Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 7 do umowy - umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu ....................... r., w Swarzędzu (dalej określana jako „Umowa powierzenia”), pomiędzy:
Gminą Swarzędz, działającą przez swoją jednostkę organizacyjną – Centrum Usług Społecznych w Swarzędzu z siedzibą w Swarzędzu, przy ul. Xxxxxxxxxxx 00, NIP Gminy Swarzędz: 777 30 98 737, REGON Gminy Swarzędz: 631258483, w imieniu której działa: Dyrektor Centrum Usług Społecznych w Swarzędzu – Xxxxxxxxx Xxxxxxxxxxx
zwaną dalej „Administratorem”,
a
,
reprezentowanym przez: ,
zwanym dalej „Podmiotem przetwarzającym” lub „Procesorem”,
zwanymi łącznie dalej również „Stronami”, a każde z osobna „Stroną”.
PREAMBUŁA
Zważywszy, że:
1) Strony łączy umowa z dnia , na mocy której Administrator zlecił
Procesorowi („Umowa główna”),
2) W celu prawidłowego wykonania Umowy głównej niezbędne jest powierzenie przez Administratora do przetwarzania Podmiotowi przetwarzającemu określonych danych osobowych, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „Rozporządzenie”);
3) Umowa powierzenia ma charakter akcesoryjny wobec Umowy głównej i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikających z Umowy głównej,
Strony zawierają Umowę powierzenia przetwarzania danych osobowych, o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. W celu prawidłowej realizacji przedmiotu Umowy głównej Administrator powierza Podmiotowi przetwarzającemu do przetwarzania następujące kategorie i rodzaje danych osobowych:
a. kategoria: Beneficjenci Usługi zapewnianej przez Administratora; rodzaj danych osobowych: imię, i nazwisko, miejsce odbioru beneficjenta, miejsce docelowe transportu beneficjenta, numer telefonu;
dalej określane jako „Dane osobowe”.
2. Cel powierzenia przetwarzania Danych osobowych wynika bezpośrednio i ogranicza się do zadań lub usług wynikających z Umowy głównej.
3. Powierzone Dane osobowe przetwarzane będą przez Podmiot przetwarzający w formie papierowej w sposób zapewniający należyte wykonanie Umowy głównej a Podmiot przetwarzający zobowiązany jest, w szczególności do dokonywania następujących operacji przetwarzania Danych osobowych: zbieranie, przechowywanie, przekazanie Administratorowi (charakter przetwarzania).
4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
5. Podmiot przetwarzający oświadcza, iż stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu Rozporządzenia, które zapewniają bezpieczeństwo powierzonych do przetwarzania Danych osobowych.
6. Podmiot przetwarzający oświadcza, że powierzone mu do przetwarzania Dane osobowe przetwarzane będą wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.
§ 2
Obowiązki Procesora
1. Podmiot przetwarzający zapewnia, że wdrożył odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem powierzonych mu Danych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Procesor przetwarza Dane osobowe wyłącznie na udokumentowane polecenie Administratora, którym jest Umowa główna oraz Umowa powierzenia, co nie wyklucza składania przez Administratora poleceń Podmiotowi przetwarzającemu z uwzględnieniem jednak powyższych dokumentów.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu
powierzonych Danych osobowych.
4. Podmiot przetwarzający zobowiązuje się, że jego pracownicy lub współpracownicy (w szczególności pracownicy etatowi, osoby świadczące czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Podmiotu przetwarzającego), którzy będą przetwarzać Dane osobowe w związku z Umową powierzenia, będą działać na podstawie wyraźnego pisemnego upoważnienia do przetwarzania danych osobowych, w granicach określonych niniejszą Umową powierzenia oraz że zostaną dopuszczeni do przetwarzania Danych osobowych jedynie po przeszkoleniu ich z zakresu ochrony danych osobowych. Podmiot przetwarzający oświadcza, że dostęp do Danych osobowych będą miały jedynie osoby, dla których dostęp ten jest niezbędny do wykonania usług określonych w Umowie głównej.
5. Podmiot przetwarzający zapewnia, że osoby upoważnione do przetwarzania Danych osobowych zostaną zobowiązane do zachowania tajemnicy i złożą pisemne oświadczenie w zakresie przyjęcia na siebie tego obowiązku zarówno w trakcie ich zatrudnienia (współpracy) w Podmiocie przetwarzającym, jak i po jego ustaniu.
6. Podmiot przetwarzający zobowiązuje się wspierać Administratora danych, także przez stosowanie odpowiednich środków technicznych i organizacyjnych, przy spełnieniu żądań osób, których Dane osobowe – powierzone do przetwarzania Procesorowi – dotyczą, a które związane są z realizacją praw osób fizycznych określonych w Rozporządzeniu.
7. Podmiot przetwarzający zobowiązuje się współpracować i udzielać wszelkiej pomocy Administratorowi w celu wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
8. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem Danych osobowych na podstawie Umowy głównej, nie później niż w terminie 7 dni zwróci Administratorowi danych wszelkie powierzone mu Dane osobowe i usunie wszelkie ich istniejące kopie lub dokona ich zniszczenia – adekwatnie do woli Administratora, chyba że prawo Unii lub prawo Państwa Członkowskiego nakazują przechowywanie danych osobowych, o czym Podmiot
przetwarzający poinformuje Administratora. Niniejszy ustęp stosuje się również do podmiotów, którym zostały dalej powierzone dane osobowe.
§ 3
Prawo nadzoru i kontroli
1. Podmiot przetwarzający jest zobowiązany do udostępnia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków ciążących na Administratorze oraz na Podmiocie przetwarzającym na mocy właściwych przepisów prawa. Podmiot przetwarzający zobowiązuje się na każde żądanie do umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i jednocześnie przyczynia się do nich.
2. W ramach czynności nadzorczych i kontrolnych Administrator danych jest uprawniony do wydawania Podmiotowi przetwarzającemu pisemnych poleceń odnośnie sposobu wykonania Umowy powierzenia danych. Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych
§ 4
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć Dane osobowe do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy głównej i jedynie po uzyskaniu uprzedniej pisemnej szczegółowej zgody Administratora danych. Lista aktualnych podmiotów, którym Podmiot przetwarzający podpowierza przetwarzanie danych osobowych została dołączona poniżej.
2. Podmiot przetwarzający nie będzie przekazywał Danych osobowych poza Europejski Obszar
Gospodarczy, chyba że uzyska w tym zakresie uprzednią pisemną zgodę Administratora.
3. Podmiot przetwarzający gwarantuje, że:
a. podwykonawca (podmiot, któremu powierzono dalej przetwarzanie Danych osobowych) daje te same gwarancje i spełnia obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie powierzenia oraz
b. Administratorowi przysługują takie same uprawnienia względem podwykonawcy, jakie przysługują mu względem Podmiotu przetwarzającego na mocy Umowy powierzenia.
§ 5
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający ponosi pełną odpowiedzialność względem Administratora za nienależyte wykonanie Umowy powierzenia.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, czynnościach sprawdzających, zapytaniach lub żądaniach osób, których Dane osobowe dotyczą.
§ 6
Czas obowiązywania Umowy powierzenia
1. Niniejsza Umowa powierzenia zostaje zawarta na czas realizacji Umowy głównej, przy czym rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy głównej powoduje jednoczesne odpowiednio rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy powierzenia bez konieczności składania przez Strony dodatkowych oświadczeń w tym zakresie, chyba że Strony postanowią inaczej, z zastrzeżeniem postanowień poniższych.
2. Administrator jest uprawniony do rozwiązania Umowy powierzenia ze skutkiem natychmiastowym w przypadku:
a. dokonywania przez Procesora przetwarzania Danych osobowych w celu lub w sposób inny niż określony w Umowie;
b. korzystania przez Procesora, w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych, z usług podwykonawcy bez zgody Administratora lub wbrew sprzeciwowi Administratora;
c. niezastosowanie się przez Procesora do zaleceń pokontrolnych Administratora w wyznaczonym przez Administratora terminie.
3. Strony zgodnie postanawiają, że rozwiązanie Umowy powierzenia w przypadkach określonych w ust. 2 powyżej powoduje jednoczesne rozwiązanie Umowy głównej z winy Procesora bez konieczności składania dodatkowych oświadczeń, chyba że co innego wynika z oświadczenia o wypowiedzeniu Umowy powierzenia złożonego przez Administratora.
§ 7
Naruszenie ochrony Danych osobowych
1. W przypadku wykrycia jakiejkolwiek sytuacji, która mogłaby stanowić naruszenie ochrony Danych
osobowych Podmiot przetwarzający zobowiązany jest w szczególności niezwłocznie, lecz nie
później niż w ciągu 24 godzin od wykrycia takiej sytuacji, poinformować o tym Administratora; zgłoszenie będzie zawierać: (1) opis okoliczności zdarzenia, które może stanowić naruszenie ochrony Danych osobowych oraz jego ustalonych lub podejrzewanych przyczyn; (2) opis charakteru naruszenia ochrony Danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których Dane osobowe dotyczą; (3) opis możliwych konsekwencji naruszenia ochrony Danych osobowych; (4) opis zastosowanych przez Podmiot przetwarzający środków zaradczych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony Danych osobowych,
2. Informacja winna być przekazana Inspektorowi Ochrony Danych działającemu u Administratora danych – na aktualny adres e-mail: xxxxxxxxx@xxxxxxxxxxx.xx – oraz na adres e-mail osoby, która odpowiada za Umowę główną ze strony Administratora. Podmiot przetwarzający zobowiązany jest telefonicznie potwierdzić otrzymanie informacji przez Administratora. Administrator zobowiązuje się poinformować Podmiot przetwarzający o zmianie danych do kontaktu, w tym adresów elektronicznych, na które należy zgłaszać naruszenia ochrony danych.
§ 8
Postanowienia końcowe
1. Osoby reprezentujące Strony podczas podpisywania Umowy głównej i Umowy powierzenia oświadczają, że dysponują informacjami, które wynikają z Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się do poinformowania - osób, których dane zostały podane w Umowie powierzenia oraz w Umowie głównej, że ich dane osobowe zostały przekazane Administratorowi zgodnie z treścią Załącznika do Umowy powierzenia.
3. Umowa powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym
dla każdej ze Stron.
4. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia oraz innych obowiązujących przepisów prawa.
5. W wypadku, gdyby któreś z postanowień Umowy powierzenia ew. przyszłych postanowień dołączonych do niniejszej Umowy powierzenia, okazało się w całości lub w części nieskuteczne lub niemożliwe do zrealizowania, skuteczność pozostałych postanowień pozostaje nienaruszona. Powyższe dotyczy także ewentualnych luk w uregulowaniach Umowy powierzenia.
6. Wszelkie spory pomiędzy Stronami będą rozstrzygane polubownie. W przypadku braku osiągnięcia porozumienia, ostateczny spór pomiędzy Stronami zostanie rozstrzygnięty przez właściwy sąd powszechny dla siedziby Administratora danych.
W imieniu Administratora danych: W imieniu Podmiotu przetwarzającego:
Załącznik do umowy powierzenia przetwarzania danych – Lista podmiotów, którym Podmiot przetwarzający powierzył dalej przetwarzanie danych osobowych