• Witamy w firmie KRK Partners i zapraszamy do kontaktu.

Umowa o współadministrowanie
danymi osobowymi
Tekst jednolity

Umowa o współadministrowanie danymi osobowymi

zawarta pomiędzy:

  1. Monument Fund spółka akcyjna z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000640924, NIP 6762515007, kapitał zakładowy: 100.000,00 zł (dalej "Administrator Wiodący" lub „Monument Fund”),
    2. a
  2. KRK Partners spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisaną w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy dla Krakowa - Śródmieścia w Krakowie, XI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS 0000892833, posiadającą NIP 6751748558, której kapitał zakładowy wynosi 9.000,00 zł, (dalej „KRK”),
    3. a
  3. Monument F SPV1 spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000652915, NIP 6762518796, kapitał zakładowy w wysokości 559.000,00 zł, (dalej "Monument F SPV1"),
    4. a
  4. Monument F SPV2 spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000690748, NIP 6762534660, kapitał zakładowy w wysokości 321.000,00 zł, (dalej "Monument F SPV2"),
    5. a
  5. Monument F SPV3 spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000720417, NIP 6762545853, kapitał zakładowy w wysokości 5.000,00 zł, (dalej "Monument F SPV3"),
    6. a
  6. Monument F SPV4 spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000732030, NIP 6762549302, kapitał zakładowy w wysokości 5.000,00 zł, (dalej "Monument F SPV4"),
    7. a
  7. Monument F SPV5 spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000746669, NIP 6762554119, kapitał zakładowy w wysokości 5.000,00 zł, (dalej "Monument F SPV5"),
    8. a
  8. Monument F SPV6 spółka z ograniczoną odpowiedzialnością z siedzibą w Krakowie, ul. Lipska 6/U18, 30-721 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem KRS 0000696875, NIP 6762536541, kapitał zakładowy w wysokości 5.000,00 zł (dalej "Monument F SPV6").

każda zwana także "Stroną" oraz łącznie zwanymi "Współadministratorami", "Stronami" lub „Spółkami”.

Mając na uwadze, że:

  1. Strony wspólnie ustalają cele oraz sposoby przetwarzania danych osobowych w związku ze wspólną działalnością, na zasadzie współadministrowania w rozumieniu art. 26 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ("RODO"),
  2. Jako współadministratorzy danych osobowych, Strony obowiązane są na mocy RODO do spełnienia szeregu obowiązków związanych z przetwarzaniem danych osobowych, w szczególności związanych z wykonywaniem przez osobę, której dane dotyczą, przysługujących jej praw, oraz realizacji obowiązków w odniesieniu do podawania informacji, o których mowa art. 13 i 14 RODO,
  3. Celem niniejszej Umowy jest wspólne uzgodnienie odpowiedniego zakresu obowiązków Współadministratorów oraz relacji pomiędzy Współadministratorami oraz Współadministratorami a podmiotami, których dane dotyczą, w tym określenie zakresu i sposobu obsługi przez Współadministratorów żądań osób, których dane dotyczą.

Strony postanowiły zawrzeć Umowę o następującej treści:

§1 Opis Współadministrowania

  1. Strony, zawierając niniejszą Umowę, dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni przepisom RODO oraz innym przepisom prawa powszechnie obowiązującego.
  2. Przedmiot. Na warunkach określonych niniejszą Umową Strony określają odpowiedni zakres swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.
  3. Kategorie osób. Przetwarzanie danych osobowych przez Współadministratorów będzie dotyczyć następujących kategorii osób:
    1. klienci usługi/produktu Współadministratorów, personel klientów,
    2. osoby, z którymi klienci Współadministratorów wchodzą w interakcje społeczne,
    3. kontrahenci, personel kontrahentów (odbiorców lub dostawców) Współadministratorów,
    4. adresaci informacji o charakterze marketingowym.
  4. Rodzaj danych. Przetwarzanie przez Współadministratorów obejmować będzie rodzaje danych osobowych wskazanych w Załączniku Nr 1 - Rodzaj przetwarzanych danych osobowych.

§2 Obowiązki Współadministratorów

  1. Obowiązki względem osób, których dane dotyczą. Współadministratorzy ustalają, że w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, (w szczególności dotyczy to żądań w zakresie prawa do informowania i przejrzystej komunikacji, dostępu do danych osobowych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych osobowych, sprzeciwu wobec przetwarzania danych osobowych) właściwy będzie Współadministrator, który otrzymał dane żądanie. W przypadku, gdy żądanie zostanie skierowane do kilku Współadministratorów, to ci Współadministratorzy zobowiązani będą, każdy z osobna, do udzielenia ww. odpowiedzi, po wcześniejszym uzgodnieniu wspólnego stanowiska. Niezależnie od powyższego, Współadministratorzy są zobowiązani współpracować między sobą w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą. W tym celu Współadministrator zobowiązany jest niezwłocznie poinformować pozostałych Współadministratorów o każdym żądaniu osoby uprawnionej w ramach wykonywania przez tę osobę praw wynikających z RODO oraz udzielać wszelkich niezbędnych informacji w tym zakresie. Każdy Współadministrator jest zobowiązany we własnym zakresie spełniać obowiązek informacyjny wynikający z art. 13 i 14 RODO.
  2. Działanie zgodnie z zasadami. Współadministratorzy oświadczają, że przetwarzają dane osobowe zgodnie z zasadami określonymi w art. 5 RODO.
  3. Zasada rozliczalności. Administrator Wiodący przechowuje wszelką dokumentację dotyczącą współadministrowania, dla potrzeb spełnienia wymogu rozliczalności.
  4. Zgodność przetwarzania z prawem. Współadministratorzy oświadczają, że przetwarzają dane osobowe wyłącznie w przypadkach gdy, i w takim zakresie, w jakim zachodzi jedna z podstaw przetwarzania wskazana w art. 6 lub 9 RODO.
  5. Przetwarzanie danych osobowych poza EOG. Współadministratorzy nie przekazują danych osobowych poza EOG.
  6. Projektowanie prywatności. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Strony mają obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO, i mają obowiązek z wyprzedzeniem informować Strony o planowanych zmianach w taki sposób i w takich terminach, aby zapewnić Stronom realną możliwość reagowania, jeżeli planowane przez Stronę zmiany w opinii przynajmniej jednej ze Stron grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Stronę planującą zmianę.
  7. Minimalizacja. Strony zobowiązują się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych osobowych jest potrzebny.
  8. Tajemnica. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które mają imienne upoważnienie nadane przez Współadministratora oraz zaciągnęły zobowiązanie do zachowania danych osobowych w tajemnicy.
  9. RCPD. Każdy Współadministrator zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w tym Rejestru Czynności Przetwarzania Danych ("RCPD") (wymóg art. 30 RODO). Współadministratorzy jednocześnie oświadczają, że każdy z nich prowadzi RCPD, aktualizuje jego zawartość i że za niego odpowiada zgodnie z wymogami RODO. Strona udostępnia na żądanie drugiej Strony prowadzony RCPD w zakresie czynności przetwarzania danych osobowych objętych współadministrowaniem.
  10. Bezpieczeństwo. Każdy ze Współadministratorów zapewnia ochronę danych osobowych i podejmuje środki ochrony danych osobowych, o których mowa w art. 32 RODO.
  11. Wyznaczenie Inspektora Ochrony Danych. Spółki mogą wspólnie zadecydować o wyznaczeniu inspektora ochrony danych osobowych dla Spółek. Każda ze Spółek może także samodzielnie wyznaczyć inspektora ochrony danych osobowych, jeżeli w jej ocenie jest to wymagane na podstawie art. 37 ust. 1 RODO lub przyczyni się do poprawy poziomu ochrony danych osobowych.
  12. Szkolenia. Współadministratorzy zapewniają, że osoby dopuszczone do przetwarzania danych osobowych zostały uprzednio przeszkolone z zasad i przepisów o ochronie danych osobowych oraz konsekwencji ich naruszenia.
  13. Ujawnienie informacji o współadministrowaniu. Współadministratorzy informują osoby, których dane dotyczą o współadministrowaniu oraz o zasadniczej treści wspólnych uzgodnień określonych w niniejszej Umowie, a w szczególności o relacji pomiędzy Stronami oraz relacji pomiędzy Stronami a osobami, których dane dotyczą. Ujawnienie informacji o współadministrowaniu oraz o zasadniczej treści wspólnych uzgodnień powinno nastąpić przy pozyskaniu danych osobowych na potrzeby współadministrowania. Informacja o zasadniczej treści wspólnych uzgodnień Współadministratorów może stanowić część obowiązku informacyjnego realizowanego zgodnie i na podstawie art. 13 i art. 14.
  14. Zgłoszenie naruszenia ochrony danych osobowych. Współadministratorzy ustalają, że w zakresie wywiązywania się przez Współadministratorów z obowiązków w zakresie zarządzania naruszeniami ochrony danych osobowych oraz ich zgłaszania do organu nadzoru oraz osobie, której dane dotyczą, właściwy będzie Współadministrator, który stwierdził naruszenie. W przypadku, gdy naruszenie zostanie stwierdzone przez kilku Współadministratorów (np. gdy zostało zgłoszone kilku Współadministratorom), to właściwy do wykonania obowiązków określonych w art. 33 - 34 RODO będzie ten Współadministrator, z którego działania bądź zaniechania naruszenie wynikło. Niezależnie od powyższego, Współadministratorzy są zobowiązani współpracować między sobą w zakresie spełniania obowiązków określonych w art. 33 -34 RODO. W tym celu Współadministratorzy zobowiązani są niezwłocznie poinformować siebie nawzajem o każdym stwierdzonym naruszeniu ochrony danych osobowych, podjętych w związku z naruszeniem krokach, treści zgłoszenia przekazanego organowi nadzorczemu w związku z naruszeniem oraz udzielać sobie nawzajem wszelkich niezbędnych informacji w tym zakresie.
  15. Procesy zapewniające ochronę danych osobowych. Współadministratorzy zobowiązani są wdrożyć dokumentację i procesy zapewniające ochronę danych osobowych, w szczególności:
    1. własną dokumentację ochrony danych osobowych, uwzględniając charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw lub wolności osób fizycznych;
    2. procedurę zapewniania osobom, których dane osobowe dotyczą, realizację przysługujących im praw;
    3. procedurę obsługi naruszeń ochrony danych osobowych.
  16. Spółką wiodącą w modelu współadministrowania jest Monument Fund S.A., która sprawuje kontrolę nad procesami przetwarzania danych osobowych, identyfikuje ryzyka przetwarzania danych osobowych i adekwatnie do nich wyznacza standardy bezpieczeństwa, zapewniające odpowiednią ochronę dla wszystkich przetwarzanych danych osobowych.
  17. Monument Fund odpowiada za marketing oraz promocję produktów i usług Współadministratorów oraz prowadzenie strony internetowej.
  18. KRK świadczy usługi pośrednictwa finansowego na rzecz spółek udzielających pożyczek (podejmuje działania mające na celu skontaktowanie osoby zainteresowanej uzyskaniem pożyczki i kieruje ją do spółek z Grupy Monument Fund, które udzielają pożyczek), a także jest odpowiedzialna za zawieranie umów z pośrednikami finansowymi.
  19. Monument F SPV1, Monument F SPV2, Monument F SPV3, Monument F SPV4, Monument F SPV5, Monument F SPV6 świadczą usługi tego samego rodzaju, tj. podejmują czynności przed zawarciem umowy pożyczki oraz udzielają pożyczek (tj. są stroną umowy pożyczki, wypłacają kwotę pożyczki, kierują do pożyczkobiorcy korespondencję, podejmują czynności po zakończeniu obowiązywania umowy pożyczki, w szczególności czynności windykacyjne).
  20. Celem zapewnienia bezpieczeństwa danych osobowych Współadministratorzy stosują odpowiednie środki techniczne i organizacyjne w zakresie bezpieczeństwa przetwarzania danych osobowych.
  21. Współadministratorzy zobowiązują się powstrzymywać od działań faktycznych i prawnych, które mogłyby w jakikolwiek sposób naruszyć bezpieczeństwo danych osobowych albo narazić innego Współadministratora na odpowiedzialność cywilną lub administracyjną.
  22. Każdy Współadministrator pokrywa własne koszty i wydatki związane z prawidłowym wykonaniem niniejszej Umowy.

§3 Powierzenie Przetwarzania

  1. Powierzenie. Każda ze Stron może powierzyć przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu ("Przetwarzający"), w drodze pisemnej umowy powierzenia przetwarzania danych osobowych. W takiej sytuacji Strona powierzająca ma obowiązek dopilnować realizacji obowiązków związanych z powierzeniem przetwarzania danych osobowych wynikających z RODO oraz poinformować Strony o tożsamości Przetwarzającego.
  2. Sprzeciw. Każda ze Stron może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia danych osobowych konkretnemu Przetwarzającemu. W razie zgłoszenia sprzeciwu Strona powierzająca nie ma prawa powierzyć przetwarzania danych osobowych Przetwarzającemu objętemu sprzeciwem. Strony mogą zgłosić sprzeciw także względem wcześniej zaakceptowanego Przetwarzającego. Wtedy Strona powierzająca musi niezwłocznie zakończyć powierzenie objęte sprzeciwem. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Strona powierzająca zgłosi Stronie sprzeciwiającej się w czasie umożliwiającym zapewnienie ciągłości przetwarzania i uzgodnienie rozwiązań alternatywnych.

§4 Bezpieczeństwo danych osobowych

  1. Analiza ryzyka przetwarzania danych osobowych. Każdy ze Współadministratorów przeprowadza własną analizę ryzyka przetwarzania danych osobowych i stosuje się do jej wyników co do organizacyjnych i technicznych środków ochrony danych osobowych odpowiadających ustalonemu ryzyku naruszenia praw i wolności osób, których dane osobowe dotyczą. Strony aktualizują swoją analizę ryzyka przetwarzania danych osobowych stosownie do potrzeb i wymogów RODO.
  2. DPIA. W przypadku, gdy dany rodzaj przetwarzania stosowany przez Współadministratora - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Współadministrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych i jest zobowiązany do spełnienia obowiązków określonych w art. 35 - 36 RODO. Współadministrator, o którym mowa w zdaniu poprzedzającym, zobowiązany jest niezwłocznie poinformować pozostałych Współadministratorów o stwierdzeniu konieczności dokonania oceny skutków dla ochrony danych osobowych oraz udzielać pozostałym Współadministratorom wszelkich niezbędnych informacji w tym zakresie.

§5 Czasy Reakcji

  1. Powiadomienie o podejrzeniu naruszenia. Strona zapewnia powiadomienie pozostałych Stron o podejrzeniu naruszenia ochrony danych osobowych niezwłocznie, najpóźniej w terminie 24 godzin od zgłoszenia podejrzenia, jeżeli prawdopodobieństwo naruszenia jest wysokie, umożliwia pozostałym Stronom uczestnictwo w czynnościach wyjaśniających.
  2. Powiadomienie o żądaniu udostępnienia. Każdy Współadministrator powiadamia Strony w ciągu 48 godzin o każdym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a w szczególności przepisów postępowania karnego lub przepisów dotyczących zapobieganiu terroryzmowi lub praniu pieniędzy.

§6 Odpowiedzialność

  1. Każdy ze Współadministratorów podlega środkom prawnym i sankcjom określonym w art. 77 - 79 oraz art. 82 - 84 RODO (odpowiedzialność solidarna). W rozliczeniach wzajemnych (regresy) Strony posługują się zasadą winy. Jeżeli jednak żadnej ze Stron nie można przypisać winy lub stopień winy jest podobny, podział odpowiedzialności będzie dokonywany w częściach równych.
  2. Każdy Współadministrator odpowiada za działania i zaniechania osób, przy pomocy których będzie przetwarzał dane osobowe (w tym podmiotów przetwarzających), jak za działania lub zaniechania własne.
  3. Każdy Współadministrator odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Administratora.

§7 Okres Obowiązywania Umowy

  1. Czas obowiązywania. Umowa zostaje zawarta na czas nieokreślony.
  2. Wypowiedzenie. Umowa może zostać wypowiedziana przez każdą ze Stron za 1 - miesięcznym okresem wypowiedzenia.

§8 Postanowienia Końcowe

  1. Niniejsza Umowa stanowi regulację pomiędzy Współadministratorami, o której mowa w art. 26 ust. 1 RODO.
  2. Pisemność. Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy dokumentowej pod rygorem nieważności.
  3. Właściwość prawa. Umowa podlega RODO oraz prawu polskiemu, w tym w szczególności przepisom Kodeksu cywilnego.

Załącznik nr 1 - Rodzaj przetwarzanych danych osobowych

Kategorie danych osobowych, których przetwarzanie zostało objęte współadministrowaniem:

  1. Podstawowe dane identyfikacyjne (imię, nazwisko, adres e-mail, nr telefonu, stanowisko, firma i adres pracodawcy, firma i adres prowadzonej działalności gospodarczej, nr PESEL, seria i nr dowodu osobistego, NIP, REGON, adresy zamieszkania, adresy zameldowania oraz adresy do korespondencji)
  2. Informacje o środkach finansowych
  3. Zobowiązania oraz wydatki
  4. Wypłacalność
  5. Pożyczki, hipoteki, linie kredytowe
  6. Szczegóły polisy ubezpieczeniowej
  7. Transakcje finansowe
  8. Stan posiadania
  9. Informacje dotyczące działań sądowych
  10. Dane dotyczące kar administracyjnych