Załącznik nr 6 do Wniosku
Załącznik nr 6 do Wniosku
Umowa powierzenia danych osobowych do przetwarzania - wzór
Zawarta w dniu [ ] 2019 r. w [ ] (dalej, jako: „Umowa”) pomiędzy:
[ ] z siedzibą w [ ] (__- ) Przedsiębiorców prowadzonego przez Sąd Rejonowy [
przy ul. [
], wpisanymi do Rejestru
], [_] Wydział Gospodarczy Krajowego
Rejestru Sądowego pod numerem KRS [ ] posiadającymi NIP [ ], numer REGON [ ], adres e-mail: [ ], reprezentowanymi zgodnie ze sposobem reprezentacji ujawnionym w KRS przez:
[imię i nazwisko] – [pełniona funkcja], oraz
[imię i nazwisko] – [pełniona funkcja]
zwanymi dalej “Administrator” lub “Strona”
a
[ ] z siedzibą w [ ] ( - ) przy ul. [ ], wpisana do Rejestru
Przedsiębiorców prowadzonego przez Sąd Rejonowy [ ], Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS [ ] posiadająca NIP [ ], numer REGON [ ], adres e-mail: [ ], reprezentowaną zgodnie ze sposobem reprezentacji ujawnionym w KRS przez:
[imię i nazwisko] – [pełniona funkcja], oraz
[imię i nazwisko] – [pełniona funkcja]
zwaną dalej “Podmiot przetwarzający” lub “Strona”
zwanymi w dalszej części Umowy łącznie „Stronami”.
Xxxxxx postanowiły, co następuje:
Artykuł 1 Zasady ogólne
1.1. [Stosowanie przepisów] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej, jako: „RODO” jest stosowane od 25 maja 2018
r. W związku z powyższym, Podmiot przetwarzający jest zobowiązany przestrzegać RODO od dnia rozpoczęcia jego stosowania.
1.2. [Administrator i Podmiot przetwarzający] Strony zgadzają się, co do tego, że Administrator jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO, powierzonych do przetwarzania Podmiotowi przetwarzającemu wskazanemu powyżej. Administrator jest jedynym podmiotem uprawnionym do decydowania o celach i środkach przetwarzania danych osobowych. Podmiot przetwarzający jest podmiotem, o którym mowa w art. 28 RODO.
1.3. [Zgodność z prawem] Podmiot przetwarzający przetwarza dane osobowe w zakresie i w sposób zgodny z Umową oraz RODO. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na
udokumentowane polecenie Administratora. Strony przyjmują, że niniejsza Umowa stanowi udokumentowanie polecenie Administratora w rozumieniu zdania poprzedzającego.
1.4. [Profesjonalna staranność] Podmiot przetwarzający przetwarza dane zachowując najwyższy profesjonalny standard staranności w celu zagwarantowania prawnych, organizacyjnych i technicznych środków ochrony interesu Administratora związanego z przetwarzaniem.
1.5. [Nadzór] Podmiot przetwarzający udostępnia Administratorowi wszystkie informacje i dokumenty niezbędne do wykazania zgodności z obowiązkami nałożonymi przez Umowę, RODO, a także umożliwia i przyczynia się do przeprowadzenia audytów, w tym inspekcji przeprowadzanych przez Administratora lub innego audytora działającego z polecenia Administratora.
1.6. [Zakres danych osobowych] Zakres danych osobowych powierzonych do przetwarzania obejmuje dane osobowe [ ], a to:
a) …………………………………..
b) …………………………………..
c) …………………………………..
d) …………………………………..
1.7. [Cel przetwarzania] Dane osobowe powierzone Podmiotowi przetwarzającemu na podstawie niniejszej Umowy są przetwarzane dla celów:
a) …………………………..
b) …………………………..
c) …………………………..
d) …………………………..
e) …………………………..
1.8. [Terytorium] Dane osobowe powierzone Podmiotowi przetwarzającemu na mocy niniejszej Umowy mogą być przetwarzane na terytorium:
a) Europejskiego Obszaru Gospodarczego
1.9. [Terytorium państwa trzeciego] W przypadku, jeżeli dane osobowe przetwarzane są na terytorium państwa innego niż wymienione w punkcie 1.8. powyżej, Strony zawrą porozumienie zawierające standardowe klauzule umowne.
1.10. [Rozliczalność] Podmiot przetwarzający musi być w stanie wykazać przestrzeganie postanowień niniejszej Umowy oraz odpowiednio RODO. W tym celu, Podmiot przetwarzający wprowadza wewnętrzne polityki ochrony danych, przechowuje odpowiednią dokumentację dotyczącą przetwarzania danych oraz przeprowadza cykliczne wewnętrzne oraz zewnętrzne audyty przetwarzania danych.
1.11. [Sposób przekazania danych] Przekazanie powierzonych danych osobowych nastąpi poprzez nadanie dostępu do systemów teleinformatycznych Administratora, po spełnieniu warunków wynikających z wewnętrznych procedur dostępu do systemów teleinformatycznych. Po wygaśnięciu lub rozwiązaniu niniejszej Umowy, Administrator odbierze Podmiotowi Przetwarzającemu dostęp do systemów teleinformatycznych, w których przetwarzane były powierzone mu dane osobowe, zgodnie z zasadami określonymi w procedurach, o których mowa w zdaniu pierwszym. W przypadku przekazania Podmiotowi Przetwarzającemu powierzonych mu danych osobowych w tradycyjnej formie papierowej lub na nośnikach elektronicznych, sposób przekazania powierzonych Podmiotowi Przetwarzającemu danych powinien zagwarantować spełnienie wszystkich środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczności przetwarzanych danych zgodnie z przepisami obowiązującego prawa i zachowaniem reguł należytej staranności.
Artykuł 2
Integralność danych i środki bezpieczeństwa
2.1. [Integralność] Podmiot przetwarzający przetwarza dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym za pomocą odpowiednich środków technicznych i organizacyjnych zapewnia ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
2.2. [Odpowiednie środki bezpieczeństwa] Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiedni względem ryzyka.
2.3. [Współdziałanie] Uwzględniając charakter przetwarzania oraz dostępne mu informacje, Podmiot przetwarzający wspiera Administratora w wywiązywaniu się z obowiązków wynikających z art. 32- 36 RODO (w szczególności, w zakresie obowiązku przeprowadzenia oceny skutków dla ochrony danych, o której mowa w art. 35 RODO).
2.4. [Naruszenie ochrony danych osobowych] Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, bez zbędnej zwłoki informuje o nim Administratora (naruszenie ochrony danych osobowych). Poinformowanie, o którym mowa w zdaniu pierwszym nastąpi nie później niż w terminie 12 h od chwili stwierdzenia naruszenia na adres podany przez Administratora.
2.5. [Opis zgłoszenia naruszenia] Zgłoszenie opisane w ust. 2.4 powyżej powinno zawierać x.xx.
▪ datę i godzinę zdarzenia
▪ opis charakteru i okoliczności naruszenia danych osobowych,
▪ charakter i treść danych osobowych, których dotyczyło naruszenie,
▪ liczbę osób, których dotyczyło naruszenie,
▪ opis potencjalnych konsekwencji i niekorzystnych skutków naruszenia danych osobowych dla osób, których dane dotyczą,
▪ opis środków technicznych i organizacyjnych, które zostały lub mają być zastosowane w celu złagodzenia potencjalnych niekorzystnych skutków naruszenia danych osobowych,
▪ dane kontaktowe do osoby, od której można uzyskać więcej informacji na temat zgłoszonego naruszenia danych osobowych,
▪ inne informacje jakie zostaną ustalone przez Xxxxxx w toku wykonywania Umowy oraz za pośrednictwem poczty elektronicznej.
2.6. [Polecenia] Podmiot przetwarzający podejmuje działania w celu zapewnienia by każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba, że wymaga tego od niej przepis obowiązującego prawa.
Artykuł 3
Prawa osób, których dane dotyczą
3.1. [Prawa osób, których dane dotyczą] Biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający, poprzez odpowiednie środki techniczne i organizacyjne oraz w miarę możliwości, wspiera Administratora w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych x.xx. w rozdziale III RODO. Podmiot przetwarzający wspiera Administratora w szczególności w zapewnianiu, że dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, dla których dane te są przetwarzane.
3.2. [Obowiązki notyfikacyjne] W ramach obowiązku, o którym mowa w punkcie poprzedzającym:
▪ Podmiot przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora, jednak nie później niż w terminie 48 godzin od otrzymania zgłoszenia przez osobę, której dane dotyczą, o żądaniu w zakresie realizacji praw tej osoby;
▪ Podmiot przetwarzający udziela Administratorowi wszelkich informacji niezbędnych do zrealizowania żądania osoby, której dane dotyczą lub ujawnia powierzone dane osobowe (lub w stosownych przypadkach – ich kopie) w terminie 5 dni roboczych od daty zażądania informacji przez Administratora;
▪ Podmiot przetwarzający prowadzi rejestr żądań osób, których dane dotyczą, zamierzających skorzystać z przysługujących im uprawnień w zakresie przetwarzania danych osobowych w odniesieniu do żądań, które zostały skierowane bezpośrednio do Podmiotu przetwarzającego.
Rejestr ten udostępnia Administratorowi na jego żądanie, w terminie 48 godzin od jego zgłoszenia;
▪ Podmiot przetwarzający nie udziela osobom, których dane dotyczą, odpowiedzi na złożone przez nie wnioski, z wyjątkiem przypadków, gdy otrzyma w tym zakresie wyraźne polecenie Administratora.
Artykuł 4 Podprocesor
4.1. [Podprocesor] Podmiot przetwarzający może skorzystać z usług innego podmiotu przetwarzającego (Podprocesor) w drodze zawarcia z tym podmiotem pisemnej umowy pod warunkiem, że Administrator udzielił Podmiotowi przetwarzającemu uprzedniej pisemnej, pod rygorem nieważności, zgody (zgoda szczególna w rozumieniu art. 28 ust. 2 RODO) na skorzystanie z usług innego podmiotu przetwarzającego, przy czym za Podprocesora w rozumieniu Umowy nie uważa się osób fizycznych, którymi posługuje się Podmiot Przetwarzający, niezależnie od formy ich zatrudnienia i za których działania lub zaniechania ponosi odpowiedzialność, z włączeniem osób prowadzących indywidualną działalność gospodarczą.
4.2. [Cel] Podprocesor powołany zgodnie z pkt 4.1. powyżej przetwarza dane osobowe w zakresie określonym w pkt 1.6. – 1.8. powyżej.
4.3. [Terytorium] Podmiot przetwarzający może korzystać wyłącznie z usług tych Podprocesorów, którzy przetwarzają dane osobowe w ramach terytorium określonego w pkt 1.8 powyżej. W jakichkolwiek przypadkach Podmiot przetwarzający ma obowiązek zawrzeć w umowie z Podprocesorem postanowienia analogiczne do tych, jakie zawarto w niniejszej Umowie oraz uzyskać zgodę Administratora wyrażoną w formie pisemnej oraz pod rygorem nieważności.
4.4. [Profesjonalność] Podmiot przetwarzający korzysta z usług wyłącznie takich Podprocesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą.
4.5. [Nadzór Podmiotu przetwarzającego] Podmiot przetwarzający nadzoruje Podprocesora w przetwarzaniu powierzonych mu danych.
4.6. [Zgodność] Podprocesor podlega tym samym obowiązkom wynikającym z niniejszej Umowy oraz RODO, co Podmiot przetwarzający.
Artykuł 5 Kontrola
5.1. [Prawo do kontroli] Administrator zastrzega sobie prawo do przeprowadzania kontroli, czy przetwarzanie przez Podmiot Przetwarzający powierzonych danych osobowych jest zgodne z postanowieniami Umowy i przepisami obowiązującego prawa.
5.2. [Dostęp do pomieszczeń] W trakcie kontroli przedstawiciele Administratora będą mieli prawo do wstępu do pomieszczeń Podmiotu Przetwarzającego, w których są przetwarzane powierzone dane osobowe, po uprzednim uzgodnieniu, z Podmiotem Przetwarzającym stosownie do okoliczności terminu kontroli.
5.3. [Termin kontroli] Podmiot Przetwarzający będzie informowany o terminie kontroli z wyprzedzeniem minimum 7 dni (słownie siedmiu dni). Powiadomienie o kontroli będzie określało przedmiot kontroli oraz wskazanie osób upoważnionych do prowadzenia kontroli w imieniu Administratora.
5.4. [Zakres kontroli] Kontrola przedstawicieli Administratora określona w ust. 5.1 może dotyczyć wyłącznie sposobu przetwarzania powierzonych danych osobowych, wglądu do dokumentacji wymaganej na gruncie RODO, przeprowadzania oględzin nośników i systemów teleinformatycznych służących do przetwarzania powierzonych danych osobowych oraz ingerencji w system teleinformatyczny przetwarzający dane w celu weryfikacji zabezpieczeń stosowanych przy przetwarzaniu powierzonych danych osobowych. Kontrola może także dotyczyć jakichkolwiek innych okoliczności faktycznych wzbudzających uzasadnione wątpliwości Administratora.
5.5. [Protokół z kontroli] Z kontroli zostanie sporządzony protokół podpisany przez obie Xxxxxx, którego jeden egzemplarz zatrzyma Podmiot Przetwarzający.
5.6. [Zastrzeżenia do protokołu] Podmiot Przetwarzający może wnieść zastrzeżenia do protokołu z kontroli w ciągu 7 dni roboczych od daty jego podpisania, przez Strony.
Artykuł 6 Poufność
6.1. [Ujawnienie] O ile niniejsza Umowa nie stanowi inaczej, Podmiot przetwarzający nie ujawnia powierzonych mu danych, ani bezpośrednio ani w jakimkolwiek kontekście.
6.2. [Pracownicy] Podmiot przetwarzający zobowiązuje pracowników, którzy przetwarzają dane osobowe na podstawie niniejszej Umowy, do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem danych i do podpisania odpowiednych oświadczeń o zachowaniu poufności przed przystąpieniem do wykonywania obowiązków pracowniczych.
6.3. [Okres czasu] Podmiot przetwarzający zachowuje w poufności wszelkie informacje związane z powierzeniem mu danych do przetwarzania oraz wszystkie dane osobowe powierzone mu na mocy niniejszej Umowy, w okresie trwania niniejszej Umowy i przez czas nieoznaczony po zakończeniu jej obowiązywania.
Artykuł 7
Okres obowiązywania Umowy
7.1. [Okres obowiązywania Umowy] Umowa zostaje zawarta na czas nieoznaczony, nie dłuższy niż jest to konieczne z punktu widzenia celów przetwarzania danych.
7.2. [Wypowiedzenie Umowy przez Administratora z zachowaniem okresu wypowiedzenia] Umowa może zostać wypowiedziana przez Administratora z zachowaniem [ ] miesięcznego okresu wypowiedzenia. Wypowiedzenie powinno zostać dokonane – pod rygorem nieważności – w formie pisemnej.
7.3. [Wypowiedzenie Umowy przez Administratora ze skutkiem natychmiastowym] Umowa może zostać wypowiedziana przez Administratora ze skutkiem natychmiastowym w przypadku naruszenia przez Podmiot przetwarzający lub Podprocesora któregokolwiek z postanowień Umowy lub przepisów prawa znajdujących zastosowanie do niniejszej Umowy.
Artykuł 8 Odpowiedzialność
8.1. [Odpowiedzialność Podmiotu przetwarzającego] Podmiot przetwarzający zobowiązuje się do zapłaty pełnego odszkodowania na rzecz Administratora, jeżeli wskutek naruszenia przez Podmiot przetwarzający lub Podprocesora postanowień niniejszej Umowy lub obowiązków wynikających z przepisów prawa znajdujących zastosowanie do niniejszej Umowy Administrator poniesie szkodę związaną z takim naruszeniem.
8.2. [Odpowiedzialność za Podprocesora] Podmiot przetwarzający ponosi wobec Administratora pełną odpowiedzialność za naruszenie przez Podprocesora postanowień niniejszej Umowy lub przepisów prawa znajdujących zastosowanie do niniejszej Umowy.
8.3. [Zawiadomienie] Podmiot przetwarzający niezwłocznie informuje Administratora o wszystkich postępowaniach, w szczególności administracyjnych i sądowych, dotyczących przetwarzania danych osobowych w zakresie danych powierzonych Podmiotowi przetwarzającemu (lub Podprocesorowi), oraz o wszystkich decyzjach administracyjnych i sądowych dotyczących przetwarzania danych, a także o kontrolach dotyczących przetwarzania danych w zakresie powierzenia.
8.4. [Współpraca] W przypadku wystąpienia przez osobę trzecią z roszczeniem przeciwko Podmiotowi Przetwarzającemu oraz/lub Administratorowi w związku naruszeniem zasad przetwarzania danych, Podmiot przetwarzający jest zobowiązany do współpracy z Administratorem w celu podjęcia odpowiednich środków prawnych w szczególności w celu oddalenia lub odrzucenia roszczenia osoby trzeciej przez sąd właściwy, złożenia odwołania i zawarcia ugody lub innego środka prawnego.
Artykuł 9 Postanowienia końcowe
9.1. [Zakończenie Umowy] Podmiot przetwarzający, na żądanie Administratora, po zakończeniu świadczenia usług związanych z przetwarzaniem oraz zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba, że przepisy obowiązującego prawa nakazują przechowywanie danych osobowych.
9.2. [Klauzula salwatoryjna] Jeżeli którekolwiek z postanowień niniejszej Umowy okaże się z jakiegokolwiek powodu nieważne lub nieskuteczne, pozostałe postanowienia pozostają w mocy, a Strony zobowiązują się na wniosek którejkolwiek z nich do zastąpienia tych nieważnych (nieskutecznych) postanowień, postanowieniami mającymi moc prawną i skutek ekonomiczny możliwie najbardziej zbliżony do zastępowanego postanowienia.
9.3. [Prawo właściwe] Umowa oraz wynikające z niej prawa i obowiązki Stron podlegają przepisom prawa obowiązującego na terytorium Rzeczypospolitej Polskiej. Wszelkie spory powstałe w związku z niniejszą Umową będzie rozstrzygał wyłącznie Sąd właściwy dla siedziby Administratora.
9.4. [Przeniesienie praw i obowiązków] Podmiot przetwarzający nie jest uprawniony do przeniesienia praw i obowiązków wynikających z Umowy na żaden podmiot/osobę trzecią, bez uprzednio wyrażonej, w formie pisemnej oraz pod rygorem nieważności, zgody Administratora.
9.5. [Egzemplarze Umowy] Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Administrator Podmiot Przetwarzający
………………………………… …………………………………
………………………………… …………………………………