Umowa powierzenia przetwarzania danych osobowych - /wzór/
Sygn. Sprawy: (ZW/15/2022 Załącznik nr 4 (nr 2 do Umowy)
Umowa powierzenia przetwarzania danych osobowych - /wzór/
zwana dalej „umową”, zawarta w dniu ……maja 2022 r. w Siedlcach pomiędzy:
Sądem Rejonowym w Siedlcach, ul. Xxxxxxxxxxxxxx 00X, 00-000 Xxxxxxx, NIP: 000-00-00-000, REGON 000324949, reprezentowanym przez:
1. Xxxxxx Xxxxxx – Prezes Sądu Rejonowego w Siedlcach
2. Xxxxxxxxx Xxxxxxx – Dyrektor Sądu Rejonowego w Siedlcach zwanym dalej „Administratorem”.
a
……………….. z siedzibą przy ul. ……………. NIP ………………REGON działającym na podstawie
wpisu do KRS poz. prowadzonego przez …………………………………………………………………………
reprezentowanym przez:
1. ………………………………………… zwanym dalej „Procesorem”
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Procesorowi, w trybie art. 28 ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), dalej zwanego RODO dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej Umowie.
2. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Procesor oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO.
4. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za takie udokumentowane polecenia uważa się niniejszą umowę oraz polecenia przekazywane drogą elektroniczną na adres e-mail wskazany przez Przetwarzającego.
§2
Zakres i cel przetwarzania danych
1. Procesor będzie przetwarzał powierzone na podstawie niniejszej umowy dane
…………………………………………………………zwykłe ……………………………….………………………………
(podać rodzaj danych: np. zwykłe, szczególnej kategorii)
dane pracowników i klientów Zamawiającego zawarte w pamięci urządzeń pozyskane przy realizacji zamówienia na zaprojektowanie, dostawę i instalację systemu Rejestracji Czasu Pracy.
(podać kategorię osób, których dane dotycz, np. pracownicy, klienci, )
Imię, nazwisko, i inne dane osobowe do których Wykonawca lub jego pracownicy mogli mieć dostęp świadcząc usługę
dostawę i instalację systemu Rejestracji Czasu Pracy.
………………………………………………………………………………………..………………
(podać kategorię danych: np. imię i nazwisko, XXXXX,…)
2. Powierzone przez Administratora danych dane osobowe będą przetwarzane przez Procesora wyłącznie w celu:
realizacji umowy dostawę i instalację systemu Rejestracji Czasu Pracy
w siedzibie Sądu Rejonowego w Siedlcach.
(podać cel przetwarzania danych przez Procesora, np. realizacji umowy z dnia …… nr ……… w zakresie szkoleń bhp, ….)
§3
Obowiązki Procesora
1. Procesor przetwarzając powierzone dane osobowe zobowiązuje się do ich właściwego zabezpieczenia poprzez stosowanie odpowiednich środków organizacyjnych i technicznych, w tym informatycznych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
2. Procesor zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych mu danych osobowych.
3. Procesor zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
4. Procesor zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b RODO przetwarzanych danych przez osoby upoważnione do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich u Procesora, jak i po jego ustaniu.
5. Procesor po zakończeniu świadczenia czynności związanych z przetwarzaniem danych usuwa w sposób skuteczny lub zwraca Administratorowi danych wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
6. W miarę możliwości Procesor wspiera Administratora danych w niezbędnym zakresie wywiązywania się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
7. Procesor po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zawiadamia Administratora danych w ciągu 24 godzin.
§4
Prawo kontroli
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli stosowanych przez Procesora środków organizacyjnych i technicznych, w tym informatycznych służących zabezpieczeniu przetwarzanych danych osobowych.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Procesora z zachowanie 1-dniowego jego uprzedzenia.
3. Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.
4. Procesor udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§5
Dalsze powierzenie danych do przetwarzania
1. Procesor może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po obowiązkowym uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Procesora prawo Unii lub prawo państwa członkowskiego, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podwykonawca powinien zapewniać takie same gwarancje i obowiązki, jakie zostały nałożone na Procesora w niniejszej Umowie.
4. Procesor ponosi pełną odpowiedzialność wobec Administratora danych za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 6
Odpowiedzialność Procesora
1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Procesor zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Procesora danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Procesora, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Procesora tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzoru nad przetwarzaniem danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§7
Czas obowiązywania umowy
1. Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas /określony od dnia podpisania do dnia zakończenia realizacji usług, zgodnie z postanowieniami umowy głównej.
2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem miesięcznego okresu wypowiedzenia.
§8
Rozwiązanie umowy
1. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Procesor:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych;
§9
Zasady zachowania poufności
1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§10
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie będą miały przepisy Kodeksu cywilnego, RODO oraz inne przepisy prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Administratora danych.
Prezes Dyrektor
Sądu Rejonowego w Siedlcach Sądu Rejonowego w Siedlcach
Xxxxxx Xxxxxx Xxxxxxxxx Xxxxxxx
………………… ………………………………….. ………………………………………… Procesor Administrator Danych