Stan na dzień 17.04.2026 r.
Porozumienie w sprawie ochrony danych
Niniejsza umowa o ochronie danych obowiązuje pomiędzy zleceniodawcą (administratorem, zwanym dalej Zleceniodawcą) a firmą Vogel Event Solutions GmbH, Max-Planck-Str. 7/9 97082 Würzburg (podmiot przetwarzający, zwany dalej Zleceniobiorcą) w przypadku, gdy Zleceniodawca zleca Zleceniobiorcy, na podstawie umowy głównej, wykonanie świadczeń w obszarze działalności gospodarczej Zleceniobiorcy, i określa wzajemne prawa oraz obowiązki stron w zakresie ochrony danych osobowych.
Umowa zostaje zawarta w momencie, gdy Zleceniodawca zleca Zleceniobiorcy wykonanie świadczenia, akceptując jego ogólne warunki handlowe.
1.Przedmiot i okres obowiązywania umowy
Przedmiot zlecenia wynika z umowy o świadczenie usług zawartej między stronami, do której niniejszym się odwołujemy (zwanej dalej umową główną).
W ramach tej umowy Zleceniobiorca przetwarza dane osobowe na rzecz Zleceniodawcy w rozumieniuart. 4 pkt 2 i art. 28 RODO.
Usługa określona w umowie jest świadczona wyłącznie w państwie członkowskim Unii Europejskiej lub w państwie będącym stroną Porozumienia o Europejskim Obszarze Gospodarczym.
Każde przeniesienie świadczenia usługi lub jej części do państwa trzeciego wymaga uprzedniej zgody Zleceniodawcy i może nastąpić wyłącznie wtedy, gdy spełnione są szczególne warunki określone w art. 44 i następnych RODO (np. decyzja Komisji w sprawie adekwatności, standardowe klauzule ochronne, zatwierdzone kodeksy postępowania).
Okres obowiązywania zlecenia odpowiada okresowi obowiązywania umowy głównej. Możliwość rozwiązania stosunku umownego ze skutkiem natychmiastowym pozostaje nienaruszona.
2. Rodzaj i cel przetwarzania, kategorie danych oraz osoby, których dane dotyczą
Z reguły Zleceniobiorca oferuje Zleceniodawcy przygotowanie, realizację i obsługę po realizacji wydarzeń stacjonarnych, cyfrowych i/lub hybrydowych. Zakres ten obejmuje w szczególności zarządzanie uczestnikami i prelegentami, e-mail marketing, webinary, konferencje internetowe, nagrania wideo i audio, analizy wydarzeń, lead management i przekazywanie leadów, w tym sporządzanie list uczestników na potrzeby śledzenia kontaktów w ramach ochrony przed zakażeniami, a także udostępnienie technicznej platformy komunikacyjnej, w tym obsługę ankiet i zarządzanie biletami. Zakres usług objętych zleceniem wynika z umowy głównej.
Rodzaj danych osobowych (zgodnie z definicją zawartą w art. 4 pkt 1, 13, 14 oraz (art. 15 RODO):
Przedmiotem przetwarzania danych osobowych mogą być następujące rodzaje/kategorie danych (wyliczenie/opis kategorii danych):
imię, nazwisko, adres e-mail, wiadomości na czacie skierowane do moderatora/moderatorki lub prelegenta/prelegentki, adres.
Kategorie osób, których dane dotyczą (zgodnie z definicją zawartą w art. 4 pkt 1 RODO)
Kategorie osób, których dane są przetwarzane, mogą obejmować:
pracowników Zleceniodawcy, klientów, osoby zainteresowane.
3. Prawa i obowiązki oraz uprawnienia Zleceniodawcy do wydawania poleceń
Za ocenę dopuszczalności przetwarzania danych z art. 6 ust. 1 RODO oraz za zapewnienie przestrzegania praw osób, których dane dotyczą, zgodnie z art. 12-22 RODO, odpowiedzialność ponosi wyłącznie Zleceniodawca.
Niezależnie od powyższego Zleceniobiorca jest zobowiązany do niezwłocznego przekazywania Zleceniodawcy wszelkich takich żądań, o ile z ich treści wynika, że są one skierowane wyłącznie do Zleceniodawcy.
Zmiany przedmiotu przetwarzania oraz zmiany procedur przetwarzania wymagają uzgodnienia pomiędzy Zleceniodawcą a Zleceniobiorcą oraz utrwalenia w formie pisemnej lub w udokumentowanej formie elektronicznej.
Zleceniodawca udziela wszelkich zleceń, zleceń częściowych i poleceń co do zasady w formie pisemnej lub w udokumentowanej formie elektronicznej. Polecenia ustne wymagają niezwłocznego potwierdzenia w formie pisemnej lub w udokumentowanej formie elektronicznej.
Zleceniodawca jest uprawniony do tego, aby przed rozpoczęciem przetwarzania, a następnie regularnie, w odpowiedni sposób, weryfikować zgodność stosowanych przez Zleceniobiorcę środków technicznych i organizacyjnych, jak również obowiązków określonych w niniejszej umowie, zgodnie z pkt 5.
Zleceniodawca niezwłocznie informuje Zleceniobiorcę, jeśli podczas kontroli wyników zlecenia stwierdzi błędy lub nieprawidłowości.
Zleceniodawca jest zobowiązany do zachowania w tajemnicy wszelkich informacji uzyskanych w ramach stosunku umownego dotyczących tajemnic handlowych oraz środków bezpieczeństwa danych Zleceniobiorcy.
Zobowiązanie to pozostaje w mocy również po wygaśnięciu niniejszej umowy.
4. Obowiązki Zleceniobiorcy
Zleceniobiorca przetwarza dane osobowe wyłącznie w ramach poczynionych uzgodnień oraz zgodnie z poleceniami Zleceniodawcy, chyba że jest zobowiązany do innego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega jako podmiot przetwarzający (np. w związku z postępowaniami prowadzonymi przez organy ścigania lub organy bezpieczeństwa państwa); w takim przypadku podmiot przetwarzający informuje administratora przed rozpoczęciem przetwarzania o tym obowiązku prawnym, o ile dane prawo nie zabrania takiego poinformowania z uwagi na ważny interes publiczny (art. 28 ust. 3 zdanie 2 lit. a RODO).
Zleceniobiorca nie wykorzystuje powierzonych mu do przetwarzania danych osobowych do żadnych innych celów, a w szczególności nie do własnych celów. Kopie lub duplikaty danych osobowych nie są sporządzane bez wiedzy Zleceniodawcy.
Zleceniobiorca zapewnia zgodną z umową realizację wszystkich uzgodnionych środków w zakresie przetwarzania danych osobowych objętego zleceniem. Zobowiązuje się on ponadto do ścisłego oddzielenia danych przetwarzanych na rzecz Zleceniodawcy od innych zbiorów danych.
Nośniki danych pochodzące od Zleceniodawcy lub wykorzystywane na jego rzecz są odpowiednio oznaczone. Ich wpływ i wydanie, jak również bieżące wykorzystanie, podlegają dokumentowaniu.
Przy wykonywaniu przez Zleceniodawcę praw osób, których dane dotyczą, wynikających z art. 12-22 RODO, przy sporządzaniu rejestrów czynności przetwarzania oraz przy przeprowadzaniu wymaganej przez Zleceniodawcę oceny skutków dla ochrony danych Zleceniobiorca jest zobowiązany współdziałać w niezbędnym zakresie oraz, w miarę możliwości, udzielać Zleceniodawcy odpowiedniego wsparcia (art. 28 ust. 3 akapit drugi lit. e i f RODO). Ma on niezwłocznie przekazać wymagane informacje do jednostki Zleceniodawcy wskazanej w danym żądaniu.
Zleceniobiorca niezwłocznie poinformuje Zleceniodawcę, jeśli uzna, że wydane przez niego polecenie narusza przepisy prawa (art. 28 ust. 3 zdanie 3 RODO).
Zleceniobiorca ma prawo wstrzymać realizację danego polecenia do czasu jego potwierdzenia lub zmiany przez osobę odpowiedzialną ze strony Zleceniodawcy po dokonaniu weryfikacji.
Zleceniobiorca ma obowiązek sprostować, usunąć lub ograniczyć przetwarzanie danych osobowych wynikających ze stosunku zlecenia, jeżeli Zleceniodawca zażąda tego w formie polecenia, a nie stoi temu na przeszkodzie uzasadniony interes Zleceniobiorcy.
Zleceniobiorca może udzielać osobom trzecim lub osobie, której dane dotyczą, informacji o danych osobowych przetwarzanych w ramach stosunku powierzenia wyłącznie na podstawie uprzedniego polecenia lub za uprzednią zgodą Zleceniodawcy.
Zleceniobiorca wyraża zgodę na to, aby Zleceniodawca – zasadniczo po uprzednim uzgodnieniu terminu – był uprawniony do kontrolowania, samodzielnie lub za pośrednictwem osób trzecich upoważnionych przez Zleceniodawcę, przestrzegania przepisów dotyczących ochrony danych i bezpieczeństwa danych oraz postanowień umownych, w odpowiednim i niezbędnym zakresie, w szczególności poprzez uzyskiwanie informacji i wgląd do zapisanych danych oraz programów służących do przetwarzania danych, a także poprzez kontrole i inspekcje na miejscu (art. 28 ust. 3 zdanie 2 lit. h RODO).
Zleceniobiorca zapewnia, że w razie potrzeby będzie wspierał przeprowadzanie takich kontroli.
Przetwarzanie danych w mieszkaniach prywatnych (telepraca lub praca zdalna pracowników Zleceniobiorcy) jest dopuszczalne wyłącznie za zgodą Zleceniodawcy. W przypadku przetwarzania danych w mieszkaniu prywatnym należy wcześniej zapewnić w umowie pracodawcy dostęp do mieszkania pracownika w celach kontrolnych.
Również w tym przypadku należy zapewnić zastosowanie środków określonych w art. 32 RODO.
Zleceniobiorca potwierdza, że znane są mu przepisy RODO dotyczące ochrony danych, mające zastosowanie do powierzenia przetwarzania.
Zobowiązuje się on również do przestrzegania zasad ochrony tajemnicy mających znaczenie dla niniejszego zlecenia, które ciążą na Zleceniodawcy i które zostały mu przez Zleceniodawcę odpowiednio wcześnie zakomunikowane.
Zleceniobiorca zobowiązuje się do zachowania poufności przy przetwarzaniu danych osobowych Zleceniodawcy zgodnie z umową.
Obowiązek ten pozostaje w mocy również po zakończeniu umowy.
Zleceniobiorca zapewnia, że przed rozpoczęciem wykonywania czynności zapozna pracowników uczestniczących w realizacji prac z przepisami o ochronie danych mającymi do nich zastosowanie oraz zobowiąże ich w odpowiedni sposób do zachowania poufności zarówno na czas wykonywania pracy, jak i po ustaniu stosunku pracy (art. 28 ust. 3 zdanie 2 lit. b oraz art. 29 RODO).
Zleceniobiorca nadzoruje przestrzeganie przepisów o ochronie danych w swoim przedsiębiorstwie.
Dane kontaktowe inspektora ochrony danych Zleceniobiorcy zostaną przekazane Zleceniodawcy w celu umożliwienia bezpośredniego kontaktu. O zmianie inspektora ochrony danych Zleceniodawca zostanie niezwłocznie poinformowany. Na stanowisko inspektora ochrony danych u Zleceniobiorcy jako zewnętrznego usługodawcy powołano firmę TÜV Süd, datenschutz@vogel.de
O zmianie inspektora ochrony danych należy niezwłocznie poinformować Zleceniodawcę.
W stosownych przypadkach Zleceniobiorca zobowiązuje się do niezwłocznego informowania Zleceniodawcy o wykluczeniu z zatwierdzonych kodeksów postępowania zgodnie z art. 41 ust. 4 RODO oraz o cofnięciu certyfikacji zgodnie z art. 42 ust. 7 RODO.
5. Obowiązki informacyjne Zleceniobiorcy w przypadku zakłóceń przetwarzania oraz naruszeń ochrony danych osobowych
Zleceniobiorca niezwłocznie informuje Zleceniodawcę o zakłóceniach, naruszeniach po stronie Zleceniobiorcy lub osób przez niego zatrudnionych, dotyczących przepisów o ochronie danych osobowych lub ustaleń przyjętych w ramach zlecenia, a także o podejrzeniu naruszenia ochrony danych lub nieprawidłowościach w przetwarzaniu danych osobowych.
Dotyczy to w szczególności ewentualnych obowiązków zgłaszania i powiadamiania spoczywających na Zleceniodawcy zgodnie z art. 33 i art. 34 RODO.
Zleceniobiorca zobowiązuje się do udzielania Zleceniodawcy, w razie potrzeby, odpowiedniego wsparcia w wypełnianiu jego obowiązków wynikających z art. 33 i 34 RODO (art. 28 ust. 3 zdanie 2 lit. f RODO).
Zleceniobiorca może dokonywać zgłoszeń zgodnie z art. 33 lub 34 RODO w imieniu Zleceniodawcy wyłącznie po otrzymaniu wcześniejszych instrukcji zgodnie z pkt 4 niniejszej umowy.
6. Korzystanie z usług innego podmiotu przetwarzającego (art. 28 ust. 3 zdanie 2 lit. d RODO)
Powierzenie przez Zleceniobiorcę podwykonawcom przetwarzania danych Zleceniodawcy jest dopuszczalne wyłącznie za zgodą Zleceniodawcy, zgodnie z art. 28 ust. 2 RODO; zgoda ta musi zostać udzielona za pośrednictwem jednego ze wskazanych powyżej sposobów komunikacji (pkt 4), z wyłączeniem zgody ustnej. Zgoda może zostać udzielona wyłącznie pod warunkiem, że Zleceniobiorca poda Zleceniodawcy nazwę i adres podwykonawcy oraz zakres przewidzianych do powierzenia czynności.
Ponadto Zleceniobiorca jest zobowiązany zapewnić staranny dobór podwykonawcy, ze szczególnym uwzględnieniem adekwatności stosowanych przez niego środków technicznych i organizacyjnych w rozumieniu art. 32 RODO. Odpowiednia dokumentacja z przeprowadzonej weryfikacji musi zostać udostępniona Zleceniodawcy na jego żądanie.
Powierzenie przetwarzania podwykonawcom w państwach trzecich jest dopuszczalne wyłącznie w przypadku spełnienia szczególnych przesłanek określonych w art. 44 i nast. RODO (np. decyzja Komisji stwierdzająca odpowiedni stopień ochrony, standardowe klauzule ochrony danych, zatwierdzone kodeksy postępowania).
Zleceniobiorca jest zobowiązany zapewnić w drodze umowy, aby uzgodnione pomiędzy Zleceniodawcą a Zleceniobiorcą postanowienia obowiązywały również wobec podwykonawców.
W umowie z podwykonawcą należy określić te postanowienia w sposób na tyle konkretny, aby zakresy odpowiedzialności Zleceniobiorcy i podwykonawcy były jednoznacznie od siebie odgraniczone.
W przypadku zatrudnienia kilku podwykonawców zasada ta ma również zastosowanie do podziału obowiązków między tymi podwykonawcami. W szczególności Zleceniodawca musi być uprawniony do przeprowadzania, w razie potrzeby, odpowiednich kontroli i inspekcji, także na miejscu u podwykonawców, osobiście albo za pośrednictwem upoważnionych przez siebie osób trzecich.
Umowa z podwykonawcą musi zostać sporządzona na piśmie, co może nastąpić również w formie elektronicznej (art. 28 ust. 4 i ust. 9 RODO).
Przekazanie danych podwykonawcy jest dopuszczalne dopiero wtedy, gdy podwykonawca wypełnił obowiązki wynikające z art. 29 i art. 32 ust. 4 RODO w odniesieniu do swoich pracowników.
Wobec Zleceniodawcy Zleceniobiorca ponosi odpowiedzialność za to, że podwykonawca wykonuje obowiązki w zakresie ochrony danych, które zostały na niego nałożone przez Zleceniobiorcę w drodze umowy zgodnie z postanowieniami niniejszego działu umowy.
Zleceniodawca wyraża zgodę na powierzenie zadań podwykonawcom wymienionym pod tym LINKIEM, pod warunkiem zawarcia umowy zgodnie z art. 28 ust. 2-4 RODO.
Podmiot przetwarzający każdorazowo informuje administratora o każdym planowanym wprowadzeniu nowego podwykonawcy lub zastąpieniu dotychczasowego podwykonawcy, tak aby Zleceniodawca miał możliwość wniesienia sprzeciwu wobec takich zmian (art. 28 ust. 2 zd. 2 RODO).
Zleceniobiorca ma ogólne uprawnienia do zatrudniania podwykonawców, jest jednak zobowiązany do uprzedniego zgłaszania zlecenia podwykonawstwa Zleceniodawcy. Zleceniodawca ma prawo sprzeciwić się temu zobowiązaniu oraz, zgodnie z przepisami prawa, prawo do wniesienia sprzeciwu wobec tej zmiany (art. 28 ust. 2 RODO). Jeżeli po przedstawieniu przyczyn sprzeciwu wobec danego podwykonawcy strony nie dojdą do porozumienia, powierzenie przetwarzania podwykonawcy, wobec którego wniesiono sprzeciw, nie jest dopuszczalne.
7. Środki techniczne i organizacyjne zgodnie z art. 32 RODO (art. 28 ust. 3 zdanie 2 lit. c RODO)
W odniesieniu do konkretnego powierzenia przetwarzania zapewnia się poziom bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób fizycznych, których dane dotyczą. W tym celu uwzględnia się cele ochrony określone w art. 32 ust. 1 RODO, takie jak poufność, integralność i dostępność systemów i usług, a także ich odporność, z uwzględnieniem charakteru, zakresu, okoliczności i celów przetwarzania, tak aby dzięki odpowiednim technicznym i organizacyjnym środkom zaradczym ryzyko było trwale ograniczane.
Środki techniczno-organizacyjne można znaleźć pod poniższym linkiem: https://legal.vogel.de/en/legal-cockpit-2/vcg-vogel-communications-group/clt/tom-eng/.
W razie zaistnienia ku temu podstaw Zleceniobiorca jest zobowiązany do przeprowadzenia przeglądu, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych służących zapewnieniu bezpieczeństwa przetwarzania (art. 32 ust. 1 lit. d RODO). Wynik wraz z raportem z audytu należy przekazać Zleceniodawcy.
Decyzje mające istotne znaczenie dla bezpieczeństwa, dotyczące organizacji przetwarzania danych oraz stosowanych procedur, muszą być uzgodnione między Zleceniobiorcą i Zleceniodawcą. Jeżeli środki wdrożone przez Zleceniobiorcę nie spełniają wymagań Zleceniodawcy, Zleceniobiorca niezwłocznie informuje o tym Zleceniodawcę.
Środki zastosowane przez Zleceniobiorcę mogą być dostosowywane w trakcie trwania umowy do zmian technicznych i organizacyjnych, nie mogą jednak odbiegać od uzgodnionych standardów.
Zleceniobiorca jest zobowiązany do uzgodnienia istotnych zmian z ze Zleceniodawcą w formie udokumentowanej (pisemnej lub elektronicznej).
Takie uzgodnienia należy przechowywać przez cały okres obowiązywania niniejszej umowy.
8. Obowiązki Zleceniodawcy po zakończeniu zlecenia, art. 28 ust. 3 zd. 2 lit. g RODO
Po zakończeniu prac objętych umową Zleceniobiorca ma obowiązek przekazać Zleceniodawcy wszystkie dane, dokumenty oraz wyniki przetwarzania lub użytkowania, które znalazły się w jego posiadaniu lub w posiadaniu podwykonawców i które są związane z przedmiotem zlecenia, albo też usunąć je lub zniszczyć zgodnie z przepisami o ochronie danych.
Usunięcie lub zniszczenie danych należy potwierdzić Zleceniodawcy na piśmie z podaniem daty lub w udokumentowanej formie elektronicznej.
9. Wynagrodzenie
Zastosowanie mają postanowienia umowy o świadczenie usług. Dodatkowe nakłady związane ze wsparciem Zleceniodawcy w wypełnianiu jego obowiązków wynikających z przepisów o ochronie danych lub innych obowiązków będą odpowiednio wynagradzane według stawek godzinowych określonych w umowie głównej.
10. Odpowiedzialność
Odsyła się do art. 82 RODO.
11. Postanowienia końcowe
Uzgodnienia dotyczące środków technicznych i organizacyjnych, jak również dokumentacja kontrolna i audytowa (także dotycząca podwykonawców), podlegają przechowywaniu przez obie strony umowy przez okres ich obowiązywania, a następnie jeszcze przez trzy pełne lata kalendarzowe.
Jeżeli własność Zleceniodawcy lub powierzone do przetwarzania dane osobowe Zleceniodawcy znajdujące się u Zleceniobiorcy będą zagrożone wskutek działań osób trzecich (na przykład w wyniku zajęcia egzekucyjnego lub zabezpieczenia), wskutek postępowania upadłościowego lub układowego albo w następstwie innych zdarzeń, Zleceniobiorca jest zobowiązany niezwłocznie poinformować o tym Zleceniodawcę.
Wyłącza się prawo zatrzymania w rozumieniu § 273 niemieckiego kodeksu cywilnego (BGB) w odniesieniu do danych przetwarzanych na rzecz Zleceniodawcy oraz związanych z nimi nośników danych.
Jeżeli poszczególne postanowienia niniejszej umowy okażą się nieważne, nie ma to wpływu na ważność pozostałych postanowień umowy.