Umowa powierzenia przetwarzania danych-WZÓR
Umowa powierzenia przetwarzania danych-WZÓR
Nazwa jednostki ulica
kod pocztowy NIP
adres e-mail) telefon
adres do korespondencji jeśli inny niż powyżej
Zwanym dalej „Administratorem” a
nazwa firmy reprezentowana przez ulica nr domu/lokalu miejscowość kod pocztowy NIP regon
adres e-mail telefon
adres do korespondencji – jeśli inny
Zwanym dalej „Przetwarzającym”, zwanymi dalej jako „Strona” a łącznie jako „Strony”.
§ 1 Definicje
Dla potrzeb Umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1. Dane osobowe – dane w rozumieniu art. 4 pkt. 1 Rozporządzenia 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
2. Przetwarzanie Danych Osobowych – wszelkie operacje lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dostosowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu art. 4 pkt. 2) Rozporządzenia 2016/679;
3. Umowa Główna – zawarte przez Administratora z Podmiotem Przetwarzającym umowy handlowej o nr <proszę wpisać nr umowy głównej> Dot. usług wymagających powierzenia przetwarzania danych osobowych.
4. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
5. Administrator – oznacza to odpowiednio:
a) Marszałka Województwa Opolskiego dla zbioru „UMWO-DPO-SYZYF” oraz dla zbioru
„RPO WO 2014-2020”,
b) ministra właściwego do spraw rozwoju regionalnego dla zbioru „Centralny system teleinformatyczny wspierający realizację programów operacyjnych”,
c) Miejski Ośrodek Pomocy Rodzinie, xx. Xxxxx Xxxxxxxx 00, 00-000 Xxxxx.
Strony oświadczają, co następuje:
§ 2 Oświadczenia stron
1. Strony oświadczają, że Umowa została zwarta w celu wykonania obowiązków, o których mowa w art. 28 RODO, w związku z zawarciem Umowy Głównej.
2. Administrator oświadcza, iż jest administratorem danych osobowych w rozumieniu art. 4 pkt. 7) RODO, tj. podmiotem który samodzielnie lub wspólnie z innym ustala cele i sposoby przetwarzania danych osobowych.
3. Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt. 8) RODO w ramach Umowy, co oznacza , że będzie przetwarzał dane osobowe w imieniu i na polecenie administratora.
§ 3 Przedmiot i czas przetwarzania
1. Administrator powierza Przetwarzającemu do przetwarzania dane osobowe, a podmiot przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową.
2. Niniejsza umowa zostaje zawarta na czas obowiązywania umowy głównej oraz wykonania wszystkich zobowiązań wynikających z niniejszej umowy.
§ 4 Cel i podstawowe zasady przetwarzania
1. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej umowie.
2. Celem powierzenia przetwarzania danych osobowych jest wykonywanie umowy głównej, w tym w szczególności realizacja przez Przetwarzającego zapisów umowy głównej. W ramach przetwarzania danych Przetwarzający może dokonywać na powierzonych danych osobowych następujące operacje: organizowanie, porządkowanie, przechowywanie, przeglądanie, wykorzystywanie, poprawianie, ujawnianie poprzez przesłanie oraz inne niezbędne w celu realizacji umowy głównej.
3. Zakres przetwarzanych danych przez Przetwarzającego na podstawie niniejszej umowy obejmuje następujące kategorie danych osobowych: <np. imię i nazwisko, adres zamieszkania, pesel, itp.
4. Zakres przetwarzanych danych przez podmiot przetwarzający na podstawie niniejszej umowy obejmuje dane: <proszę wpisać kogo dane zostały powierzone np. podopiecznych, pracowników>
5. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uważa się polecenie przetwarzania danych zawarte w umowie głównej, a także wskazówki i instrukcje przekazywane przez Administratora w trakcie obowiązywania Umowy drogą elektroniczną na adres email:………………… lub na piśmie.
6. Przy przetwarzaniu danych osobowych, podmiot przetwarzający powinien przestrzegać zasad wskazanych w niniejszej umowie, w tym wskazówek i instrukcji przekazywanych przez Administratora oraz w RODO.
§ 5 Szczegółowe zasady powierzania przetwarzania
1. Przed rozpoczęciem przetwarzania danych osobowych podmiot przetwarzający podejmuje środki zabezpieczające dane osobowe o których mowa w art. 32 RODO, a w szczególności:
a. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych , aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem,
b. Zapewnia by każda osoba działająca z upoważnienia podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je zgodnie z poleceniem Administratora, w tym według jego wskazówek i instrukcji, w celach i zakresie przewidzianym w niniejszej umowie,
c. Prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku an podstawie art. 30 ust. 5 RODO.
2. Podmiot Przetwarzający prowadząc ewidencję osób upoważnionych zapewnia, aby osoby mające dostęp do przetwarzania danych osobowych zachowały je oraz sposoby zabezpieczeń w poufności, przy czym obowiązek zachowania w poufności istnieje również po realizacji niniejszej
umowy oraz po ustaniu zatrudnienia u podmiotu przetwarzającego. W tym celu podmiot przetwarzający dopuści do przetwarzania danych tylko osoby, które zostały upoważnione i zobowiązane do zachowania w poufności danych osobowych oraz sposobów ich zabezpieczeń.
3. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi w wywiązaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności, podmiot przetwarzający zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczania danych osobowych.
4. Podmiot przetwarzający zobowiązuje się przekazywać Administratorowi informacje dotyczące przypadków naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych na adres e-mail: xxx@xxxx.xxxxx.xx lub telefonicznie 000-000-000, 000-000-000 podając przy tym charakter, skalę oraz podjęte działania w celu zabezpieczenia powierzonych danych osobowych.
5. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO, w szczególności podmiot przetwarzający zobowiązuje się do poinformowania Administratora o złożonym żądaniu osoby, której dane dotyczą w ciągu 5 dni od otrzymania takiego żądania.
6. Podmiot przetwarzający zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń, wydawanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych w szczególności zakresie stosowania RODO.
7. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu dotyczącym powierzonych danych osobowych, w szczególności administracyjnym lub sądowym, decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do podmiotu przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych.
§ 6 Podpowierzenie przetwarzania danych subprocesorowi
1. Podmiot przetwarzający może korzystać z usług innego podmiotu przetwarzającego (subprocesora) tylko i wyłącznie po uprzedniej szczegółowej lub pisemnej zgodzie Administratora danych.
2. Jeżeli podmiot przetwarzający zamierza podpowierzyć dane osobowe podwykonawcom, to musi poinformować Administratora o tożsamości (nazwie) podmiotu, któremu ma zamiar podpowierzyć przetwarzanie danych, a także o charakterze, zakresie, celu i czasie trwania podpowiedzenia.
3. W przypadku podpowiedzenia przetwarzania danych osobowych, podpowierzenie będzie mieć za podstawę niniejszą umowę, na podstawie której podwykonawca (subprocesor) zobowiąże się do wykonywania tych samych obowiązków, które na mocy Umowy nałożone są na podmiot przetwarzający.
4. Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowiedzenia bezpośrednio wobec podwykonawcy (subprocesora). Podmiot przetwarzający poinformuje administratora w przypadku rozwiązania umowy podpowiedzenia w terminie 3 dni.
5. Podmiot przetwarzający zapewni, aby podwykonawcy (subprocesorzy), którym podpowierzono przetwarzanie danych stosowały co najmniej równorzędny poziom ochrony danych osobowych co podmiot przetwarzający.
6. Jeżeli podwykonawcy (subprocesorzy), którym podpowierzono przetwarzanie danych osobowych nie wywiążą się ze spoczywających na nich obowiązkach ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tych subprocesorów spoczywa na podmiocie przetwarzającym.
§ 7 Kontrola u Podmiotu Przetwarzającego
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, audytów i inspekcji czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia niniejszej umowy oraz RODO.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 14 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
5. Podmiot przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 8 Odpowiedzialność
1. Podmiot przetwarzający odpowiada za szkody, jakie powstaną u administratora lub osób trzecich w wyniku niezgodnego z Umową przetwarzania przez Podmiot przetwarzający.
2. Podmiot przetwarzający ponosi odpowiedzialność za wszelkie działania i zaniechania podwykonawcy (subprocesora) lub osób upoważnionych przez podmiot przetwarzający do przetwarzania danych osobowych jak za własne działania i zaniechania.
3. W przypadku niewykonania lub nienależytego wykonania przez podmiot przetwarzający niniejszej umowy, podmiot zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 9 Zakończenie powierzenia
1. Po zakończeniu świadczenia usług związanych z przetwarzanie danych przez podmiot przetwarzający, na żądanie administratora, z zastrzeżeniem ust. 2, zobowiązany jest zaprzestać przetwarzania danych osobowych. Na polecenie administratora podmiot przetwarzający zobowiązany jest zwrócić je administratorowi i usunąć je ze swoich zbiorów, systemów informatycznych oraz z istniejących kopii.
2. Pomimo zaprzestania świadczenia usług związanych z powierzeniem przetwarzania, podmiot przetwarzający uprawniony jest do przetwarzania danych dotyczących potwierdzenia wykonania usług na rzecz administratora w celach roszczeniowych.
3. Przez usunięcie danych osobowych, o których mowa u ust. 1, rozumieć należy zniszczenie lub taką ich modyfikację, która nie pozwoli na zidentyfikowanie osób, których dane dotyczą.
4. Usunięcie danych , o którym mowa w ust. 1 należy udokumentować pisemnym oświadczeniem, podpisanym przez osoby uprawnione w ciągu 7 dni od zgłoszenia żądania przez Administratora.
5. Rozwiązanie umowy głównej przez którąkolwiek ze stron skutkuje wygaśnięciem niniejszej umowy.
6. Administrator uprawniony jest do rozwiązania niniejszej Umowy ze skutkiem natychmiastowym w przypadku, gdy:
i. Organ nadzorczy stwierdzi, iż podmiot przetwarzający nie przestrzega zasad RODO oraz ochrony danych osobowych.
ii. Administrator, w wyniku przeprowadzenia kontroli / audytu / inspekcji stwierdzi, iż podmiot przetwarzający nie przestrzega warunków niniejszej umowy oraz RODO w stosunku do danych powierzonych przez Administratora.
iii. Po wykryciu uchybień w podmiocie przetwarzającym przez administratora upłynął termin 14 dni (po uzgodnieniu z administratorem możliwość wydłużenia terminu) na usunięcie naruszeń.
iv. Podmiot przetwarzający wykorzystywał dane osobowe niezgodnie z niniejszą umową lub przepisami prawa, niewłaściwie przetwarzał powierzone mu dane, pomimo uprzedniego wezwania do zmiany sposobu ich przetwarzania lub powierzył dane subprocesorowi bez zgody administratora danych.
§ 10 Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu cywilnego.
3. W przypadku, gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
5. Niniejsza umowa powierzenia przetwarzania danych obowiązuje na czas trwania umowy na świadczenie przez Zleceniobiorcę na rzecz Zleceniodawcy usług w zakresie (czego dotyczy umowa zasadnicza)…………………………………………………………………….
6. Postanowienia dotyczące obowiązków wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) mają zastosowanie od dnia 25.05.2018 r, zastępując tym wszelkie wcześniejsze ustalenia dotyczące powierzenia przetwarzania danych osobowych przez Administratora
…………………………………………………………………...
…………………………………………………………………….
Administrator danych Podmiot przetwarzający