Saal Digital Fotoservice GmbH

Zeppelinstraße 36, 91187 Röttenbach

1 Dane umowne
2 Sprawdzenie i zawarcie

Umowa powierzenia przetwarzania danych osobowych


Dane zleceniodawcy
common.please_select
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Vertragstext

Umowa o zlecone przetwarzanie danych w rozumieniu art. 28 ust. 3 podstawowego rozporządzenia o ochronie danych (RODO).



między administratorem:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– Klient –

a podmiotem przetwarzającym:
Saal Digital Fotoservice GmbH
Weidenauerstraße 160
57076 Siegen
– Wykonawca –

Preambuła


Niniejsza umowa określa zobowiązania umawiających się stron w zakresie ochrony danych wynikające z realizacji zamówienia, opisane w Załącznik A. Dotyczy to wszystkich czynności związanych z usługą, w ramach których pracownicy wykonawcy lub osoby trzecie zlecone przez wykonawcę mogą mieć kontakt z danymi osobowymi klienta.
Indywidualne umowy zawarte w niniejszej umowie o ochronie danych mają pierwszeństwo przed ogólnymi warunkami handlowymi (OWH) wykonawcy.

§ 1 Definicje


(1) Dane osobowe
Zgodnie z art. 4 ust. 1 RODO dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zwanej dalej „osobą, której dane dotyczą”); możliwa do zidentyfikowania to osoba fizyczna, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności przez przypisanie jej tożsamości, takiej jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikacja online lub co najmniej jedna szczególna cecha wyrażająca fizyczną, fizjologiczną, genetyczną, psychologiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.

(2) Podmiot przetwarzający
Zgodnie z art. 4 ust. 8 RODO przetwarzającym jest osoba fizyczna lub prawna, organ, instytucja lub inny podmiot przetwarzający dane osobowe w imieniu administratora danych.

(3) Instrukcja
Instrukcja jest zazwyczaj pisemną instrukcją klienta skierowaną na określone postępowanie z ochroną danych (np. przechowywanie, pseudonimizacja, usuwanie, publikacja) wykonawcy wraz z danymi osobowymi. Instrukcje są wydawane przez klienta i mogą być zmieniane, uzupełniane lub zastępowane indywidualnymi instrukcjami (indywidualne instrukcje). Polecenia klienta muszą być złożone w formie pisemnej lub mailowej.

§ 2 Przedmiot, czas trwania i specyfikacja realizacji zamówienia
Przedmiot i czas trwania zamówienia oraz rodzaj i cel realizacji wynikają z niniejszej umowy. W szczególności informacje dotyczące danych w załączniku A stanowią część przetwarzania danych.

Niniejsza umowa jest ważna do odwołania. Odwołanie musi mieć formę pisemną.

§ 3 Zakres i odpowiedzialność
Wykonawca przetwarza dane osobowe w imieniu klienta. Obejmuje to działania określone w niniejszej umowiae. W ramach niniejszej umowy klient ponosi wyłączną odpowiedzialność za zgodność z przepisami prawa o ochronie danych, w szczególności za zgodność z prawem przekazywania danych wykonawcy oraz za zgodność z prawem przetwarzania danych („administrator” w rozumieniu art. 4 nr 7 RODO).

§ 4 Obowiązki wykonawcy
(1) Wykonawca może przetwarzać dane osób, których dane dotyczą, wyłącznie w zakresie objętym zamówieniem i instrukcjami instytucji zamawiającej, chyba że zachodzi wyjątkowy przypadek w rozumieniu art. 28 ust. 3 lit. a) RODO. Jeżeli kontrahent uzna, że instrukcja narusza obowiązujące przepisy prawa, niezwłocznie informuje o tym klienta. Wykonawca może zawiesić wykonanie poleceń do czasu jej potwierdzenia lub zmiany przez klienta.

(2) Wykonawca opracowuje projekt organizacji wewnętrznej w zakresie swoich obowiązków w taki sposób, aby spełniała ona szczególne wymogi ochrony danych. Podejmie on środki techniczne i organizacyjne w celu odpowiedniej ochrony danych instytucji zamawiającej, które spełniają wymagania rozporządzenia o ochronie danych (art. 32 RODO). Wykonawca podejmuje środki techniczne i organizacyjne w celu zapewnienia długoterminowej poufności, integralności, dostępności i odporności systemów i usług związanych z przetwarzaniem. Klient jest świadomy tych technicznych i organizacyjnych środków i jest odpowiedzialny za dopilnowanie, aby zapewniały one odpowiedni poziom ochrony przed ryzykiem związanym z przetwarzanymi danymi.
Wykonawca zastrzega sobie prawo do zmiany podjętych środków bezpieczeństwa, ale należy zapewnić, że nie spadną one poniżej uzgodnionego tu poziomu ochrony.

(3) W uzgodnionym zakresie wykonawca pomaga głównemu zobowiązanemu, w miarę swoich możliwości, w realizacji wniosków i roszczeń zainteresowanych osób zgodnie z rozdziałem III RODO oraz w wypełnianiu obowiązków określonych w art. 33-36 RODO.

(4) Zleceniobiorca gwarantuje, że pracownicy zaangażowani w przetwarzanie danych zleceniodawcy i innych osób pracujących dla zleceniobiorcy nie mogą przetwarzać danych poza instrukcjami. Ponadto wykonawca gwarantuje, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności. Zobowiązanie do zachowania poufności/nieujawnienia obowiązuje również po zakończeniu realizacji zamówienia.

(5) Jeżeli zleceniobiorca dowie się o jakimkolwiek naruszeniu ochrony danych osobowych zleceniodawcy, zobowiązany jest niezwłocznie poinformować o tym zleceniodawcę.

Wykonawca podejmuje niezbędne środki w celu zabezpieczenia danych i złagodzenia ewentualnych negatywnych skutków dla zainteresowanych osób oraz niezwłocznie konsultuje się z klientem.

(6) Wykonawca wyznacza osobę do kontaktów we wszelkich kwestiach związanych z ochroną danych, wynikających z zakresu niniejszej umowy.

(7) Wykonawca zapewnia wypełnienie obowiązków wynikających z art. 32 ust. 1 lit. d) RODO dotyczących ustanowienia procedury regularnego przeglądu skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.

(8) Zleceniobiorca poprawia lub usuwa dane będące przedmiotem umowy, jeżeli zleceniodawca wyrazi na to zgodę, co zostało uwzględnione w ramach instrukcji. Jeżeli usunięcie danych zgodnie z ochroną danych lub odpowiednim ograniczeniem przetwarzania danych nie jest możliwe, wykonawca dokonuje zniszczenia nośników danych i innych materiałów zgodnie z ochroną danych na indywidualne zamówienie klienta lub zwraca te nośniki danych klientowi, chyba że zostało to już wcześniej uzgodnione.
W szczególnych przypadkach, określonych przez klienta, towar jest składowany lub przekazywany, wynagrodzenie i środki ochronne są uzgadniane oddzielnie.

(9) Dane, nośniki danych i wszystkie inne materiały zostaną zwrócone lub usunięte na życzenie klienta na końcu zamówienia.

(10) W przypadku roszczenia wobec zleceniodawcy ze strony osoby zainteresowanej w związku z roszczeniami wynikającymi z art. 82 RODO, zleceniobiorca zobowiązuje się wesprzeć zleceniodawcę w obronie roszczenia w zakresie, w jakim jest to możliwe.

§ 5 Obowiązki instytucji zamawiającej
(1) Zleceniodawca jest zobowiązany do niezwłocznego i pełnego poinformowania Zleceniobiorcy o wykryciu w wynikach zlecenia błędów lub nieprawidłowości w przepisach dotyczących ochrony danych.

(2) W przypadku roszczenia osoby zainteresowanej wobec mocodawcy z tytułu roszczeń wynikających z art. 82 RODO § 4 ust. 10 stosuje się odpowiednio.

(3) Zleceniodawca wskazuje zleceniobiorcy osobę kontaktową w sprawach dotyczących ochrony danych osobowych powstałych w związku z zakresem umowy.

§ 6 Wnioski od osób, których dane dotyczą
Jeżeli osoba, której dane dotyczą, zwraca się do wykonawcy z roszczeniami o korektę, usunięcie lub informację, wykonawca skieruje osobę, której dane dotyczą, do głównego zobowiązanego, pod warunkiem że możliwe jest przypisanie jej do głównego zobowiązanego zgodnie z danymi osoby, której dane dotyczą. Wykonawca niezwłocznie przekaże wniosek zainteresowanej osoby instytucji zamawiającej. Zleceniobiorca będzie wspierał Zleceniodawcę w zakresie swoich możliwości i na polecenie, w uzgodnionym zakresie. Wykonawca nie ponosi odpowiedzialności, jeżeli klient nie odpowie na wniosek zainteresowanej osoby, nie odpowie poprawnie lub nie odpowie w odpowiednim czasie.

§ 7 Możliwości wykrywania.
(1) Wykonawca musi za pomocą odpowiednich środków udowodnić zleceniodawcy, że wywiązał się ze zobowiązań określonych w niniejszej umowie.

(2) Jeżeli w indywidualnych przypadkach wymagane są inspekcje klienta lub audytora zleconego przez klienta, są one przeprowadzane w normalnych godzinach pracy bez zakłócania pracy przedsiębiorstwa po powiadomieniu, z uwzględnieniem odpowiedniego okresu realizacji. Wykonawca może poddać je uprzedniemu powiadomieniu z odpowiednim wyprzedzeniem oraz podpisaniu umowy o poufności w odniesieniu do danych innych klientów oraz wprowadzonych środków technicznych i organizacyjnych. Jeżeli inspektor zlecony przez zleceniodawcę jest w stosunku konkurencyjnym z wykonawcą, wykonawca ma prawo oprotestować wykonawcę.
Wykonawca może pobierać opłatę za pomoc w przeprowadzeniu kontroli. Koszty inspekcji są zazwyczaj ograniczone do jednego dnia w roku kalendarzowym dla wykonawcy.

(3) Jeżeli inspekcję przeprowadza organ nadzorczy ds. ochrony danych lub inny suwerenny organ nadzorczy instytucji zamawiającej, stosuje się odpowiednio ust. 2. Podpisanie umowy o poufności nie jest konieczne, jeżeli ten organ nadzorczy podlega tajemnicy zawodowej lub prawnej, w której naruszenie jest karalne na mocy kodeksu karnego.

§ 8 Podwykonawcy (inni wykonawcy)
(1) Wykorzystanie podwykonawców jako dodatkowych przetwórców kontraktowych jest dozwolone tylko wtedy, gdy klient wyraził na to uprzednią zgodę.

(2) Stosunek podwykonawcy wymagający zatwierdzenia istnieje, jeżeli wykonawca zleca kolejnym wykonawcom wykonanie całości lub części usługi uzgodnionej w umowie. Wykonawca zawrze z takimi osobami trzecimi umowy w zakresie niezbędnym do zapewnienia właściwej ochrony danych i środków bezpieczeństwa informacji.
Uzgodnione usługi lub usługi częściowe opisane poniżej są realizowane z udziałem następujących podwykonawców:

Nazwa i adres podwykonawcy.
Amazon Web Services Germany GmbH
Krausenstraße 38
10117 Berlin
Data Center w regionie AWS Frankfurt, Niemcy (Data Center)

Opis usług częściowych.
- Korekta zdjęć
- Edytowanie danych do druku
- Zapisywanie danych

Przed powołaniem kolejnych podwykonawców lub wymianą wskazanych podwykonawców, Wykonawca uzyska zgodę Klienta, której nie można bez uzasadnionej przyczyny odmówić na podstawie przepisów o ochronie danych osobowych.

(3) Jeżeli wykonawca składa zamówienia u podwykonawców, jest on odpowiedzialny za przekazanie podwykonawcy swoich obowiązków w zakresie ochrony danych wynikających z niniejszej umowy.

§ 9 Obowiązek informowania, klauzula o formie pisemnej, prawo wyboru prawa
(1) Jeżeli dane głównego zobowiązanego zostaną zagrożone w wyniku zajęcia lub konfiskaty, postępowania upadłościowego lub układowego albo innych zdarzeń lub środków osób trzecich, wykonawca musi niezwłocznie powiadomić o tym głównego zobowiązanego. Wykonawca niezwłocznie informuje wszystkie osoby odpowiedzialne w tym kontekście, że suwerenność i własność danych spoczywa wyłącznie na głównym zobowiązanym jako „administratorze” w rozumieniu rozporządzenia o ochronie danych.

(2) Zmiany i uzupełnienia do niniejszego załącznika i wszystkich jego części składowych - w tym wszelkie gwarancje Wykonawcy - wymagają pisemnej umowy, która może być również sporządzona w formie elektronicznej (w formie tekstu) oraz wyraźnego wskazania, że niniejsze warunki zostaną zmienione lub uzupełnione. Dotyczy to również zwolnienia z tego wymogu formalnego.

(3) W przypadku jakichkolwiek sprzeczności, postanowienia niniejszej umowy o ochronie danych mają pierwszeństwo przed postanowieniami umowy. Jeżeli poszczególne części niniejszego załącznika są nieważne, nie ma to wpływu na ważność pozostałej części załącznika.

(4) Zastosowanie ma prawo niemieckie.

§ 10 Odpowiedzialność i odszkodowania
Zleceniodawca i wykonawca ponoszą odpowiedzialność wobec osób zainteresowanych zgodnie z postanowieniami art. 82 RODO.

§ 11 Klauzula salwatoryjna, jurysdykcja, stosowalność
(1) Jeżeli którekolwiek z postanowień niniejszej umowy jest lub stanie się nieważne lub niewykonalne, nie ma to wpływu na pozostałe postanowienia niniejszej umowy. Strony zgadzają się zastąpić nieważne lub niewykonalne postanowienie ważnym i wykonalnym postanowieniem, które najbardziej zbliżone jest do celu gospodarczego stron. To samo dotyczy przypadku luki prawnej.

(2) Zmiany i uzupełnienia do niniejszej umowy i wszystkich jej elementów - w tym wszelkie zapewnienia kontrahenta - wymagają pisemnej umowy lub formy tekstowej (format elektroniczny) oraz wyraźnego wskazania, że umowa ta stanowi zmianę lub uzupełnienie. Dotyczy to również zwolnienia z tego wymogu formalnego.

(3) Tłumaczenie to ma charakter wyłącznie informacyjny i nie jest prawnie wiążącym dokumentem. Pierwotne postanowienia zawarte są w oryginalnej wersji niemieckiej.

(4) Niniejszym uzgadnia się, że sądem właściwym do rozstrzygania sporów będzie Siegen. 

16.07.2026, [[Ort]]
podpisano. [[Name]]

16.07.2026, Siegen
podpisano Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (dyrektorzy zarządzający Saal Digital Fotoservice GmbH)

[Niniejsza umowa jest ważna bez podpisu.]
Załącznik A: Szczegóły dotyczące zlecenia
1. Rodzaj danych
2. Rodzaj i cel przetwarzania danych
3. Kategorie zainteresowanych osób
Załącznik B: Środki techniczne i organizacyjne
Środek Cel ochrony Beschreibung
Zutrittskontrolle
Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) C .
Einsatz eines Zugangskontrollsystems C Schlüsselregelung und aktuelle Schlüsselliste
Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste C
Festlegung der zugangsberechtigten Personen C .
Identifikation durch Ausweise C .
Protokollierung der Zu- und Abgänge C .
Revisionsfähigkeit der Zugangsberechtigungen C .
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude C .
Zugangsregelungen für betriebsfremde Personen C .
Zugangskontrolle
Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche C .
geteiltes Passwort mit 4-Augen-Prinzip C Ohne das Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff.
Identifikation und Authentifizierung der Benutzer C .
Passwortrichtlinie C (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) C
Regelungen / Voraussetzungen zur Telearbeit C (Zwei-Faktor-Authentifizierung)
Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) C
Sicherung der Datenstationen, Netze und Übertragungsleitungen C .
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität C (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) C
Verschlüsselung der zu übertragenden Daten C .
Zugriffskontrolle
Anlegen von revisionsfähigen Benutzerprofilen C .
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe C .
Beschränkung der freien Abfragemöglichkeiten von Datenbanken C (Query-Sprache)
Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) C
Einführung zugriffsbeschränkender Maßnahmen C (z. B. nur Leseberechtigung)
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) C
Einsatz von Verschlüsselungsverfahren C .
Identifikation und Authentifizierung der Benutzer C .
Maschinelle Überprüfung der Berechtigungen C .
Zentrale Vergabestelle von Benutzerrechten C .
Weitergabekontrolle
Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen C .
Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) C .
Eingabekontrolle
Festlegung von Eingabebefugnissen I .
Protokollierung der Eingaben, Veränderungen und Löschungen I .
Speicherung des Veranlassers I .
Auftragskontrolle
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber C, I, A .
Formalisierung der Auftragserteilung C, I, A .
Klare Vereinbarungsgestaltung und -ausführung C, I, A .
Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung C, I, A .
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. C, I, A .
Sorgfältige Auswahl des Auftragnehmers C, I, A .
Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers C, I, A .
Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO C, I, A .
Verfügbarkeitskontrolle
Application-/Device-Control A .
Brandmelder A .
Klimatisierung A .
Objektsicherung insb. der Serverräume A .
Permanente Serverüberwachung durch Monitoring-Software A .
USV (Unterbrechungsfreie Stromversorgung) A .
Virenschutz / Firewall A .
Trennungsgebot
Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt C .
Mandantentrennung auf Auftragsebene - Logische Trennung der Daten C .
Pseudonymisierung
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten in der Produktion
Verschlüsselung
Speicherung C Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Übertragung C Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
Wiederherstellbarkeit
Backup-Systeme zur Wiederherstellung verlorener Daten A .
Dezentrale Datensicherung A .
Mehrfach redundantes Active-Active-Cluster A .
Testen der Wiederherstellung A .
Managementsystem
Durchführung regelmäßiger interner Audits C, I, A .
Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) C, I, A .
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen C, I, A .
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) C, I, A .
Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen C, I, A .
Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) C, I, A .
Sygnatariusze

Sygnatariusze 1

Wstecz