Zważywszy, że:

1) Strony łączy stosunek zobowiązaniowy wynikający z nawiązania współpracy, w ramach której Administrator powierza Procesorowi do przetwarzania dane dotyczące podmiotów, które (1) dokonały lub wyrażają wolę dokonania nabycia towaru lub usługi oferowanej przez Administratora bądź (2) pozostają z Administratorem w stałych stosunkach gospodarczych lub (3) wyraziły zgodę na umieszczenie ich danych osobowych w bazie danych prowadzonej przez Administratora oraz (4) podmiotów wobec których Procesor na podstawie Umowy prowadzi działalność marketingową i przedstawia informację handlową (wszystkie wymienione kategorie podmiotów dalej oznaczane będą w sposób tożsamy znaczeniowo jako „Klienci” lub jako „Klient”),

2) W celu prawidłowego i zgodnego z prawem wykonywania Umowy niezbędne jest powierzenie przez Administratora do przetwarzania Podmiotowi przetwarzającemu określonych rodzajów danych osobowych, w trybie art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) („RODO”);

Strony postanowiły zawrzeć Umowę powierzenia o następującej treści:

1. Powierzenie przetwarzania danych osobowych

1.1. Podmiot przetwarzający będzie przetwarzać powierzone dane osobowe na warunkach określonych w niniejszej Umowie powierzenia wyłącznie na udokumentowane polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający niezwłocznie poinformuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

1.2. Administrator danych oświadcza, że jest administratorem danych osobowych, które powierza Procesorowi do przetwarzania.

1.3. Celem prawidłowego i zgodnego z prawem wykonywania Umowy, Administrator powierza Procesorowi do przetwarzania w trybie art. 28 ust. 3 RODO następujące rodzaje danych osobowych dotyczących Klientów lub ich przedstawicieli: adres e-mail, dane statystyczne dostarczane przez system Google Analytics, Google Tag Manager, Google AdWords, Google Moja Firma, Youtube, Facebook Ads lub dostępy do systemów informatycznych niezbędnych do realizacji Usług.

1.4. Administrator danych jest zobowiązany do współdziałania z Podmiotem przetwarzającym w zakresie realizacji niniejszej Umowy powierzenia. W szczególności Administrator zobowiązuje się przed przekazaniem Danych osobowych do przetwarzania, o ile jest to wymagane przez przepisy powszechnie obowiązującego prawa na terytorium Rzeczypospolitej Polskiej, uzyskać zgodę na przekazanie danych osobowych Procesorowi.

1.5. Administrator zobowiązuje się do uzyskania od Podmiotów danych, jeśli jest to niezbędne z uwagi na treść obowiązków Procesora wynikających z Umowy, zgody na przesyłanie informacji handlowej za pomocą poczty elektronicznej oraz na używanie telekomunikacyjnych urządzeń końcowych, których Podmiot danych jest użytkownikiem, dla celów marketingu bezpośredniego.

1.6. Powierzenie przetwarzania danych osobowych Procesorowi nie obejmuje przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa ani danych osobowych należących do szczególnych kategorii danych osobowych w rozumieniu przepisów RODO.

1.7. Powierzone Dane osobowe przetwarzane będą przez Podmiot przetwarzający w formie papierowej lub w systemach informatycznych.

1.8. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Umową powierzenia, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

1.9. Podmiot przetwarzający oświadcza, iż stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu RODO, które zapewniają bezpieczeństwo powierzonych do przetwarzania Danych osobowych.

1.10. Podmiot przetwarzający oświadcza, że powierzone mu do przetwarzania Dane osobowe przetwarzane będą wyłącznie na terytorium Unii lub Europejskiego Obszaru Gospodarczego.

1.11. Podmiot powierzający oświadcza, że upoważnia Procesora do uzupełniania wszelkich niezbędnych danych i akceptacji wymaganych regulaminów w ramach systemów powierzonych w trakcie realizacji Usług.

2. Obowiązki Procesora

2.1. Procesor może przetwarzać Dane osobowe wyłącznie w zakresie i w celach przewidzianych w Umowie powierzenia. Procesor uprawniony jest w szczególności do dokonywania następujących operacji przetwarzania Danych osobowych: zbieranie, modyfikowanie, przechowywanie, przeglądanie, aktualizowanie, analizowanie, archiwizowanie.

2.2. Podmiot przetwarzający oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem powierzonych mu Danych osobowych, o których mowa w art. 32 RODO. Podmiot przetwarzający zobowiązuje się do regularnej weryfikacji i aktualizacji stosowanych przez niego środków technicznych i organizacyjnych, tak aby zapewnić powierzonym Danym osobowym adekwatny stopień ochrony. Podmiot przetwarzający, na każde żądanie Administratora danych, przekaże informacje o stosowanych przez niego środkach organizacyjnych i technicznych związanych z przetwarzaniem Danych osobowych.

2.3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych osobowych.

2.4. Podmiot przetwarzający zobowiązuje się, że jego pracownicy lub współpracownicy (w szczególności pracownicy zatrudnieni na podstawie umowy o pracę, osoby świadczące czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Podmiotu przetwarzającego), którzy będą przetwarzać Dane osobowe w związku z Umową powierzenia, będą działać na podstawie wyraźnego, pisemnego upoważnienia do przetwarzania danych osobowych, w granicach określonych niniejszą Umową powierzenia oraz że zostaną dopuszczeni do przetwarzania Danych osobowych jedynie po odbyciu stosownych szkoleń z zakresu ochrony danych osobowych. Procesor, w ramach prowadzonej działalności, zobowiązuje się prowadzić i na bieżąco aktualizować pisemną lub elektroniczną ewidencję osób upoważnionych do przetwarzania danych osobowych w zakresie, o którym mowa w Umowie powierzenia.

2.5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 lit. b RODO) przetwarzanych Danych osobowych przez osoby, które upoważni do przetwarzania Danych osobowych w celu realizacji Umowy powierzenia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu.

2.6. Procesor zobowiązuje się wspierać Administratora danych, także przez stosowanie odpowiednich środków technicznych i organizacyjnych, w realizacji obowiązków wynikających z treści art. 32 - 36 RODO, w tym obowiązku udzielania odpowiedzi na żądania osoby, której dane dotyczą̨, w zakresie obejmującym m.in. informowanie i prowadzenie przejrzystej komunikacji, udzielanie dostępu do danych, wykonywanie obowiązku informacyjnego, realizację prawa do sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych oraz prawa do wyrażenia sprzeciwu wobec dalszego przetwarzania danych. Procesor zobowiązuje się wspierać i współdziałać z Administratorem w taki sposób, aby żądanie osoby fizycznej zostało spełnione w terminie określonym w RODO.

2.7. Podmiot przetwarzający zobowiązuje się nie później niż w terminie 30 dni od dnia odpadnięcia celu, dla którego Administrator powierzył Procesorowi przetwarzanie Danych osobowych, zwrócić Administratorowi danych wszelkie powierzone mu w tym celu Dane osobowe i usunąć wszelkie ich istniejące kopie lub dokonać ich zniszczenia – adekwatnie do woli Administratora, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Przez usunięcie Danych osobowych, rozumieć należy zniszczenie tych danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (anonimizacja danych). Administrator danych może w każdym przypadku zweryfikować u Procesora wypełnienie obowiązku usunięcia Danych osobowych.

3. Prawo kontroli

3.1. Administrator lub upoważniony przez niego podmiot jest uprawniony do kontrolowania Podmiotu przetwarzającego w zakresie przetwarzania Danych osobowych pod względem zgodności z postanowieniami Umowy powierzenia, RODO oraz z innymi przepisami prawa powszechnie obowiązującego. Prawo to obejmuje w szczególności umocowanie do prowadzenia kontroli przestrzegania przez Procesora zasad przetwarzania danych osobowych, o których mowa w Aneksie oraz w obowiązujących przepisach prawa, w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania przez Procesora Danych osobowych, stosowanych środków technicznych i organizacyjnych, aby przetwarzanie toczyło się zgodnie z prawem lub dokonywania kontroli w miejscach, w których są przetwarzane powierzone dane osobowe. Podmiot przetwarzający dokona niezbędnych czynności w celu umożliwienia wykonania tego uprawnienia przez Administratora.

3.2. Administrator realizować będzie prawo kontroli w godzinach pracy Procesora, uprzedzając Podmiot przetwarzający o zamiarze przeprowadzenia kontroli za co najmniej 30-dniowym uprzedzeniem.

3.3. Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni, po pisemnym żądaniu Administratora.

3.4. W ramach czynności nadzorczych i kontrolnych Administrator danych jest uprawniony do wydawania Procesorowi pisemnych poleceń odnośnie sposobu wykonania Umowy powierzenia.

3.5. Procesor zobowiązany jest do niezwłocznego informowania Administratora, jeżeli w jego ocenie wydane mu przez Administratora polecenie stanowi naruszenie RODO lub innych przepisów prawa Unii lub państwa członkowskiego o ochronie danych osobowych.

4. Odpowiedzialność Procesora

4.1. Odpowiedzialność Procesora wobec Administratora danych obejmuje wszelkie szkody (w tym kary) poniesione przez Administratora danych na skutek działań lub zaniechań Procesora na zasadach ogólnych wynikających z przepisów RODO i przepisów Kodeksu cywilnego.

4.2. Podmiot przetwarzający zobowiązuje się do niezwłocznego informowania Administratora danych o jakimkolwiek postępowaniu, czynnościach sprawdzających, zapytaniach osób, których Dane osobowe dotyczą, w szczególności o postępowaniu administracyjnym lub sądowym dotyczącym przetwarzania przez Procesora Danych osobowych określonych w Umowie powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

5. Czas obowiązywania Umowy powierzenia

5.1. Niniejsza Umowa powierzenia zostaje zawarta na czas nieokreślony.

5.2. Każda ze Stron może wypowiedzieć niniejszą Umowę z zachowaniem trzymiesięcznego okresu wypowiedzenia.

6. Naruszenie zasad i przepisów dotyczących ochrony Danych osobowych

6.1. W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie ochrony Danych osobowych Podmiot przetwarzający niezwłocznie poinformuje Administratora o stwierdzeniu incydentów związanych z naruszeniem ochrony Danych osobowych, wraz ze wskazaniem zakresu i charakteru naruszenia, rodzaju danych, których naruszenie dotyczy, danych inspektora ochrony danych osobowych Procesora (o ile został wyznaczony), możliwych konsekwencji występującego naruszenia, jak również zastosowanych metod ochrony przetwarzanych danych i sposobów rozwiązania występującego naruszenia, w tym usunięcia jego skutków.

6.2. Podmiot przetwarzający zobowiązuje się również do niezwłocznego poinformowania organu sprawującego nadzór nad ochroną danych osobowych o stwierdzonym naruszeniu ochrony danych osobowych, zgodnie z postanowieniami przepisów powszechnie obowiązującego prawa na terytorium Rzeczypospolitej Polskiej.

7. Postanowienia końcowe

7.1. W sprawach nieuregulowanych zastosowanie będą miały przepisy powszechnie obowiązującego prawa na terytorium Rzeczypospolitej Polskiej.

7.2. Wszelkie spory pomiędzy Stronami będą rozstrzygane polubownie. W przypadku braku osiągnięcia porozumienia, ostateczny spór pomiędzy Stronami zostanie rozstrzygnięty przez sąd powszechny właściwy dla siedziby Administratora danych.

7.3. Niniejsze postanowienia wchodzą w życie z dniem 25 maja 2018 roku.