Projekt współfinansowany ze środków Unii Europejskiej w ramach Programu Operacyjnego Pomoc Techniczna 2014 – 2020 Umowa o dotację nr DRP/BDG- II/POPT/45/20
Projekt współfinansowany ze środków Unii Europejskiej w ramach Programu Operacyjnego Pomoc Techniczna 2014 – 2020 Umowa o dotację nr DRP/BDG-II/POPT/45/20
Załącznik nr 3 do Zaproszenia do składania ofert
Umowa
powierzenia przetwarzania danych osobowych nr …………………………………………………..
zawarta w dniu ............................
pomiędzy:
Gminą Xxxxxx, Xxxxx 0, 00-000 Xxxxxx reprezentowaną przez:
…………………………………... – Prezydenta Miasta Kielc; zwanym dalej „Administratorem”;
a
……………………………………………………………………………………………………………………. reprezentowaną przez:
…………………………………..
zwaną dalej "Przetwarzającym",
zwanych również łącznie „Stronami” oraz każda z osobna „Stroną”.
Preambuła
Stosownie do przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE strony zawierają Umowę PDO o następującej treści:
§ 1
Definicje
Dla potrzeb niniejszej Umowy PDO, o ile z treści i celu Umowy PDO nie wynika inaczej, przyjmuje się następujące znaczenie dla poniżej wymienionych sformułowań:
1. ADO - Administrator Danych Osobowych, tj. Prezydent Miasta Kielce, Xxxxx 0, 00-000 Xxxxxx (zwany dalej Administratorem);
2. IOD – Inspektor Ochrony Danych;
3. dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;
4. UODO – Urząd Ochrony Danych Osobowych;
5. Umowa główna ;
6. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
7. przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
8. zbiór danych – zbiór danych osobowych powierzony przez Administratora.
§ 2
Przedmiot oraz cel i zakres Umowy PDO
1. Na podstawie art. 28 ust. 3 RODO, Administrator powierza Przetwarzającemu przetwarzanie danych osobowych, w celu poprawnej realizacji zadania „Zorganizowanie, przeprowadzenie i obsługa on-line doradztwa dla partnerstwa pn. Kielecki Obszar Funkcjonalny” oraz tylko i wyłącznie w zakresie niezbędnym do realizacji niniejszego zadania.
2. Podstawą powierzenia realizacji powyższego zadania jest Umowa główna.
3. Niniejsza Umowa PDO zawarta została na czas określony i ma na celu zapewnienie bezpieczeństwa danych osobowych przetwarzanych przez Przetwarzającego.
4. Cel i charakter przetwarzania danych osobowych wynikają z niniejszej Umowy PDO i obejmują x.xx. zbieranie, utrwalanie, przechowywanie, modyfikowanie, udostępnianie podmiotom uprawnionym na podstawie przepisów prawa, archiwizowanie, usuwanie oraz niszczenie danych związanych z realizacją powyższego zadania.
5. Przetwarzanie danych osobowych następować będzie w sposób ciągły w formie papierowej lub elektronicznej i obejmować będzie dane znajdujące się w systemie elektronicznych kart płatniczych, w szczególności następujące rodzaje danych osobowych klientów Administratora:
a) Imię;
b) Nazwisko;
c) Nazwa instytucji;
d) Adres poczty elektronicznej;
e) Nr telefonu.
6. Administrator i Administrator i Przetwarzający zobowiązują się do przestrzegania postanowień i wymogów obowiązujących przepisów dotyczących ochrony danych osobowych oraz niniejszej Umowy PDO.
§ 3
Zasady przetwarzania danych osobowych
1. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora oraz:
a) wyznaczył IOD/osobę do kontaktów w ramach realizacji niniejszej umowy, z którą można skontaktować się za pośrednictwem poczty e-mail: ……………………………………….
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje odpowiednie środki techniczne oraz organizacyjne, mające na celu zapewnienie bezpieczeństwa danych osobowych;
d) nie korzysta z usług innego podmiotu przetwarzającego, bez uprzedniej pisemnej zgody Administratora;
e) w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
w zakresie wykonywania jej praw określonych w art. 12 - 23 RODO;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32 – 36 RODO;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, w tym również te, zawarte na nośnikach danych, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi (lub upoważnionemu przez niego audytorowi) przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
2. Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Przetwarzającego, niniejsze serwery i nośniki nie mogą znajdować się poza obszarem Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
3. Na wypadek zawinionego naruszenia przez Przetwarzającego zasad przetwarzania danych osobowych (określonych w przepisach powszechnie obowiązującego prawa, RODO oraz niniejszej Umowy PDO), skutkującego zobowiązaniem Administratora na mocy prawomocnego orzeczenia sądu, ugody sądowej bądź porozumienia mediacyjnego do wypłaty odszkodowania, zadośćuczynienia lub kary pieniężnej, Przetwarzający zobowiązuje się zrekompensować Administratorowi udokumentowane straty z tego tytułu w pełnej wysokości.
4. Przetwarzający jest zwolniony z odpowiedzialności za szkody spowodowane przetwarzaniem przez niego danych naruszającym przepisy prawa, jeżeli nie można mu przypisać winy za zdarzenie, które doprowadziło do powstania szkody.
5. Przetwarzający zapewnia, że dane osobowe nie będą udostępniane jego pracownikom i zleceniobiorcom przed podpisaniem przez nich oświadczeń lub umów o zachowaniu poufności. Zachowanie poufności nie ustaje po rozwiązaniu lub wygaśnięciu stosunku pracy lub umowy cywilnoprawnej, niezależnie od przyczyny tego rozwiązania lub wygaśnięcia.
6. Przetwarzający zobowiązuje się do monitorowania i stosowania przepisów prawa, powszechnie dostępnych wskazówek i zaleceń organu nadzorczego oraz unijnych organów doradczych, zajmujących się ochroną danych osobowych, w zakresie przetwarzania powierzonych mu danych, po uprzednim uzgodnieniu wpływu tych regulacji na przetwarzanie danych z Administratorem.
Dalsze powierzenie przetwarzania Danych osobowych
1. Przetwarzający może podpowierzyć konkretne operacje przetwarzania danych innym podmiotom przetwarzającym w drodze pisemnej umowy podpowierzenia danych tylko za pisemną zgodą Administratora.
2. Dokonując ewentualnego podpowierzenia Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej umowy. Zobowiązanie powinno posiadać formę umowy powierzenia.
3. Przetwarzający zobowiązany jest do przestrzegania warunków korzystania z usług podmiotu Podprzetwarzającego.
4. Przetwarzający może korzystać z usług tylko takich podwykonawców, którzy zapewnią wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
5. Przetwarzający odpowiada za działania bądź zaniechania podwykonawców jak za własne działania i zaniechania.
6. Przetwarzający nie ma prawa przekazać Podpowierzającemu całości wykonania niniejszej Umowy PDO.
7. Podmiotami, na których Administrator wyraża zgodę i którym Przetwarzający może powierzyć dalsze przetwarzanie danych osobowych na dzień zawarcia Umowy PDO są trenerzy do przeprowadzenia doradztwa on-line oraz koordynator doradztwa, zatrudnieni do realizacji usługi objętej Umową główną.
§ 5.
Kontrola przetwarzania danych osobowych
1. Administrator ma prawo przez cały okres objęty porozumieniem kontrolować poprawność zabezpieczenia i przetwarzania danych powierzonych Przetwarzającemu na podstawie niniejszej Umowy PDO.
2. W szczególnych przypadkach Administrator ma prawo do kontroli u Podpowierzającego, z którym Przetwarzający zawarł umowę powierzenia na realizację niniejszej umowy.
3. Administrator informuje Przetwarzającego o kontroli na co najmniej 24 godziny przed przystąpieniem do czynności kontrolnych. Czynności kontrolne dokonywane są w obecności Przetwarzającego lub osoby przez niego upoważnionej.
4. Przetwarzający zapewnia przedstawicielom Administratora warunki i środki niezbędne są sprawnego przeprowadzenia kontroli, a w szczególności sporządzania we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach danych, w urządzeniach lub systemach informatycznych.
5. Przetwarzający potwierdza za zgodność z oryginałem sporządzone kopie lub wydruki. W przypadku odmowy potwierdzenia przedstawiciel Administratora umieszcza informację o tym fakcie w protokole z kontroli.
6. Przetwarzający oświadcza, że w przypadku kontroli UODO, prowadzonej u Administratora dotyczącej przetwarzania powierzonych danych osobowych, będzie niezwłocznie przekazywał Administratorowi niezbędne informacje i wyjaśnienia.
7. Przetwarzający jest zobowiązany powiadomić Administratora o każdej kontroli UODO jeżeli ma ona związek z przetwarzaniem powierzonych danych osobowych oraz o każdym piśmie UODO dotyczącym składania wyjaśnień w zakresie powierzonych danych.
Incydenty danych osobowych
1. Przetwarzający jest zobowiązany do zgłaszania Administratorowi o każdym podejrzeniu incydentu ochrony danych osobowych nie później niż w przeciągu 24 godzin od pierwszego powzięcia informacji o incydencie.
2. Przetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
3. Powiadomienie o stwierdzeniu incydentu Przetwarzający przesyła wraz z wszelką niezbędną dokumentacją dotyczącą incydentu, w celu umożliwienia Administratorowi spełnienia obowiązku ewentualnego powiadomienia organu nadzoru.
§ 7.
Wypowiedzenie umowy
1. Każdej ze Stron przysługuje uprawnienie do rozwiązania Umowy PDO z zachowaniem terminu wypowiedzenia określonego w Umowie głównej.
2. Administrator ma prawo wypowiedzieć Umowę PDO w trybie natychmiastowym, w przypadku rażącego naruszenia postanowień Umowy PDO przez Przetwarzającego, który:
a) wykorzystał dane osobowe w sposób niezgodny z Umową PDO, w szczególności przetwarzał je dla własnych celów lub celów innych podmiotów, a także celów niezgodnych z powszechnie obowiązującymi przepisami prawa lub postanowieniami niniejszej Umowy PDO;
b) wykonuje Umowę PDO niezgodnie z obowiązującymi w tym zakresie przepisami prawa lub instrukcjami Administratora w tym zakresie;
c) nie zaprzestał niewłaściwego przetwarzania danych osobowych mimo xxxxxxxxxxx xxxxxxxx Administratora do usunięcia naruszeń i bezskutecznego upływu wyznaczonego terminu 14 dni na zaniechanie naruszeń.
3. W przypadku wypowiedzenia Xxxxx PDO w trybie natychmiastowym, o którym mowa w ust. 2, Umowa główna ulega również rozwiązaniu, przy czym Przetwarzający zrzeka się jakichkolwiek roszczeń wynikających z przedwczesnego rozwiązania Umowy głównej.
§ 8.
Usunięcie Danych osobowych
1. W terminie 7 dni od zakończeniu lub rozwiązania niniejszej Umowy PDO, Przetwarzający zobowiązuje się do przekazania danych osobowych Administratorowi w postaci zgromadzonych danych na dzień zakończenia realizacji zadania, o którym mowa w § 2 ust. 1 oraz trwałego i skutecznego zniszczenia wszystkich kopii danych osobowych przekazanych Przetwarzającemu związanych z realizacją niniejszego Porozumienia, w szczególności zobowiązuje się do trwałego i skutecznego zniszczenia posiadanych zbiorów danych technicznych oraz przechowywanych na nośnikach papierowych i elektronicznych.
2. Przekazaniu lub zniszczeniu nie podlegają dane, które ze względu na szczególne przepisy prawa stanowią dokumentację archiwalną lub muszą być przechowywane przez Przetwarzającego jako dokumentacja potwierdzająca realizację powierzonego zadania.
3. Administrator otrzyma od Przetwarzającego potwierdzenie faktu dokonania bezpowrotnego zniszczenia ewentualnych kopii powierzonych danych.
4. Przekazanie dokumentacji o trwałym i skutecznym zniszczeniu wszystkich danych osobowych przetwarzanych na podstawie niniejszej Umowy PDO, nastąpi najpóźniej w terminie 7 dni od dnia zakończenia czynności określonych w ust. 1.
5. Po rozwiązaniu lub wygaśnięciu realizacji zadania, o którym mowa w § 2 ust. 1 Przetwarzający nie ma prawa do wykorzystania przetwarzanych danych w jakimkolwiek celu.
§ 9.
Postanowienia końcowe
1. Niniejsza Umowa PDO została zawarta na czas od dnia zawarcia Umowy głównej r. do dnia zakończenia Umowy głównej z prawem jego wypowiedzenia z zachowaniem miesięcznego terminu przez każdą ze stron.
2. Z tytułu wykonywania niniejszej Umowy PDO Przetwarzającemu nie przysługuje dodatkowe wynagrodzenie.
3. Rozwiązanie Umowy głównej w każdym czasie i trybie przez którąkolwiek ze Stron skutkuje wygaśnięciem niniejszej Umowy PDO.
4. Niniejsza Umowa PDO nie narusza obowiązków Stron wynikających z bezwzględnie obowiązujących przepisów prawa.
5. Wszelkie zmiany i uzupełnienia niniejszej Umowy PDO wymagają formy pisemnej pod rygorem nieważności.
6. W sprawach nieuregulowanych niniejszą Umową PDO, mają zastosowanie przepisy kodeksu cywilnego, ustawy o ochronie danych osobowych oraz przepisy RODO.