Umowa powierzenia przetwarzania danych osobowych
Załącznik Nr 25 do Umowy Nr…………………. z dnia………………………..
(nr pierwotnej umowy cywilnoprawnej)
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu w Warszawie
pomiędzy:
……………………. – Administratorem reprezentowanym przez
Pana/Panią
działającego na podstawie upoważnienia nr z dnia r.,
zwanym dalej „Powierzającym” a
…………………… (nazwa firmy) z siedzibą w ………………., przy ul ,
wpisaną do rejestru przedsiębiorców KRS pod numerem przez Sąd
…………, Wydział …………………, posiadającą NIP , REGON
…………..…reprezentowanym/ą przez Pana/Panią ……………….…………………
(imię i nazwisko, xxxxxxx) ,
działającego na podstawie pełnomocnictwa z dnia zwanym dalej
„Przyjmującym”.
zwana dalej „Umową powierzenia”
§ 1
Powierzenie przetwarzania danych
1. W związku z zawarciem w dniu ……………………………. Umowy ………………….
(numer i nazwa pierwotnej umowy cywilnoprawnej), zwanej dalej „Umową” pomiędzy Skarbem Państwa – Ministrem Finansów z siedzibą w Warszawie xx. Xxxxxxxxxxxxx 00, 00-000 Xxxxxxxx, reprezentowanym przez Pana/Panią
………………………………………………... (imię i nazwisko, funkcja) a
…………….. ………………... (nazwa firmy, adres), wpisaną do rejestru przedsiębiorców KRS pod numerem ………. przez Sąd………… Wydział ……………, posiadającą NIP:
……..….., REGON: ……...…, reprezentowaną przez Pana/Panią
…………………….…… (imię i nazwisko, xxxxxxx)
Powierzający, stosownie do art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwanego dalej
„Rozporządzeniem”, powierza Przyjmującemu na podstawie niniejszej Umowy powierzenia przetwarzanie danych osobowych niezbędnych do realizacji Umowy
..……………….…… (numer pierwotnej umowy cywilnoprawnej).
2. Powierzający jest administratorem danych będących przedmiotem powierzenia.
3. Powierzenie przetwarzania danych osobowych obejmuje następujące kategorie danych osobowych:
………………….....................................................................................................................
4. W celu wykonania Umowy, o której mowa w ust. 1 Umowy powierzenia, Powierzający
powierza Przyjmującemu przetwarzanie danych osobowych w zakresie ………………….
…………………………………. (np. umożliwienia świadczenia usług utrzymania, rozwoju oraz asysty technicznej systemu).
5. Powierzenie przetwarzania danych obejmuje następujące czynności realizowane wobec przetwarzanych danych osobowych:………………………………………….……………
(np.: zbieranie danych, ich utrwalanie, przetwarzanie w celu realizacji pierwotnej umowy cywilnoprawnej, przechowywanie, usuwanie, itp.).
6. Przyjmujący przyjmuje do przetwarzania dane osobowe, o których mowa w ust. 3 oraz zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie ……….…………… (numer pierwotnej umowy cywilnoprawnej).
7. Powierzający jest Administratorem w rozumieniu Rozporządzenia.
8. Przyjmujący oświadcza, że przetwarzanie powierzonych mu danych osobowych będzie odbywało się wyłącznie na terenie ……………………………..
9. Przyjmujący przyjmuje do wiadomości, iż w zakresie przestrzegania przepisów Rozporządzenia ponosi odpowiedzialność jak Administrator za swoje działania oraz działania osób, którym przekazał dalsze przetwarzanie danych osobowych.
10. Przyjmujący oświadcza, że zgodnie z art. 28 ust. 1 Rozporządzenia zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i
organizacyjnych,
by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą.
11. Poprzez zawarcie Umowy powierzenia Powierzający poleca przetwarzanie danych osobowych przyjmującemu, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit a w związku z art. 29 Rozporządzenia.
§ 2.
Zasady przetwarzania danych osobowych
1. Obowiązki Przyjmującego
1) Przyjmujący zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2) Przyjmujący jest zobowiązany do stosowania środków bezpieczeństwa spełniających wymogi Rozporządzenia.
3) Przyjmujący jest zobowiązany do dokonania wszelkich czynności wynikających z Umowy powierzenia, Rozporządzenia oraz innych obowiązujących przepisów prawa z należytą starannością.
4) Przyjmujący jest zobowiązany do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych
i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, zgodnie z art. 32 Rozporządzenia.
5) Przyjmujący jest zobowiązany do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone mu dane osobowe w celu i w zakresie określonym w Umowie powierzenia.
6) Przyjmujący jest zobowiązany do zobowiązania osób upoważnionych do przetwarzania danych osobowych w celu i zakresie określonym w niniejszej Umowie powierzenia do zachowania w tajemnicy (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia, zarówno w trakcie realizacji Umowy, jak i po zakończeniu realizacji Umowy, poprzez odebranie od tych osób indywidualnych stosownych oświadczeń.
7) Przyjmujący jest zobowiązany do prowadzenia w formie pisemnej lub w formie elektronicznej rejestru wszystkich kategorii czynności przetwarzania
dokonywanych w imieniu Xxxxxxxxxxxxxx, zawierającego informacje, o których mowa w art. 30 ust. 2 Rozporządzenia.
8) Przyjmujący zobowiązuje się wyznaczyć inspektora ochrony danych w przypadku, gdy będzie do tego zobowiązany na podstawie art. 37 Rozporządzenia.
9) Przyjmujący, po wygaśnięciu, rozwiązaniu, wypowiedzeniu Umowy, Umowy powierzenia zobowiązuje się niezwłocznie, nie później niż w terminie 3 dni od dnia wystąpienia w/w okoliczności trwale zniszczyć wszelkie powierzone mu dane osobowe, w tym również skutecznie usunąć te dane z własnych systemów informatycznych oraz z nośników elektronicznych, a także trwale zniszczyć wszelkie ich istniejące kopie pozostające w jego dyspozycji. Wykonanie obowiązku, o którym mowa w zdaniu 1 zostanie potwierdzone przez Przyjmującego przekazanym Powierzającemu protokołem.
10) Przyjmujący jest zobowiązany do niezwłocznego, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, zgłaszania Powierzającemu na adres e –mail…………………………………….. każdego przypadku naruszenia ochrony powierzonych mu do przetwarzania danych osobowych. Zgłoszenie powinno zawierać informacje, o których mowa w art. 33 ust. 3 Rozporządzenia.
11) Przyjmujący nie może dalej powierzyć przetwarzania powierzonych mu danych osobowych, o których mowa w § 1 niniejszej Umowy powierzenia innym podmiotom bez uprzedniej pisemnej zgody Powierzającego.
12) Powierzając przetwarzanie danych osobowych innym podmiotom, Przyjmujący jest obowiązany zapewnić w dalszej umowie powierzenia spełnianie przez inny podmiot wymogów w zakresie ochrony danych osobowych na poziomie, co najmniej takim samym, jak przewidziany w niniejszej Umowie powierzenia.
13) Przyjmujący nie jest uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych mu danych osobowych.
14) Przyjmujący udostępnia Powierzającemu na każde jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie powierzenia.
15) Przyjmujący w miarę możliwości pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw (zgodnie z art. 28 ust. 3 pkt e Rozporządzenia) oraz z obowiązków określonych w art. 32-36 Rozporządzenia (zgodnie z art. 28 ust. 3 pkt f Rozporządzenia).
2. Prawa Powierzającego
1) Powierzający może uzależnić udzielenie zgody na dalsze powierzenie przetwarzania danych osobowych, o których mowa w § 1 niniejszej Umowy powierzenia, od spełnienia innych warunków związanych z przetwarzaniem lub ochroną powierzanych danych osobowych
2) Powierzający ma prawo przeprowadzenia kontroli przetwarzania powierzonych Przyjmującemu danych osobowych, przestrzegania przez Przyjmującego wszelkich obowiązków związanych z przetwarzaniem powierzonych mu danych osobowych,
w szczególności kontroli dokumentów, urządzeń, pomieszczeń i systemów informatycznych związanych z przetwarzaniem danych osobowych, ich bezpieczeństwa, sposobu postępowania z dokumentami lub nośnikami zawierającymi dane osobowe.
3) W celu wykonania kontroli Powierzający ma prawo, w szczególności do:
a) wstępu do pomieszczeń, w których Przyjmujący przetwarza powierzone mu dane osobowe,
b) żądania złożenia przez Przyjmującego pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego w wyznaczonym przez Powierzającego terminie,
c) przeprowadzenia oględzin dokumentów a także urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych osobowych.
4) O zamiarze przeprowadzenia kontroli Powierzający powiadomi Przyjmującego z wyprzedzeniem co najmniej 7 dni kalendarzowych ze wskazaniem osób upoważnionych do przeprowadzenia czynności kontrolnych w imieniu Powierzającego.
5) W przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu przez Przyjmującego zobowiązań wynikających z Umowy powierzenia, Rozporządzenia oraz innych przepisów prawa powszechnie obowiązującego, Powierzający może przeprowadzić kontrolę, o której mowa w ust. 1, w każdym czasie bez uprzedniego powiadomienia Przyjmującego.
6) Z czynności kontrolnych sporządza się protokół, którego jeden egzemplarz doręcza się Przyjmującemu.
7) W przypadku stwierdzenia przez Powierzającego uchybień w zakresie, o którym mowa w ust. 1, Powierzającemu przysługuje prawo do:
a) żądania natychmiastowego wstrzymania przetwarzania danych osobowych i wyznaczenia Przyjmującemu terminu na usunięcie uchybień,
b) wypowiedzenia Umowy powierzenia w trybie natychmiastowym.
8) Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Przyjmującego, serwery i nośniki te nie mogą znajdować się poza obszarem Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
§ 3.
Współdziałanie Stron
1. Strony ustalają, że podczas realizacji niniejszej Umowy powierzenia będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie powierzenia, w szczególności, Przyjmujący będzie informował Powierzającego o wszelkich przypadkach naruszenia zasad przetwarzania i ochrony danych osobowych lub o ich niewłaściwym użyciu oraz o wszelkich czynnościach w sprawach dotyczących ochrony danych osobowych podejmowanych w związku
z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej
„PUODO” oraz przed innymi organami i urzędami, w szczególności: policją, sądem, Najwyższą Izbą Kontroli, itp.
2. Przyjmujący jest obowiązany niezwłocznie informować Powierzającego o wszelkich zdarzeniach dotyczących bezpieczeństwa przetwarzania powierzonych danych osobowych, w szczególności w przypadkach: wystąpienia lub podejrzenia wystąpienia incydentu bezpieczeństwa lub podjęcia próby dokonania czynności w celu wywołania incydentu bezpieczeństwa.
3. Przyjmujący informuje Powierzającego o naruszeniach poprzez wysłanie wiadomości elektronicznej na wskazany przez Powierzającego w § 2 ust. 10 adres poczty elektronicznej. Informację o naruszeniu oraz o sposobie zapobiegnięcia naruszeniu lub ograniczeniu skutków tego naruszenia Przyjmujący przekazuje Powierzającemu niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia informacji o naruszeniu.
4. Ponadto, Przyjmujący przekazuje Powierzającemu cyklicznie ………………………….
(np. raz w miesiącu) zestawienie ww. zdarzeń wraz z informacją o skutkach zdarzenia oraz sposobie przeciwdziałania naruszeniom albo też skutkom naruszeń/incydentów
……….
………………………… (należy określić terminy poinformowania).
5. Powierzający ma prawo do kontroli sposobu wykonywania niniejszej Umowy powierzenia przez Przyjmującego poprzez przeprowadzenie zapowiedzianych lub niezapowiedzianych, doraźnych kontroli sposobu przetwarzania i ochrony danych osobowych przeprowadzanych przez Powierzającego w siedzibie Przyjmującego oraz we wszelkich innych miejscach stanowiących obszar przetwarzania powierzonych danych osobowych, jak również prawo żądania złożenia pisemnych wyjaśnień przez Przyjmującego.
6. Na zakończenie kontroli, o której mowa w ust. 5, przedstawiciel Powierzającego sporządza protokół, który podpisują i otrzymują przedstawiciele obu stron. Przedstawiciel Przyjmującego może wnieść jednostronnie zastrzeżenia do protokołu.
7. Po kontroli, o której mowa w ust. 5, Powierzający może zredagować i żądać wykonania zaleceń pokontrolnych przez Przyjmującego, o ile są one zgodne z Umową powierzenia i Rozporządzeniem oraz określić termin ich realizacji.
§ 4.
Czas obowiązywania Umowy powierzenia
1. Niniejsza Umowa powierzenia zostaje zawarta na czas realizacji przez Przyjmującego
Umowy (nr pierwotnej umowy cywilnoprawnej).
2. Po zakończeniu obowiązywania niniejszej Umowy powierzenia Przyjmujący jest obowiązany:
a) trwale usunąć dane osobowe będące przedmiotem niniejszej Umowy powierzenia oraz w terminie 7 dni roboczych od zakończenia przetwarzania danych osobowych przekazać Powierzającemu protokół trwałego usunięcia powierzonych danych osobowych;
b) do niezwłocznego przekazania Powierzającemu pisemnego oświadczenia, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone.
§ 5.
Warunki wypowiedzenia powierzenia przetwarzania danych osobowych
1. Umowa powierzenia może zostać wypowiedziana przez Powierzającego ze skutkiem natychmiastowym bez zachowania terminu wypowiedzenia w przypadku, gdy Umowa
………………... (nr pierwotnej umowy cywilnoprawnej), o której mowa w § 1 ust. 1 niniejszej Umowy powierzenia zostanie rozwiązana przez którąkolwiek ze Stron z przyczyn i w terminie określonym w Umowie ……….…….. (nr pierwotnej umowy cywilnoprawnej)
2. Umowa powierzenia może zostać wypowiedziana za 7 dniowym okresem wypowiedzenia w przypadku, gdy:
a) kontrola PUODO wykaże, że Przyjmujący nie podjął środków zabezpieczających, o których mowa w Rozporządzeniu;
b) Przyjmujący dopuszcza się zwłoki w dotrzymaniu terminu, określonego w zaleceniach pokontrolnych, o których mowa w § 3 ust. 7 niniejszej Umowy powierzenia;
c) Przyjmujący wykorzystał dane w celu i w zakresie niezgodnym z niniejszą Umową powierzenia;
d) Przyjmujący dalej powierzył przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody Powierzającego;
e) zostanie wszczęte postępowanie sądowe przeciw Powierzającemu bądź Przyjmującemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
3. Powierzający przetwarzanie danych może rozwiązać Umowę powierzenia z
Przyjmującym
ze skutkiem natychmiastowym z winy Przyjmującego w przypadku gdy:
a) Przyjmujący wykorzystał powierzone mu dane osobowe w sposób niezgodny z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego,
b) Przyjmujący dopuszcza się zwłoki w dotrzymaniu terminu, o którym mowa w § 3 ust. 3 umowy.
c) Zostanie wszczęte postępowanie sądowe przeciw Przyjmującemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
4. W przypadkach, o których mowa w ust. 2, Przyjmujący zobowiązany jest niezwłocznie, najpóźniej trzeciego dnia roboczego po otrzymaniu wypowiedzenia, zrealizować zobowiązania, o których mowa w § 4 ust. 2.
§ 6.
Naruszenie ochrony danych osobowych
1. Przyjmujący jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą Umową powierzenia, a w szczególności za bezpodstawne udostepnienie lub przekazywanie danych osobowych nieuprawnionym podmiotom lub osobom.
2. Przyjmujący zobowiązuje się do niezwłocznego poinformowania Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przyjmującego danych osobowych określonych w Umowie powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przyjmującego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przyjmującego tych danych osobowych.
3. Jeżeli w związku z niniejszym powierzeniem przetwarzania danych osobowych Powierzający będący Administratorem zostanie prawomocnym orzeczeniem zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany grzywną, Przyjmujący zobowiązuje się zrekompensować Powierzającemu udokumentowane straty z tego tytułu do wysokości poniesionego odszkodowania, zadośćuczynienia lub grzywny.
4. Zobowiązanie Przyjmującego, o którym mowa w ust. 3 niniejszego §, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia z roszczeniem wobec Powierzającego i jego podstawach prawnych i faktycznych, w celu umożliwienia Przyjmującemu zajęcia stanowiska, odniesienia się do podstaw takiej odpowiedzialności
i ewentualnego wystąpienia do sprawy na etapie sądowym.
5. Przyjmujący ponosi odpowiedzialność odszkodowawczą względem Powierzającego
w zakresie strat rzeczywiście poniesionych przez Powierzającego.
§ 7.
Zasady zachowania poufności
1. Przyjmujący zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Powierzającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Przyjmujący oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych o których mowa w ust. 1 niniejszego § nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Powierzającego w innym celu niż określony w § 1 Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych gwarantowały zabezpieczenie danych w tym w szczegó1ności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 8.
Postanowienia końcowe
1. W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie będą miały przepisy Rozporządzenia oraz inne przepisy prawa powszechnie obowiązującego w szczególności przepisy ustawy Kodeksu cywilnego.
2. Przyjmujący odpowiada za wszelkie szkody wyrządzone Powierzającemu lub osobom trzecim wynikające z niezgodnego z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego przetwarzania powierzonych mu danych osobowych, w szczególności za udostępnienie danych osobom nieupoważnionym.
3. Po rozwiązaniu niniejszej Umowy powierzenia Przyjmujący niezwłocznie, ale nie później niż w terminie do 7 dni, zobowiązuje się trwale usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie, tj. w sposób uniemożliwiający ich odtworzenie usunąć je również z nośników elektronicznych pozostających w dyspozycji Przyjmującego.
4. Zmiany Umowy powierzenia wymagają zachowania formy pisemnej, w postaci Xxxxxx, pod rygorem nieważności.
5. Wszelkie spory związane z wykonaniem niniejszej Umowy powierzenia oraz wynikające z przetwarzania w oparciu o Umowę rozstrzygane będą przez sąd właściwy dla siedziby Powierzającego.
6. Niniejsza Umowa powierzenia wchodzi w życie z dniem jej podpisania.
7. Umowę powierzenia sporządzono w trzech jednobrzmiących egzemplarzach, w tym jeden dla Przyjmującego, dwa dla Powierzającego.
Powierzający Przyjmujący
………………….…………….
………………………………….
IOD
(Inspektor Ochrony Danych)
……………………….………….…