Polityka prywatności

POROZUMIENIE O WSPÓŁADMINISTROWANIU DANYMI OSOBOWYMI

Niniejsze porozumienie [zwane dalej: „porozumieniem” lub „umową”] zostało zawarte w Legnicy, w dniu 01 października 2019 r. pomiędzy:

– Centrum Odszkodowań DRB Spółka z ograniczoną odpowiedzialnością Spółka komandytowa z siedzibą w Legnicy (59-220) przy ul. Macieja Rataja 28, wpisaną do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej IX Wydział Gospodarczy we Wrocławiu pod pozycją KRS: 0000528494, posiadającą numer NIP: 6912448851 oraz numer REGON: 021077265 [zwaną dalej: „Centrum”], którą reprezentują Panowie: Krzysztof Dribczak oraz Jan Sebastian Buzalewicz – Wiceprezesi Zarządu Komplementariusza (DRB Sp. z o.o.),

– DRB Spółka z ograniczoną odpowiedzialnością z siedzibą w Legnicy (59-220) przy ul. Macieja Rataja 28, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000514358, posiadającą numer NIP: 6912505738 oraz numer REGON: 02244555800000 [zwana dalej: „DRB” lub „Wspólnikiem”], którą reprezentuje Pan Arkadiusz Waldemar Bochnak – Prezes Zarządu,

– Finanse DRB Spółka z ograniczoną odpowiedzialnością w likwidacji z siedzibą w Legnicy (59-220) przy ul. Macieja Rataja 28, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000516559, posiadającą numer NIP: 6912505879 oraz numer REGON: 022454586 [zwaną dalej: „Finanse” lub „Wspólnikiem”], którą reprezentują Panowie Krzysztof Dribczak oraz Jan Sebastian Buzalewicz – Likwidatorzy,

– Centrum Odszkodowań I DRB I Spółka z ograniczoną odpowiedzialnością Spółka komandytowa z siedzibą w Legnicy (59-220) przy ul. Macieja Rataja 28, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000529582, NIP: 6912490020 oraz REGON: 021644149 [zwaną dalej: „Centrum I” lub „Wspólnikiem”], którą reprezentują Panowie Krzysztof Dribczak i Jan Sebastian Buzalewicz – Członkowie Zarządu Komplementariusza (DRB I Sp. z o.o.),

– DRB I Spółka z ograniczoną odpowiedzialnością z siedzibą w Legnicy (59-220) przy ul. Macieja Rataja 28, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000790412, posiadającą numer NIP: 6912543621 oraz numer REGON: 38362784800000 [zwaną dalej: „DRB I”], którą reprezentuje Pan Arkadiusz Waldemar Bochnak – Prezes Zarządu,

– Kancelarią Radców Prawnych DRB Grażyna Ratajczak-Antoniewicz Spółka komandytowa z siedzibą w Legnicy (59-220) przy ul. Macieja Rataja 28, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000430694, posiadającą numer NIP: 6912499009 oraz numer REGON: 021946790 [zwana dalej: „KRP”], którą reprezentuje Pani Grażyna Ratajczak-Antoniewicz – Komplementariusz oraz Pan Arkadiusz Waldemar Bochnak – Prokurent samoistny,

[Centrum, DRB, Finanse, Centrum I, DRB I i KRP łącznie zwani dalej także: „Stronami”, „Współadministratorami”, bądź „Spółkami” a każdą z osobna także: „Stroną”, „Współadministratorem”, bądź „Spółką”].

Preambuła

Mając na uwadze fakt, iż Strony są powiązane ze sobą osobowo i kapitałowo oraz że Strony ściśle współpracują ze sobą w ramach działalności związanej z dochodzeniem odszkodowań od podmiotów odpowiedzialnych, a także z uwagi na trwający proces upraszczania struktury grupy spółek DRB, Strony niniejszym porozumieniem dokonują uzgodnień dotyczących wspólnego wypełniania obowiązków wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „Rozporządzeniem” lub „RODO”).

§ 1. [Przedmiot porozumienia]

Przedmiotem niniejszego porozumienia jest określenie warunków współadministrowania przez Strony danymi osobowymi, w szczególności zaś uzgodnienie zakresów odpowiedzialności poszczególnych Stron w wypełnianiu obowiązków wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

§ 2. [Definicje]

Ilekroć w niniejszym porozumieniu jest mowa o:

Grupie DRB, należy przez to rozumieć spółki wchodzące w skład grupy DRB w Polsce, będące Stronami niniejszego porozumienia;

Istotnej Decyzji, należy przez to rozumieć decyzję dotyczącą współadministrowania, której przedmiotem jest:

  • istotna zmiana zasad przetwarzania danych osobowych przez Spółki, taka jak zmiana jednej lub większej liczby podstaw prawnych przetwarzania danych osobowych, zmiana celów przetwarzania lub decyzja o przetwarzaniu danych, o których mowa w art. 9 lub 10 RODO;
  • wdrożenie rozwiązań, procesów lub operacji przetwarzania, dla których wymagane jest sporządzenie oceny skutków dla ochrony danych w rozumieniu art. 35 RODO;

Decyzja o podjęciu lub zakończeniu współpracy z danym podmiotem przetwarzającym dane osobowe na zlecenie Spółek nie jest uważana za Istotną Decyzję;

Naruszeniu, należy przez to rozumieć naruszenie bezpieczeństwa prowadzące do niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez Spółki w ramach współadministrowania;

Podmiotach Danych, należy przez to rozumieć osoby fizyczne będące kontrahentami, klientami, pracownikami lub współpracownikami, a także potencjalnymi klientami, kontrahentami, pracownikami lub współpracownikami którejkolwiek Strony, a także osoby fizyczne ich reprezentujące;

Osobach Upoważnionych, należy przez to rozumieć pracowników oraz inne osoby upoważnione przez Spółki do przetwarzania danych osobowych Podmiotów Danych;

Państwie Trzecim, należy przez to rozumieć państwo nienależące do Unii Europejskiej lub organizację międzynarodową, w stosunku do których Komisja Europejska nie wydała decyzji stwierdzającej zapewnianie odpowiedniego stopnia ochrony w rozumieniu art. 45 RODO;

Podmiotach Trzecich, należy przez to rozumieć osoby fizyczne, osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej niebędące Spółkami lub Podmiotami Danych, w szczególności inne podmioty przetwarzające dane osobowe na zlecenie Spółek, pośrednicy finansowi, notariusze, doradcy prawni lub konsultanci czy dostawcy usług pocztowych lub kurierskich;

Systemach informatycznych, należy przez to rozumieć wszelkie systemy i narzędzia informatyczne używane w celach obsługi Podmiotów Danych przez Spółki,

Ustawie, należy przez to rozumieć ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U z 2018 r. poz. 1000);

RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych), należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE L119 z 4 maja 2016 r.),

Danych osobowych, rozumieć przez to należy dane osobowe w rozumieniu art. 4 pkt 1) RODO, w tym Dane wrażliwe,

Danych wrażliwych, rozumieć przez to należy szczególne kategorie danych osobowych wymienione w art. 9 ust 1 RODO,

– Przetwarzaniu danych osobowych, rozumieć przez to należy wszelkie operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w rozumieniu art. 4 pkt 2) RODO,

Podmiocie przetwarzającym, rozumieć przez to należy osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

§ 3. [Oświadczenia stron]

1. Współadministratorzy oświadczają i zapewniają, iż:

a. są łącznie uprawnieni do ustalania celów i sposobów przetwarzania danych osobowych, które będą wspólnie administrowane przez nich,

b. są zobligowani do przetwarzania danych osobowych w zakresie niezbędnym do wykonania praw i obowiązków wobec podmiotów danych, jak i obowiązków o charakterze publicznoprawnym.

2. Współadministratorzy oświadczają, że znane im są zasady przetwarzania i zabezpieczania danych osobowych wynikające z RODO oraz innych przepisów prawa powszechnie obowiązującego, ze szczególnym uwzględnieniem obowiązków administratora danych osobowych.

3. Współadministratorzy oświadczają i zapewniają, iż zgodnie z art. 24 RODO posiadają środki techniczne i organizacyjne, zapewniające zgodność przetwarzania danych osobowych z przepisami RODO oraz stosują środki bezpieczeństwa spełniające wymogi RODO, a także poddają je okresowym przeglądom i uaktualnieniom.

4. Dla potrzeb prawidłowej realizacji niniejszej Umowy Współadministratorzy zobowiązują się:

a. współpracować przy realizacji obowiązków ciążących na Współadministratorach danych osobowych,

b. przetwarzać powierzone im dane osobowe zgodnie z niniejszą umową, przepisami RODO oraz innymi przepisami prawa powszechnie obowiązującego,

c. powstrzymywać się od działań faktycznych i prawnych, które mogłyby w jakikolwiek sposób naruszyć bezpieczeństwo danych osobowych albo narazić innego Współadministratora na odpowiedzialność cywilną, administracyjną lub karną.

5. W celu uniknięcia wątpliwości, z tytułu realizacji obowiązków wynikających z niniejszej umowy, żadnemu ze Współadministratorów nie przysługuje wynagrodzenie ani prawo do żądania podwyższenia wynagrodzenia należnego Współadministratorowi, wynikającego z umowy albo z innego stosunku prawnego wiążącego Strony.

6. Każdy Współadministrator pokrywa własne koszty i wydatki związane z prawidłowym wykonaniem niniejszej umowy.

§ 4. [Czas trwania Umowy]

1. Niniejsza umowa zostaje zawarta na czas nieokreślony.

2. Niniejsza umowa może zostać rozwiązana:

a. przez każdą ze Storn, w drodze wypowiedzenia, z zachowaniem co najmniej 3 miesięcznego okresu wypowiedzenia i ze skutkiem na koniec miesiąca kalendarzowego,

b. przez wszystkie Strony, w drodze zgodnego, jednostronnego porozumienia zawartego w formie pisemnej pod rygorem nieważności.

3. W przypadku, gdyby którakolwiek ze Stron umowy zakończyła swój byt prawny (w tym w szczególności w wyniku rozwiązania spółki), niniejsza umowa obowiązuje nadal pomiędzy pozostałymi Stronami. W razie potrzeby, pozostałe Strony zobowiązują się zastąpić postanowienia niniejszej umowy, które nie będą odpowiadały zmienionemu – w wyniku zakończenia bytu prawnego jednej ze Stron – stanowi faktycznemu, postanowieniami odpowiadającymi w możliwie największym stopniu pierwotnej woli Storn.

§ 5. [Obowiązki Spółek]

1. Spółki zobowiązują się do współadministrowania danymi osobowymi Podmiotów Danych w zgodzie z obowiązującymi przepisami prawa, w tym w szczególności z postanowieniami RODO.

2. Spółki są zobowiązane do zapewnienia bezpieczeństwa przetwarzanych danych osobowych oraz do wdrożenia odpowiednich środków organizacyjnych i technicznych służących ochronie danych osobowych, a także, w razie potrzeby, do aktualizacji takich środków. Środki te powinny uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

3. Spółki zobowiązane są do sprawowania kontroli nad prawidłowością przetwarzania danych osobowych przez Podmioty Trzecie.

4. Zakres odpowiedzialności każdej ze Spółek za realizację poszczególnych obowiązków administratorów danych osobowych wynikających z RODO w ramach współadministrowania jest określony w § 7 niniejszej umowy.

5. Dostęp do danych osobowych mogą mieć jedynie pracownicy lub współpracownicy Stron, którzy otrzymali należyte upoważnienie do przetwarzania tych danych, poprzedzone złożeniem przez te osoby oświadczenia o zachowaniu tych danych oraz sposobie ich zabezpieczenia w tajemnicy.

§ 7. [Odpowiedzialność za realizację wymogów RODO]

1. Wszystkie Spółki ponoszą wspólnie odpowiedzialność za:

a. realizację podstawowych zasad przetwarzania danych osobowych zgodnie z art. 5 RODO;

b. wdrożenie odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych zgodnie z art. 24 RODO, w tym środków przewidzianych w art. 32 RODO;

c. dokonywanie okresowych przeglądów środków, o których mowa pod lit. b. powyżej i ich uaktualnianie;

d. uwzględnienie ochrony danych w fazie projektowania oraz wdrożenie środków technicznych i organizacyjnych pozwalających na domyślną ochronę danych osobowych zgodnie z art. 25 RODO;

e. prowadzenie rejestrów czynności przetwarzania oraz kategorii czynności przetwarzania zgodnie z art. 30 RODO z zastrzeżeniem, że Spółki mogą prowadzić wspólny rejestr czynności przetwarzania oraz kategorii czynności przetwarzania dla procesów przetwarzania, w ramach których dochodzi do współadministrowania danymi osobowymi Podmiotów Danych.

2. Spółka CENTRUM I, a w drugiej kolejności spółka DRB I, w zakresie wykonywania obowiązków nałożonych przez RODO, ponosi odpowiedzialność za:

a. wypełnianie obowiązków informacyjnych, o których mowa w art. 13 oraz 14 RODO wobec Podmiotów Danych;

b. zapewnienie skutecznego wykonywania przez Podmioty Danych przysługujących im praw na zasadach określonych w § 9 niniejszej Umowy;

c. zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 RODO;

d. zawiadamianie Podmiotów Danych o Naruszeniach, zgodnie z art. 34 RODO;

e. dokonywanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych przed rozpoczęciem przetwarzania, zgodnie z art. 35 RODO;

f. przeprowadzanie konsultacji z organem nadzorczym przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych, o której mowa pod lit. e. powyżej, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, zgodnie z art. 36 RODO.

3. Pozostałe Spółki będą świadczyły niezbędną pomoc w wykonywaniu przez CENTRUM I obowiązków, o których mowa w ust. 2 powyżej, w szczególności poprzez:

a. przekazywanie na żądanie CENTRUM I informacji dotyczących przetwarzania danych osobowych niezwłocznie po otrzymaniu takiego żądania;

b. zgłaszanie CENTRUM I każdego Naruszenia w ciągu 24 godzin od stwierdzenia takiego Naruszenia. Zgłoszenie powinno uwzględniać wszystkie informacje, o których mowa w art. 33 ust. 3 RODO. Jeżeli – i w zakresie, w jakim informacji nie da się udzielić w tym samym czasie, można ich udzielać sukcesywnie bez zbędnej zwłoki;

c. przekazywanie CENTRUM I wszelkich informacji niezbędnych do wywiązania się z obowiązku zawiadamiania Podmiotów Danych o Naruszeniu;

d. udzielanie wsparcia CENTRUM I przy przeprowadzaniu oceny skutków dla ochrony danych, w tym poprzez udzielanie odpowiednich informacji o zastosowanych środkach ochrony danych;

e. przedstawianie CENTRUM I informacji, o których mowa w art. 36 ust. 3 RODO, przy konsultacjach z organem nadzorczym;

f. wspieranie CENTRUM I, poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, w wywiązywaniu się z obowiązku odpowiadania na żądania Podmiotów Danych, w zakresie wykonywania ich praw określonych w rozdziale III RODO, w tym prawa dostępu do danych;

g. informowanie CENTRUM I o zapytaniach, wnioskach lub żądaniach pochodzących od Podmiotów Danych oraz innych osób fizycznych, krajowych lub unijnych organów administracji publicznej, w tym odpowiednich organów nadzoru oraz sądów, a także o wszelkich kontrolach lub inspekcjach ze strony takich organów, związanych ze Współadministrowaniem danymi osobowymi Podmiotów Danych; informacje powinny być przekazywane niezwłocznie w taki sposób, aby umożliwić CENTRUM I wywiązanie się z obowiązków określonych w ust. 2 powyżej, lecz nie później niż w ciągu 24 h od doręczenia danej Spółce zapytania, wniosku lub żądania lub rozpoczęcia kontroli lub inspekcji.

4. Postanowienia niniejszego Porozumienia dotyczące przyjętej przez CENTRUM I odpowiedzialności w zakresie wykonywania obowiązków nałożonych przez RODO na Współadministratorów, w tym dotyczące obowiązku współpracy pozostałych Współadministratorów z CENTRUM I, stosować należy odpowiednio do DRB I, w razie gdyby to ten podmiot przejął wykonywanie obowiązków nałożonych przez RODO na Współadministratorów.

§ 8. [Podejmowanie decyzji w sprawach ochrony danych osobowych]

1. Każda ze Spółek może samodzielnie:

a. przyjąć odpowiednie polityki lub procedury określające szczegółowe zasady realizacji wymogów RODO, przy czym takie polityki lub procedury nie mogą być sprzeczne z postanowieniami niniejszej umowy, a w razie jej sprzeczności, wiążące są normy wynikające z niniejszej umowy;

b. nadawać upoważnienia do przetwarzania danych osobowych Osobom Upoważnionym;

c. wydawać instrukcje podmiotom przetwarzającym dane osobowe na zlecenie Spółek;

d. powierzać przetwarzanie danych osobowych Podmiotów Danych Podmiotom Trzecim, za wyjątkiem powierzania przetwarzania, w wyniku którego nastąpiłby transfer danych do Państw Trzecich. Fakt powierzenia przetwarzania musi być podany do wiadomości pozostałym Współadministratorom drogą pisemną na adres korespondencyjny lub mailową; nie dotyczy to powierzania przetwarzania innym spółkom z Grupy DRB.

2. Spółki mogą wspólnie zadecydować o wyznaczeniu inspektora ochrony danych osobowych dla Spółek oraz przekazaniu mu zadań określonych w niniejszym paragrafie oraz w § 9 poniżej. Każda ze Spółek może także samodzielnie wyznaczyć inspektora ochrony danych osobowych, jeżeli w jej ocenie jest to wymagane na podstawie art. 37 ust. 1 RODO lub przyczyni się do poprawy poziomu ochrony danych osobowych.

3. Pozostałe decyzje w sprawach ochrony danych osobowych, w tym:

a. decyzja, o której mowa w ust. 2 powyżej,

b. decyzja, o której mowa w § 10 ust. 2 poniżej oraz

c. każda Istotna Decyzja

podejmowane są wspólnie przez Spółki.

§ 9. [Realizacja praw Podmiotów Danych]

1. Podczas współadministrowania danymi osobowymi, na każdym etapie ich przetwarzania, Spółki zapewniają Podmiotom Danych realizację praw przysługujących im na mocy RODO, to znaczy:

a. prawa do wycofania zgody na przetwarzanie danych osobowych zgodnie z art. 7 RODO,

b. prawa dostępu do danych oraz otrzymania ich kopii zgodnie z art. 15 RODO,

c. prawa do sprostowania oraz uzupełnienia danych zgodnie z art. 16 RODO,

d. prawa do usunięcia danych zgodnie z art. 17 RODO,

e. prawa do ograniczenia przetwarzania danych zgodnie z art. 18 RODO,

f. prawa do przenoszenia danych zgodnie z art. 20 RODO,

g. prawa do wniesienia sprzeciwu wobec przetwarzania danych zgodnie z art. 21 RODO, w tym sprzeciwu wobec przetwarzania danych dla celów marketingu bezpośredniego,

h. prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77 RODO.

2. Niezależnie od odpowiedzialności CENTRUM I w zakresie zapewnienia wykonywania przez Podmioty Danych przysługujących im praw, o której mowa w § 7 ust. 2 oraz ust. 1 powyżej, Podmioty Danych mogą wykonywać swoje prawa wobec wszystkich Spółek. W takich sytuacjach Spółka, która otrzymała żądanie, powinna niezwłocznie przekazywać żądanie Podmiotu Danych CENTRUM I wraz z wszelkimi informacjami niezbędnymi do zapewnienia jego realizacji zgodnie z odpowiednimi procedurami przyjętymi w CENTRUM I.

4. Ustęp 2 powyżej nie ma zastosowania do żądań, które mogą być zrealizowane wyłącznie przez daną Spółkę lub żądań, których samodzielna realizacja przez daną Spółkę jest bardziej efektywna.

§ 10. [Transfer danych do Państw Trzecich]

1. Mając na uwadze fakt, że dane Podmiotów Danych, co do zasady nie są, aczkolwiek incydentalnie mogą być przekazywane do Państw Trzecich, Spółki postanawiają, że przed każdym indywidualnym przypadkiem przekazania danych do danego Państwa Trzeciego, Spółki uprzednio przyjmą odpowiednie środki zabezpieczające, zgodnie z wymogami stawianymi przez RODO.

2. Spółki będą każdorazowo decydowały o przyjęciu odpowiedniej formy środków zabezpieczających, w drodze pisemnego porozumienia.