Днес,…………, в гр. Каспичан, на основание чл. 28, параграф 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното...

Приложение № 9

СПОРАЗУМЕНИЕ

към Договор № …../………..

Днес,…………, в гр. Каспичан, на основание чл. 28, параграф 3 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) между:

1.ОБЩИНА КАСПИЧАН, ЕИК: 000931511, седалище и адрес на управление: гр. Каспичан, xx. „Мадарски конник“ № 91, представлявана Xxxxxx Xxxxxxxx Xxxxxx – кмет и Xxxxxx Xxxxxxxx Xxxxxxxxx – Директор на Дирекция „ОА“, наричана по-нататък АДМИНИСТРАТОР, от една страна, и

2.………………………………………., с XXX ,

със седалище и адрес на управление ,

представлявано от ……………………………………………………………………………….

наричано ОБРАБОТВАЩ ЛИЧНИ ДАННИ, oт друга,

Страни по Договор №……../……….

……за ,

се споразумяват за следното:

I. ПРЕДМЕТ

Чл. 1. ОБРАБОТВАЩИЯТ ще обработва Лични данни, предоставени от АДМИНИСТРАТОРА съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни („Регламентът“), както и на действащото българско законодателство.

II. СРОК

Чл. 2. Настоящото споразумение влиза в сила от деня на подписването му и е със срок на действие до………………… /поставя се датата на изтичане на основния договор/.

III. ЦЕЛИ НА ОБРАБОТВАНЕТО

Чл. 3. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ се задължава да обработва лични данни от името на АДМИНИСТРАТОРА в съответствие с целта и условията, определени в настоящото споразумение за обработване на данни, законосъобразно и добросъвестно.

Чл. 4. (1) Целта на обработването на данни е то да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на АДМИНИСТРАТОРА. Това обработване на Лични данни освен, че трябва да е съобразено с обществения интерес, трябва и да е пропорционално на преследваната легитимна цел.

(2) ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ се съгласява да не използва личните данни за каквато и да е друга цел, различна от посочената от АДМИНИСТРАТОРА.

(3) АДМИНИСТРАТОРЪТ НА ЛИЧНИ ДАННИ се задължава да информира ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ преди всяко обработване за цели, които не са предвидени в това Споразумение за обработка на данни.

Чл. 5. (1) ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ обработва личните данни само по документирано нареждане на АДМИНИСТРАТОРА, включително що се отнася до предаването на Лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на ЕС или правото на държава членка, което се прилага спрямо ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ, като в този случай ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ информира АДМИНИСТРАТОРА за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес.

(2) Когато обработването за други цели, различни от тези, за които първоначално са били събрани Личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране целите по член 23, параграф 1 от Регламента, АДМИНИСТРАТОРЪТ, за да се увери дали обработването за други цели е съвместно с първоначалната цел, за която са били събрани личните данни, взема под внимание следното:

a) всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б) контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в) естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г) възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д) наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

IV. ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ

Чл. 6. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ се задължава да обработва Личните данни, предоставени от АДМИНИСТРАТОРА, само във връзка с изпълнение на възложените му дейности, за целите, произтичащи от тези дейности и в рамките на срока на Договора.

Чл. 7. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ незабавно уведомява АДМИНИСТРАТОРА, ако според него дадено нареждане нарушава Регламент (ЕС) 2016/679 или други разпоредби на Съюза или на държавите членки относно защитата на данни.

Чл. 8. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ е длъжен да поддържа всички регистри за защита на личните данни, включително относно обработваните Лични данни на АДМИНИСТРАТОРА, и да ги предостави на АДМИНИСТРАТОРА при поискване в 7- дневен срок.

Чл. 9. ОБРАБОТВАЩИЯТ ДАННИ няма право да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на АДМИНИСТРАТОРА. В случай на общо писмено разрешение, ОБРАБОТВАЩИЯТ ДАННИ винаги информира АДМИНИСТРАТОРА за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на АДМИНИСТРАТОРА да оспори тези промени.

Чл. 10. В случай на дадено разрешение от АДМИНИСТРАТОРА за включване на друг обработващ данни, ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ се задължава да гарантира, че лицата, оправомощени да обработват лични данни, са поели ангажимент за поверителност.

Чл. 11. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ няма право да разкрива или предоставя Лични данни на трети лица освен при наличие на законово задължение за това.

Чл. 12. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ гарантира, че ще въведе подходящи технически и организационни мерки, които осигуряват адекватно ниво на защита на Личните данни от случайно или незаконно унищожаване, случайна загуба (включително изтриване), изменение (включително повреждане), неразрешено разкриване, използване или достъп, както и срещу всички други форми на незаконосъобразно обработване.

Чл. 13. ОБРАБОТВАЩИЯТ се задължава да подпомага АДМИНИСТРАТОРА във въвеждането на подходящи технически и организационни мерки, за изпълнение на задълженията на АДМИНИСТРАТОРА да отговаря на искания на субектите на данните, които имат желание да упражнят правата си.

Чл. 14. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ е длъжен да предостави на АДМИНИСТРАТОРА разумно съдействие при изготвянето на оценка на въздействие върху защитата на данните и предварителни консултации с компетентните надзорни органи по защита на личните данни, доколкото АДМИНИСТРАТОРЪТ счита за необходимо съгласно член 35 и член 36 от Регламента.

Чл. 15. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ няма право да трансферира Лични данни на АДМИНИСТРАТОРА към трети държави без изричното писмено съгласие на АДМИНИСТРАТОРА.

Чл. 16. (1) ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ е длъжен да уведоми АДМИНИСТРАТОРА за всяко нарушение на сигурността на Личните данни на АДМИНИСТРАТОРА без излишно забавяне или във всеки случай не по-късно от 24 часа, след установяване нарушението, след което АДМИНИСТРАТОРЪТ информира субектите на данни и Надзорния орган –Комисия за защита на личните данни.

(2) ОБРАБОТВАЩИЯТ трябва да предостави на АДМИНИСТРАТОРА достатъчно информация и документация за случая и да предприеме необходимите стъпки, с цел намаляване на неблагоприятните последици, поправяне на нарушението на сигурността и избягване на бъдещи нарушения.

Чл. 17. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ няма право да уведомява трети лица за установено нарушение на защита на данните, без първо да е получил писмено одобрение от страна на АДМИНИСТРАТОРА, освен когато уведомяването им не е задължително по закон.

Чл. 18. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ е отговорен и се задължава да обезщети АДМИНИСТРАТОРА за всякакви разходи, отговорност и искове от какъвто и да е бил характер, претърпени от АДМИНИСТРАТОРА и произтичащи от или във връзка с всяко нарушение, действие по непредпазливост, грешка или бездействие на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ, свързано с или произтичащо от изискванията за защита на Личните данни и сигурността съгласно настоящото споразумение.

Чл. 19. Всички разходи, свързани с изпълнение на задълженията при нарушение сигурността на данните, са за сметка на ОБРАБОТВАЩИЯ ДАННИ.

Чл. 20. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ по избор на АДМИНИСТРАТОРА заличава или връща на АДМИНИСТРАТОРА всички лични данни след приключване на услугите по

обработване и заличава съществуващите копия, освен ако по закон не се изисква тяхното съхранение.

V. ПРАВА И ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ

Чл. 21. АДМИНИСТРАТОРЪТ НА ЛИЧНИ ДАННИ има право на достъп до цялата необходима информация, за да се установи спазването на задълженията на ОБРАБОТВАЩИЯ.

Чл. 22. ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ е длъжен да позволи и подпомага извършването на проверки/одити от АДМИНИСТРАТОРА или от избран от него одитор във връзка с обработването на Лични данни.

Чл. 23. АДМИНИСТРАТОРЪТ се задължава да предостави на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ предизвестие за извършването на одита или проверката в разумен срок преди провеждането им. АДМИНИСТРАТОРЪТ и избраните от него одитори са длъжни да положат разумни усилия за избягването (или, ако е невъзможно напълно избягване – за намаляването) на вредите, прекъсванията или смущенията в помещенията, оборудването, персонала и бизнеса на ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ, за времето, в което персоналът е в помещенията, докато се провежда одит или проверка.

Чл. 24. Одитите и проверките да се провеждат в работно време веднъж на календарна година за всеки ОБРАБОТВАЩ ЛИЧНИ ДАННИ. Допълнителни одити и проверки могат да бъдат провеждани, ако АДМИНИСТРАТОРЪТ има основателни съмнения, че ОБРАБОТВАЩИЯТ ЛИЧНИ ДАННИ не действа в съответствие с настоящото споразумение или ако АДМИНИСТРАТОРЪТ е длъжен да проведе одит или проверка по силата на закона за защита на личните данни или по нареждане на компетентен надзорен орган за защита на личните данни.

Чл. 25. АДМИНИСТРАТОРЪТ гарантира, че личните данни, които предоставя за обработване са получени и обработвани от него в съответствие с Xxxxxxxxxx и приложимото законодателство и че има право да ги предостави на ОБРАБОТВАЩИЯ при изпълнение на посочените по-горе условия.

VI. ДРУГИ УСЛОВИЯ

Чл. 26. За неуредените в настоящото споразумение въпроси се прилагат разпоредбите на Регламента и ЗЗЛД.

Настоящото споразумение се състави и подписа в три еднообразни екземпляра - един за ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ и два за АДМИНИСТРАТОРА.

ЗА АДМИНИСТРАТОРА: ЗА ОБРАБОТВАЩИЯ: XXXXXX XXXXXX

Кмет на Община Каспичан

XXXXXX XXXXXXXXX

Директор на Дирекция „ОА“