Zgoda na przetwarzanie danych osobowych.

§ 1
Informacje ogólne

1. Strona przedstawia klauzulę powierzenia przetwarzania danych osobowych, zwaną dalej klauzulą,
   na mocy której Powierzający powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą).
2. Powierzenie danych osobowych Podmiotowi przetwarzającemu następuje w celu wykonania Umowy administrowania nieruchomością wspólną, zwaną dalej Umową główną lub na potrzeby komunikacji stron.
3. Dane osobowe będą przetwarzane przez Podmiot przetwarzający na terenie Europejskiego Obszaru Gospodarczego (EOG). Niniejszy zapis pozostaje bez uszczerbku dla postanowień § 4.

§ 2
Oświadczenia i obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel w zakresie umożliwiającym należyte wykonanie obowiązku, w zgodzie z obowiązującymi przepisami prawa. W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z:
   1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO),
   2. Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (tj. Dz. U. z 2019 r., poz. 1000 ze zm., dalej Ustawa).
2. Podmiot przetwarzający jest zobowiązany:
   1. Przetwarzać dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi bezwzględnie obowiązującymi Podmiot przetwarzający przepisami prawa, Umową oraz Umową główną lub na potrzeby komunikacji stron.
   2. Przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Powierzającego, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne.
      W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Powierzającego drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
   3. Udzielać dostępu do danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy lub Umowy głównej lub komunikacji stron, a także podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Powierzającego, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne.
   4. Zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy (np. klauzula NDA), chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
   5. Wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania i domyślnej ochrony danych (określonych w art. 25 RODO).
   6. Wspierać Powierzającego (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale trzecim RODO:
      • Współpraca Podmiotu przetwarzającego z Powierzającym w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację obowiązków względem osób, których dane dotyczą przez Powierzającego.
      • W związku z realizacją tego obowiązku, Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Powierzającego w terminie 5 dni roboczych w formie uzgodnionej przez strony.
      • Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 dni roboczych, poinformować Powierzającego o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym do Podmiotu przetwarzającego.
      • Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Powierzającego.
   7. W przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych, zawiadomić o tym fakcie osobę wskazaną przez Powierzającego oraz przekazywać wszelkie posiadane informacje, w celu umożliwienia Powierzającemu realizacji obowiązku zgłaszania naruszeń, zgodnie z art. 33 RODO.
   8. W sytuacjach tego wymagających, przeprowadzić ocenę skutków dla ochrony danych (DPIA), zgodnie z art. 35 RODO albo wesprzeć, w miarę dostępnej wiedzy, w takiej analizie Powierzającego, jak również przeprowadzić albo włączyć się w konsultacje z organem nadzoru, o których mowa w art. 36 RODO.
   9. Niezwłocznie informować Powierzającego, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych bądź unijnych o ochronie danych. Informacja w tym przedmiocie powinna zostać przekazana Powierzającemu w formie elektronicznej oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Podmiotu przetwarzającego został naruszony.
   10. Niezwłocznie, jednak nie później niż w ciągu 2 dni roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą, związanych z przetwarzaniem ich danych osobowych.
   11. Przechowywać dane osobowe tylko tak długo, jak to określił Powierzający, a także bez zbędnej zwłoki aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Powierzającego i Umową główną lub koniecznością komunikacji stron.
3. W sprawach nagłych Powierzający może polecić przetwarzanie również ustnie, w tym telefoniczne, jednak w takim przypadku Strony dołożą starań, aby w najbliższym, dogodnym terminie, udokumentować polecenie w dowolny sposób wskazany powyżej (np. poprzez pisemne, mailowe podsumowanie ustaleń z rozmowy).

§ 3
Transfer danych osobowych

Podmiot przetwarzający nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym, chyba że Powierzający udzieli mu uprzedniej, pisemnej zgody zezwalającej na taki transfer.

§ 4
Zgłaszanie naruszeń

1. W przypadku stwierdzenia naruszenia ochrony powierzonych przez Powierzającego danych, Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu 24 godzin od wykrycia naruszenia zgłasza je Powierzającemu.
2. Zgłoszenia naruszenia dokonuje się na podstawie formularza wskazanego do tego celu przez Urząd Ochrony Danych, a dostępnego pod adresem: https://uodo.gov.pl/pl/134/233.
3. Jeżeli Podmiot przetwarzający nie jest w stanie w tym samym czasie przekazać Powierzającemu wszystkich informacji, o których mowa powyżej, powinien ich udzielać sukcesywnie, bez zbędnej zwłoki.
4. Podmiot przetwarzający bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.