UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (DPA)
(Databehandleraftale – zgodna z art. 28 RODO oraz Databeskyttelsesloven)
Administratorem Danych, (klienci)
a
AB People & Payroll – podmiotem świadczącym usługi rekrutacujne, kadrowo‑płacowe i HR, działającym jako Podmiot Przetwarzający ( Procesorem),
Nazwa: AB People&Payroll
Adres: Skovburren 229; 4700 Næsteved
CVR: 46161076
( reprezentowanym) Alicja Buluk
§1. Przedmiot umowy
Niniejsza umowa zostaje zawarta zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
Umowa określa zasady i zakres powierzenia przetwarzania danych osobowych przez Podmiot Przetwarzający w imieniu Administratora Danych, zgodnie z art 28 GDPR oraz dunska ustawa o ochronie danych osobowych( Databeskyttelsesloven)
Adminaistator danych powierza Podmiotowi przetwarzajacemu danych osobowych w rozumieniu art 4 pkt. RODO i odbywa się wyłącznie w związku ze świadczeniem przez Podmiot Przetwarzający usługrekrutacyjnych, kadrowo‑płacowych, HR oraz usług powiązanych, wylacznie na udokumentowane polecenia Administratora danych.
§2. Definicje
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.
Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Przetwarzanie – operacja lub zestaw operacji wykonywanych na danych osobowych.
Podmiot Przetwarzający ( Procesor), – podmiot, któremu Administator danych powierza przetwarzanie danych osobowych.
§3. Czas trwania przetwarzania
Przetwarzanie ma charakter ciągły i trwa przez okres obowiązywania umowy głównej/ wpolpracy miedzy stronami.
Po zakonczeniu wspolpracy Podmiot Przetwarzajacy postapi z danymi zgodnie z §10 niniejszej umowy
§4. Charakter i cel przetwarzania
Charakter przetwarzania obejmuje w szczególności: gromadzenie, utrwalanie, przechowywanie, porządkowanie, przeglądanie, wykorzystywanie, przekazywanie, usuwanie lub niszczenie danych osobowych.
Celem przetwarzania jest w szczególności:
obsługa wynagrodzeń,
rozliczenia podatkowe i składkowe,
administracja urlopami i świadczeniami,
obsługa umów pracowniczych i dokumentacji HR,
raportowanie do właściwych organów publicznych, w tym duńskich organów administracji ( np. wobec SKAT, Feriepenge, instytucji publicznych)
prowadzenie procesów rekrutacyjnych, w tym rekrutacji międzynarodowych, obejmujących kandydatów z państw członkowskich Unii Europejskiej oraz państw trzecich, w szczególności:
przyjmowanie i selekcję aplikacji kandydatów, kontakt z kandydatami, organizację i dokumentowanie etapów rekrutacji, przekazywanie informacji Administratorowi danych o wynikach rekrutacji.
przetwarzanie danych w celach rekrutacyjnych odbywa się wyłącznie na podstawie udokumentowanych instrukcji Administratora danych i w zakresie przez niego określonym.
§5. Rodzaj danych osobowych i kategorie osób
Kategorie osób, których dane dotyczą:
kandydaci do pracy (w tym uczestnicy procesów rekrutacyjnych),
obecni pracownicy,
byli pracownicy,
współpracownicy na podstawie umów cywilnoprawnych.
Kategorie danych osobowych:
dane identyfikacyjne i kontaktowe ( imie, nazwisko, adres),
numer CPR,
dane kadrowe i płacowe,
dane podatkowe i ubezpieczeniowe,
dane bankowe,
dane dotyczące czasu pracy, urlopów i świadczeń,
dane zawarte w dokumentach aplikacyjnych (CV, list motywacyjny, portfolio, referencje),
dane dotyczące kwalifikacji, wykształcenia i doświadczenia zawodowego,
dane wynikające z przebiegu procesu rekrutacyjnego (np. notatki rekrutacyjne, oceny kompetencji),
w ograniczonym zakresie dane szczególnych kategorii, jeżeli ich przetwarzanie jest niezbędne i dopuszczalne na podstawie przepisów prawa pracy.
§6. Obowiazki Podmiotu przetwarzajacego(Procesor)
Podmiot Przetwarzający zobowiazuje sie do:
przetwarzanie dane osobowe wyłącznie na udokumentowane polecenie Administratora danych,
zapewnienia poufnosci danych,
stosowania odpowiednicgh srodkow technicznych i organizacyjnych zapewniające stopień bezpieczeństwa odpowiadający ryzyku, zgodnie z art. 32 RODO,
zapewnienie, ze osoby upowaznione do przetwarzania danych zobowiazalay sie do zachowania poufnosci,
wspieranie Administratora Danych w realizacji praw osob, ktorych dane dotycza,
pomocy Administratorowi Danych w realizacji obowiazkow wynikajacych z art. 32 RODO
Podmiot Przetwarzający prowadzi rejestr czynności przetwarzania zgodnie z art. 30 RODO.
Jeżeli Podmiot Przetwarzający (Procesor) uzna, że polecenie Administratora danych narusza przepisy RODO lub inne obowiązujące przepisy prawa, niezwłocznie poinformuje o tym Administratora danych.
§7. Bezpieczeństwo przetwarzania
Podmiot Przetwarzający stosuje środki bezpieczeństwa oparte na analizie ryzyka, w szczególności:
kontrolę dostępu i autoryzację użytkowników,
szyfrowanie transmisji danych,
regularne kopie zapasowe i procedury odtwarzania danych,
monitorowanie systemów i rejestrowanie zdarzeń,
regularne aktualizacje i testy bezpieczeństwa.
Dane wrazliwe ( np. CPR, dane placowe) objete sa podwyzszonym poziomem ochrony, zgodnie z dunska praktyka Datatilsynet.
Dostęp do danych osobowych jest ograniczony do osób, dla których jest to niezbędne do realizacji obowiązków służbowych.
8. Podwykonawcy (Subprocesorzy)
Administrator danych wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług podwykonawców (dalej: „Subprocesorzy”) zgodnie z art. 28 ust. 2 RODO.
Podmiot Przetwarzający zobowiązuje się do informowania Administratora danych o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia Subprocesorów, umożliwiając Administratorowi zgłoszenie sprzeciwu.
Podmiot Przetwarzający zapewnia, że każdy Subprocesor przetwarza dane osobowe na podstawie umowy powierzenia przetwarzania danych, spełniającej wymogi art. 28 ust. 4 RODO.
W zakresie usług hostingowych Podmiot Przetwarzający korzysta z usług cHosting ApS (Mogensensvej 1, 5000 Odense C, Dania) jako Subprocesora zapewniającego infrastrukturę IT.
Usługi hostingowe świadczone przez cHosting ApS obejmują infrastrukturę opartą na nowoczesnych technologiach serwerowych, w tym panelu administracyjnym cPanel, środowiskach VPS oraz rozwiązaniach chmurowych, zapewniających wysoką dostępność i wydajność usług.
Podmiot Przetwarzający potwierdza, że cHosting ApS stosuje odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo danych osobowych, w szczególności:
a) szyfrowanie transmisji danych (SSL/TLS) – w tym certyfikaty SSL dostępne w usługach hostingowych,
b) ochronę infrastruktury sieciowej, w tym zabezpieczenia przed atakami typu DDoS,
c) regularne tworzenie kopii zapasowych danych (backupy dzienne),
d) kontrolę dostępu do systemów (indywidualne loginy, zarządzanie dostępem w panelu cPanel),
e) izolację środowisk klientów w ramach infrastruktury hostingowej,
f) monitorowanie infrastruktury oraz zapewnienie wysokiej dostępności usług (SLA na poziomie min. 99,9%),
g) stosowanie nowoczesnych technologii serwerowych (np. LiteSpeed) zwiększających wydajność i bezpieczeństwo systemów.
Dane osobowe przetwarzane są na serwerach zlokalizowanych na terytorium Danii, co zapewnia podleganie przepisom prawa Unii Europejskiej oraz RODO.
Podmiot Przetwarzający zapewnia, że zawarł lub zawrze z cHosting ApS stosowną umowę powierzenia przetwarzania danych (DPA), zgodną z art. 28 RODO.
Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za działania i zaniechania Subprocesorów, jak za działania własne.
§9. Naruszenia ochrony danych osobowych
Podmiot Przetwarzający zgłasza Administratorowi danych każde naruszenie ochrony danych osobowych niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia.
Zgłoszenie zawiera wszystkie dostępne informacje umożliwiające Administratorowi danych realizację obowiązków wynikających z RODO.
Inforamacja powinna rowniez umozliwic administratorowi danych wywiazanie sie z obowiazku zgloszenia naruszenia do Datatilsynet w ciagu 72 h.
§10. Audyty i kontrola
Administrator danych ma prawo do przeprowadzania audytów i kontroli w zakresie zgodności przetwarzania danych z niniejszą umową.
Audyty mogą być przeprowadzane samodzielnie lub przez upoważniony podmiot trzeci.
Audyty nie mogą naruszać tajemnicy przedsiębiorstwa Podmiotu Przetwarzającego (Procesora) i muszą być przeprowadzane z zachowaniem zasad proporcjonalności.
§11. Zakończenie przetwarzania oraz okres przechowywania danych
Dane osobowe przetwarzane w ramach procesów rekrutacyjnych przechowywane są przez okres 12 miesięcy od zakończenia procesu rekrutacyjnego, chyba że Administrator poleci ich wcześniejsze usunięcie lub obowiązujące przepisy prawa stanowią inaczej.
Po upływie okresu, o którym mowa w ust. 1, dane rekrutacyjne zostają nieodwracalnie usunięte lub zanonimizowane.
Po zakończeniu współpracy Podmiot Przetwarzający, według wyboru Administratora danyc, usuwa lub zwraca pozostałe dane osobowe, o ile obowiązujące przepisy prawa nie wymagają ich dalszego przechowywania.
Usunięcie danych zostaje potwierdzone na żądanie Administratora danych.
§12. Zakończenie przetwarzania
Po zakończeniu współpracy podmiot przetwarzający usuwa lub zwraca dane osobowe administratorowi, chyba że przepisy prawa wymagają dalszego przechowywania danych.
ZAŁĄCZNIK 1 – Zakres czynności przetwarzania (szczegoly dokument wewnetrzny)
Rekrutacja – przetwarzanie danych kandydatów (CV, rozmowy kwalifikacyjne, ocena kandydatów).
Przechowywanie danych kandydatów w bazie talent pool.
Weryfikacja kwalifikacji i referencji kandydatów.
Doradztwo personalne HR – analiza danych pracowników klientów.
Obsługa wynagrodzeń – prowadzenie list płac.
Raportowanie do instytucji publicznych (np. SKAT, ATP).
ZAŁĄCZNIK 2 – Subprocesorzy
Subprocesor: cHosting ApS (hosting)
Dane identyfikacyjne
Nazwa: cHosting ApS
Adres: Mogensensvej 1, 5000 Odense C, Dania
Kraj: Dania (UE / EOG)
Rola: Subprocesor – dostawca infrastruktury hostingowej
Zakres przetwarzania
Hosting strony internetowej i formularzy
Przechowywanie danych klientów (np. formularze kontaktowe)
Przetwarzanie danych w systemie CMS / bazie danych
Kategorie danych
dane identyfikacyjne (imię, nazwisko)
dane kontaktowe (email, telefon)
dane przesyłane w formularzach (np. zapytania, dokumenty)
Kategorie osób
klienci
potencjalni klienci (lead)
użytkownicy strony internetowej
Lokalizacja danych
serwery w Danii / UE (EOG)
Środki techniczne i organizacyjne (TOMs)
cHosting ApS zapewnia m.in.:
szyfrowanie transmisji danych (SSL/TLS)
firewall i ochrona DDoS
regularne backupy danych
separacja kont hostingowych
kontrola dostępu (loginy, hasła, autoryzacja)
monitoring infrastruktury (uptime, bezpieczeństwo)
aktualizacje systemów (np. LiteSpeed, cPanel)
Subprocesor: Danløn (Payroll system)
(Danløn to system payroll należący do Visma)
Dane identyfikacyjne
Nazwa: Danløn / Visma Enterprise A/S
Grupa: Visma
Kraj: Dania / UE
Rola: Subprocesor – system kadrowo-płacowy
Zakres przetwarzania
naliczanie wynagrodzeń
raportowanie do urzędów (SKAT, ATP, FerieKonto)
obsługa eIndkomst
zarządzanie danymi pracowników
Kategorie danych
dane identyfikacyjne pracowników (imię, nazwisko, CPR)
dane kontaktowe
dane finansowe (wynagrodzenie, podatki, składki)
dane zatrudnienia (umowy, godziny pracy, urlopy)
Kategorie osób
pracownicy
współpracownicy (B2B)
Lokalizacja danych
serwery w UE (głównie Dania / EOG)
Środki techniczne i organizacyjne (TOMs)
Danløn / Visma zapewnia:
szyfrowanie danych (w tranzycie i w spoczynku)
kontrolę dostępu (role, autoryzacja użytkowników)
logowanie operacji (audit trail)
zgodność z duńskimi systemami publicznymi (SKAT, eIndkomst)
wysokie standardy bezpieczeństwa IT (ISO / best practice Visma)
regularne backupy i redundancję danych
Transfer danych poza EOG
możliwy w ramach grupy Visma (jeśli dotyczy) – zabezpieczony przez SCC lub inne mechanizmy zgodne z RODO
Podstawa prawna
art. 28 RODO (umowa powierzenia danych z dostawcą systemu)