchodzi w życie z dniem 1.02.2020.
2. W razie sprzeczności pomiędzy postanowieniami Regulaminu, a Umowy Podstawowej, pierwszeństwo mają postanowienia Regulaminu.
3. Regulamin nie ma zastosowania do zasad przetwarzania danych osobowych przez Przetwarzającego z którym Administrator zawarł umowę o powierzenie przetwarzania danych osobowych.
4. W sprawach nieuregulowanych stosuje się przepisy ustawy o ochronie danych osobowych oraz rodo.