Przetwarzanie zamówień na korzystanie z oprogramowania autarc

Umowa o przetwarzanie zamówienia zgodnie z art. 28 ust. 3 ogólnego rozporządzenia o ochronie danych (RODO)
(stan na wrzesień 2025 r.)

‍§ 1 Przedmiot i czas przetwarzania

(1) Przedmiotem umowy są prawa i obowiązki stron w kontekście świadczenia usług zgodnie z opisem i warunkami świadczenia usług (zwaną dalej umową główną), w zakresie, w jakim dane osobowe przetwarzane są przez autarc GmbH (dalej wykonawca) jako podmiot przetwarzający umowy dla klienta jako odpowiedzialnego (dalej klient) zgodnie z art. 28 RODO. Obejmuje to wszystkie czynności wykonywane przez wykonawcę w celu realizacji zamówienia i które reprezentują realizację zamówienia. W tym zakresie cele przetwarzania wynikają z umowy głównej. Ma to również zastosowanie, chyba że zamówienie wyraźnie odnosi się do niniejszej umowy o przetwarzanie zamówienia. Kategorie gromadzonych i przetwarzanych danych osobowych opisano bardziej szczegółowo w Załączniku 1 do niniejszej Umowy.

(2) Czas trwania niniejszej umowy (okres) odpowiada terminowi umowy głównej. Kończy się bez potrzeby oddzielnego rozwiązania umowy, gdy tylko główna umowa zostanie rozwiązana, wygaśnie lub wygasa z jakiegokolwiek innego powodu.

§ 2 Miejsce przetwarzania danych

Przetwarzanie danych uzgodnione w umowie odbywa się w państwie członkowskim Unii Europejskiej lub Europejskiego Obszaru Gospodarczego. Każde przeniesienie do kraju trzeciego wymaga uprzedniej zgody klienta i może nastąpić tylko wtedy, gdy spełnione są specjalne wymagania art. 44 i nast. RODO.

Odpowiedni poziom ochrony w USA
☑️ został ustanowiony decyzją Komisji w sprawie adekwatności (art. 45 ust. 3 RODO);
⬜ jest tworzony przez wiążące wewnętrzne przepisy o ochronie danych (art. 46 ust. 2 lit. b w związku z 47 RODO);
☑️ jest tworzony na podstawie standardowych klauzul ochrony danych (art. 46 ust. 2 lit. c i d RODO);
⬜ jest opracowany na podstawie zatwierdzonych kodeksów postępowania (art. 46 ust. 2 lit. e w związku z 40 RODO);
⬜ jest wytwarzany przez zatwierdzony mechanizm certyfikacji (art. 46 ust. 2 lit. f w związku z 42 RODO).
⬜ jest wytwarzany za pomocą innych środków:... (art. 46 ust. 2 lit. a, ust. 3 lit. a i b RODO)

‍§ 3 Środki techniczno-organizacyjne

‍(1) W niezbędnym zakresie wykonawca wdrożył środki techniczne i organizacyjne zgodnie z art. 32 RODO przed udzieleniem zamówienia. Odpowiedni dowód zostanie dostarczony klientowi na żądanie bez winnej zwłoki. O ile audyt/audyt klienta ujawnia potrzebę dostosowania, musi to być realizowane za obopólną zgodą.

(2) Wykonawca musi zapewnić bezpieczeństwo zgodnie z art. 28 ust. 3 lit. c, 32 RODO, w szczególności w związku z art. 5 ust. 1 ust. 2 RODO. Ogólnie rzecz biorąc, środki, które należy podjąć, to środki bezpieczeństwa danych, które mają zapewnić poziom ochrony odpowiedni do ryzyka w odniesieniu do poufności, integralności, dostępności i odporności systemów. Należy wziąć pod uwagę stan techniki, koszty wdrożenia oraz rodzaj, zakres i cele przetwarzania, a także różne prawdopodobieństwo wystąpienia i powagę ryzyka dla praw i wolności osób fizycznych w rozumieniu art. 32 ust. 1 RODO.

(3) Środki techniczne i organizacyjne podlegają postępowi technicznemu i rozwojowi. W tym zakresie wykonawca może wdrożyć alternatywne odpowiednie środki. Poziom bezpieczeństwa określonych środków nie może spaść poniżej. Istotne zmiany muszą być udokumentowane.

‍§ 4 Korekta, ograniczenie i usunięcie danych

(1) Wykonawca nie może poprawiać, usuwać ani ograniczać przetwarzania danych przetwarzanych w imieniu klienta z własnej woli, lecz wyłącznie zgodnie z udokumentowanymi instrukcjami klienta. Jeżeli osoba, której dane dotyczą, kontaktuje się bezpośrednio z wykonawcą w tym zakresie, wykonawca niezwłocznie przekaże to żądanie do klienta.

(2) W zakresie objętym zakresem usług, koncepcja usunięcia, prawo do bycia zapomnianym, korekta, przenoszenie danych i informacje muszą być zapewnione bezpośrednio przez wykonawcę zgodnie z udokumentowanymi instrukcjami klienta.

‍§ 5 Zapewnienie jakości i inne obowiązki wykonawcy

Oprócz zgodności z postanowieniami niniejszego zamówienia, wykonawca ma obowiązki prawne zgodnie z art. 28-33 RODO; w tym zakresie gwarantuje zgodność z następującymi wymogami w szczególności:

a) Zachowanie poufności zgodnie z art. 28 ust. 3 ust. 2 lit. b), art. 29, art. 32 ust. 4 RODO. Wykonując prace wykonawca korzysta wyłącznie z pracowników, którzy są zobowiązani do zachowania poufności i byli wcześniej zapoznani z odpowiednimi dla nich przepisami o ochronie danych. Wykonawca oraz każda osoba podległa wykonawcy, która ma dostęp do danych osobowych, może przetwarzać te dane wyłącznie zgodnie z instrukcjami klienta, w tym uprawnieniami przyznanymi w niniejszej umowie, chyba że są prawnie zobowiązani do ich przetwarzania.

b) Wdrożenie i zgodność ze wszystkimi środkami technicznymi i organizacyjnymi wymaganymi dla tego mandatu zgodnie z art. 28 ust. 3 p. 2 lit. c, 32 RODO, jak opisano w załączniku 2.

c) Klient i wykonawca (a także jego przedstawiciel) na żądanie współpracują z organem nadzorczym w wykonywaniu swoich obowiązków.

d) niezwłoczne informowanie klienta o działaniach kontrolnych i środkach podjętych przez organ nadzorczy, w zakresie, w jakim odnoszą się one do niniejszego zlecenia. Ma to również zastosowanie w zakresie, w jakim właściwy organ prowadzi dochodzenie, w ramach wykroczenia administracyjnego lub postępowania karnego, w odniesieniu do przetwarzania danych osobowych podczas przetwarzania zamówienia przez wykonawcę.

e) W zakresie, w jakim klient jest z kolei narażony na kontrolę organu nadzorczego, wykroczenia administracyjnego lub postępowania karnego, roszczenia z odpowiedzialności osoby, której dane dotyczą, lub osoby trzeciej, lub jakiekolwiek inne roszczenia związane z przetwarzaniem zamówienia przez wykonawcę, wykonawca musi wspierać go najlepiej jak potrafi.

f) Wykonawca regularnie sprawdza procesy wewnętrzne oraz środki techniczne i organizacyjne w celu zapewnienia, że przetwarzanie w jego obszarze odpowiedzialności odbywa się zgodnie z wymogami obowiązującego prawa o ochronie danych oraz że prawa osoby, której dane dotyczą, są chronione.

g) Weryfikowalność środków technicznych i organizacyjnych podjętych wobec klienta w zakresie jego uprawnień nadzorczych zgodnie z § 7 niniejszej umowy.

‍§ 6 Podwykonawstwo

(1) Stosunki podwykonawcze w rozumieniu tego świadczenia to usługi, które odnoszą się bezpośrednio do świadczenia usługi głównej. Nie obejmuje to usług pomocniczych, z których korzysta wykonawca, na przykład jako usługi telekomunikacyjne, usługi pocztowe/transportowe, usługi utrzymania i obsługi użytkowników lub usuwanie nośników danych oraz inne środki mające na celu zapewnienie poufności, dostępności, integralności i odporności sprzętu i oprogramowania systemów przetwarzania danych. Wykonawca jest jednak zobowiązany do podjęcia odpowiednich i zgodnych z prawem umów umownych oraz środków kontroli w celu zapewnienia ochrony danych i bezpieczeństwa danych klienta, nawet w przypadku usług dodatkowych zleconych na zewnątrz.

(2) Wykonawca zleca podwykonawcom świadczenie części usług, które mają być świadczone zgodnie z umową. Takie relacje przetwarzania podkontraktowego opierały się — w zakresie wymaganym przez prawo — na umowie zgodnej z art. 28 ust. 2-4 RODO. Klient wyraźnie wyraża zgodę na podwykonawców aktualnie zatrudnionych przez wykonawcę, którzy są wymienieni w Załączniku 3.
Outsourcing na rzecz innych podwykonawców lub zmiana dotychczasowych podwykonawców jest dozwolony, o ile wykonawca powiadomi klienta o takim outsourcingu podwykonawcom z rozsądnym wyprzedzeniem na piśmie lub w formie tekstowej, klient nie sprzeciwia się planowanemu outsourcingu na piśmie lub w formie tekstowej do czasu przekazania danych i opiera się na umowie umownej zgodnie z art. 28 ust. 2-4 RODO.

(3) Przekazanie danych osobowych od klienta do podwykonawcy i jego wstępne działanie są dozwolone tylko wtedy, gdy spełnione zostały wszystkie warunki podwykonawstwa.

(4) Jeżeli podwykonawca świadczy uzgodnioną usługę poza UE/EOG, wykonawca zapewnia dopuszczalność zgodnie z prawem o ochronie danych osobowych poprzez podjęcie odpowiednich środków. To samo dotyczy korzystania z usługodawców w rozumieniu ust. 1 zdanie 2.

(5) Dalszy outsourcing przez podwykonawcę wymaga zgody głównego wykonawcy (przynajmniej na piśmie); wszystkie postanowienia umowne w łańcuchu kontraktowym muszą być również nałożone na drugiego podwykonawcę.

‍§ 7 Prawa kontroli Klienta

(1) Klient ma prawo, w porozumieniu z wykonawcą, przeprowadzać kontrole lub zlecać ich przeprowadzenie przez inspektorów wyznaczonych w indywidualnych przypadkach. Ma on prawo do sprawdzenia, czy wykonawca przestrzega niniejszej umowy w swojej działalności gospodarczej za pomocą kontroli próbek, które zwykle muszą być odpowiednio zgłoszone z wyprzedzeniem. W ten sposób klient musi upewnić się, że regularne operacje biznesowe wykonawcy są dotknięte w jak najmniejszym stopniu i tylko w zakresie absolutnie niezbędnym.

(2) Wykonawca zapewnia, aby klient był przekonany, że wykonawca wywiązał się ze swoich zobowiązań wynikających z art. 28 RODO. Wykonawca zobowiązuje się do dostarczenia klientowi niezbędnych informacji na żądanie, a w szczególności do udowodnienia wdrożenia środków technicznych i organizacyjnych.

(3) Dowody na takie środki, które odnoszą się nie tylko do konkretnego mandatu, mogą być również zgodne z zatwierdzonymi kodeksami postępowania zgodnie z art. 40 RODO, certyfikacja zgodnie z zatwierdzonym procesem certyfikacji zgodnie z art. 42 RODO, aktualne certyfikaty, raporty lub wyciągi z raportów niezależnych organów (np. audytorzy, audytorzy, inspektor ochrony danych, dział bezpieczeństwa IT, audytorzy jakości) lub odpowiednia certyfikacja poprzez audyt bezpieczeństwa IT lub ochrony danych (Dla na przykład, zgodnie z podstawową ochroną BSI).

(4) Wykonawca może dochodzić roszczenia o odszkodowanie za ułatwienie kontroli przez klienta.

‍§ 8 Zawiadomienie przez wykonawcę o naruszeniach

(1) Wykonawca wspiera klienta w wypełnianiu zobowiązań określonych w art. 32—36 RODO w zakresie bezpieczeństwa danych osobowych, wymogów zgłaszania w przypadku naruszenia danych, oceny skutków ochrony danych oraz uprzednich konsultacji. Obejmuje to

a) zapewnienie odpowiedniego poziomu ochrony poprzez środki techniczne i organizacyjne uwzględniające okoliczności i cele przetwarzania, a także przewidywane prawdopodobieństwo i powagę potencjalnego naruszenia z powodu naruszenia bezpieczeństwa oraz umożliwiające natychmiastowe zidentyfikowanie odpowiednich zdarzeń naruszenia

b) obowiązek niezwłocznego zgłaszania klientowi naruszeń danych osobowych

c) obowiązek pomocy klientowi w ramach jego obowiązku przekazywania informacji osobie zainteresowanej i niezwłocznego przekazania mu wszelkich istotnych informacji w tym kontekście

d) pomoc klientowi w ocenie wpływu na ochronę danych

e) pomoc klientowi w ramach uprzednich konsultacji z organem nadzorczym

(2) Wykonawca może ubiegać się o odszkodowanie za usługi wsparcia, które nie są zawarte w opisie usługi lub nie mogą być spowodowane niewłaściwym postępowaniem ze strony wykonawcy.

‍§ 9 Uprawnienia Klienta do wydawania instrukcji, odpowiedzialność

(1) Wykonawca niezwłocznie potwierdzi instrukcje ustne (przynajmniej w formie tekstowej).

(2) Wykonawca musi niezwłocznie poinformować klienta, jeżeli uzna, że instrukcja narusza przepisy o ochronie danych. Wykonawca ma prawo zawiesić wykonanie odpowiedniej instrukcji do czasu jej potwierdzenia lub zmiany przez klienta.

(3) Sam klient jest odpowiedzialny wobec zainteresowanej osoby za odszkodowanie za szkody poniesione przez osobę, której dane dotyczą, w wyniku przetwarzania lub wykorzystania danych w kontekście przetwarzania zamówienia, które są niedopuszczalne lub nieprawidłowe zgodnie z przepisami o ochronie danych w kontekście przetwarzania zamówienia.

(4) Każda ze Stron zobowiązuje się zrekompensować drugiej stronie wszelkie szkody i wydatki wynikające z winnego naruszenia zobowiązania wynikającego z niniejszej Umowy (w tym załączników) przez stronę zobowiązaną do odszkodowania, jej przedstawiciela prawnego, podwykonawców, pracowników lub innych zastępców.

‍§ 10 Etap testowania usuwania i zwrotu danych osobowych

(1) Kopie lub duplikaty danych nie będą wykonywane bez wiedzy klienta. Nie obejmuje to kopii zapasowych, o ile są one niezbędne do zapewnienia prawidłowego przetwarzania danych, jak również danych wymaganych do wypełnienia obowiązków prawnych w zakresie przechowywania.

(2) Po zakończeniu prac uzgodnionych umownie lub wcześniej na żądanie klienta — najpóźniej po rozwiązaniu umowy o świadczenie usług — wykonawca musi przekazać Klientowi wszystkie dokumenty, powstałe wyniki przetwarzania i użytkowania oraz dane dotyczące stosunku umownego lub zniszczyć je zgodnie z prawem ochrony danych po uprzedniej zgodzie. To samo dotyczy materiału testowego i złomu.

(3) Dokumentacja, która służy jako dowód zamówienia i prawidłowego przetwarzania danych, musi być przechowywana przez wykonawcę po upływie okresu obowiązywania umowy zgodnie z odpowiednimi okresami przechowywania. Aby go zwolnić, może przekazać je klientowi po zakończeniu umowy.

‍
Załącznik 1 do umowy o przetwarzanie zamówień

‍Kategorie osób, których dane dotyczą i dane

dane użytkownika
● Tytuł
● Imię i nazwisko
● Adres (kod pocztowy, miasto, ulica i numer domu, dodatkowy adres, jeśli dotyczy)
● Adres e-mail
● Numer telefonu i/lub numer telefonu komórkowego
● Dane firmy

Dane klienta końcowego
● Tytuł
● Imię i nazwisko
● Adres (kod pocztowy, miasto, ulica i numer domu, dodatkowy adres, jeśli dotyczy)
● Adres e-mail
● Numer telefonu i/lub numer telefonu komórkowego
● Informacje o płatnościach
● Rodzaj systemu grzewczego
● Wartości zużycia
● Liczba mieszkańców
● Rok budowy budynku
● Przestrzenie i wymiary architektury budynku
● Dane dotyczące obszaru grzewczego
● Zdjęcia i dokumenty obiektu

Załącznik 2 do Umowy o przetwarzaniu zamówień

Środki techniczno-organizacyjne

1. Poufność (art. 32 ust. 1 lit. b RODO)
● Kontrola dostępu
Brak nieuprawnionego dostępu do systemów przetwarzania danych, np. kart magnetycznych lub inteligentnych, kluczy, elektrycznych
otwieracze drzwi, ochrona fabryczna lub portierzy, systemy alarmowe, systemy wideo;
● Kontrola dostępu
Brak nieuprawnionego korzystania z systemu, np.: (bezpieczne) hasła, automatyczne mechanizmy blokowania, dwuskładnikowe
uwierzytelnianie, szyfrowanie dysku;
● Kontrola dostępu
Brak nieautoryzowanego odczytu, kopiowania, zmiany lub usuwania w systemie, np.: Koncepcje autoryzacji
oraz prawa dostępu oparte na potrzebach, rejestrowanie dostępu;

2. Uczciwość (art. 32 ust. 1 lit. b RODO)
● Kontrola transferu
Brak nieautoryzowanego odczytu, kopiowania, modyfikowania lub usuwania podczas transmisji elektronicznej lub transportu, np.:
szyfrowanie, wirtualne sieci prywatne (VPN), podpis elektroniczny;
● Sterowanie wejściem
Ustalenie, czy i przez kogo dane osobowe zostały wprowadzone do systemów przetwarzania danych, zmieniono
lub zostały usunięte, np.: rejestrowanie, zarządzanie dokumentami;

3. Dostępność i odporność (art. 32 ust. 1 lit. b RODO)
● Kontrola dostępności
Ochrona przed przypadkowym lub celowym zniszczeniem lub utratą, np.: strategia tworzenia kopii zapasowych (online/offline; on-site/off-
miejsce), zasilanie bezprzerwowe (UPS), ochrona antywirusowa, zapora ogniowa, kanały raportowania i plany awaryjne;
● Szybka możliwość odzyskania (art. 32 ust. 1 lit. c RODO);

4. Procedura regularnego przeglądu, oceny i oceny (art. 32 ust. 1 lit. d RODO; art. 25 ust.
1 RODO)
● zarządzanie ochroną danych;
● zarządzanie reagowaniem na incydenty;
● Ustawienia domyślne przyjazne dla ochrony danych (art. 25 ust. 2 RODO);
● Kontrola zamówień
Brak przetwarzania danych zamówienia w rozumieniu art. 28 RODO bez odpowiednich instrukcji ze strony klienta,
np.: Jasne opracowanie umów, sformalizowane zarządzanie zamówieniami, ścisły dobór usługodawcy,
Wstępna weryfikacja, kontrole następcze.

Załącznik 3 Zatwierdzeni Podprzetwórcy

‍