Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową powierzenia”)
Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową powierzenia”)
stanowiąca uzupełnienie Umowy nr ……………….. z dnia zawartej w Gdańsku
pomiędzy:
Pomorskim Ośrodkiem Ruchu Drogowego w Gdańsku z siedziba w Xxxxxxx, xx. Xxxxx 00/00, 00 – 000 Xxxxxx, numer NIP: 000-00 00-000, numer REGON: 191474505
zwanym w dalszej części umowy „Administratorem” reprezentowana przez:
……………………………………………………………………………… a
………………………………………………………………………………………………….., zwaną w dalszej części umowy „Podmiotem przetwarzającym” reprezentowaną przez:
…………………………………………………………………………………….
zwanymi dalej łącznie „Stronami” lub pojedynczo „Stroną” o następującej treści:
§1
Powierzenie przetwarzania danych osobowych
1. W celu wykonania Umowy nr ……………………. z dnia ……………………… r. przez Podmiot przetwarzający na rzecz Administratora (zwanej dalej „Umową”) zawartej pomiędzy wyżej wymienionymi Stronami, Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie powierzenia.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§2
Zakres i cel przetwarzania danych
1. Administrator danych oświadcza, iż powierza Podmiotowi przetwarzającemu do przetwarzania na podstawie Umowy powierzenia następujące dane osobowe:
a) użytkowników urządzeń, programów oraz systemów, na rzecz których są świadczone usługi informatyczne w zakresie danych użytkownika, jego uprawnień oraz historii wykonywanych działań;
b) osób, których dane są przetwarzane w ramach hostingowanych przez Zleceniodawcę usług, w celu przechowywania tych danych, tworzenia i odzyskiwania kopii zapasowych, czynności niezbędnych do zapewnienia poufności, integralności oraz dostępności danych;
c) osób, których dane znajdują się w urządzeniach użytkowników oraz systemach informatycznych Administratora, w zakresie niezbędnym do zrealizowania wsparcia technicznego.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonania Umowy.
3. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się do czynności koniecznych do wykonania Umowy.
§3
Sposób wykonania Umowy powierzenia w zakresie przetwarzania danych osobowych
1. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zapewnić, aby powierzone dane osobowe przetwarzały wyłącznie osoby, którym nadano upoważnienie do przetwarzania danych osobowych w celu realizacji niniejszej umowy.
3. Podmiot przetwarzający zobowiązuje się zapewnić (zgodnie z art. 28 ust 3 pkt b Rozporządzenia), aby osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy powierzenia, zobowiązały się do zachowania tajemnicy co do tych danych, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
4. Uwzględniając charakter przetwarzania danych osobowych oraz dostępne Podmiotowi przetwarzającemu informacje, pomaga on Administratorowi danych wywiązać się z obowiązków dotyczących bezpiecznego przetwarzania, zgłaszania naruszeń ochrony danych osobowych organowi nadzoru, zawiadomienia osoby, której dane osobowe dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych osobowych, uprzednich konsultacji z organem nadzorczym, wskazanym Rozporządzeniu.
5. Podmiot przetwarzający stosuje w celu przetwarzania powierzonych mu danych osobowych środki techniczne i organizacyjne (w rozumieniu art. 32 Rozporządzenia) adekwatne do rodzaju powierzonych mu danych osobowych, zgodnie z opisem tych danych dokonanym przez Administratora danych w § 2 ust. 1 powyżej.
§4.
Obowiązki Administratora
1. Wszelkie instrukcje dotyczące przetwarzania danych osobowych zgodnie z niniejszą Umową powierzenia będą przekazywane Podmiotowi przetwarzającemu. W przypadku, gdy Administrator danych udzieli instrukcji bezpośrednio Podwykonawcy, Administrator danych niezwłocznie powiadomi o tym fakcie Podmiot przetwarzający. Podmiot przetwarzający nie ponosi odpowiedzialności za jakiekolwiek przetwarzanie wykonane przez Podwykonawcę zgodnie z takimi instrukcjami, jeżeli instrukcje te nie są zgodne z zasadami przetwarzania danych osobowych przyjętymi w niniejszej Umowie Powierzenia. Przekazanie instrukcji następuje w formie wiadomości e-mail, chyba że przepis prawa wymaga zachowania formy szczególnej.
§5
Podpowierzenie
1. Podmiot przetwarzający może powierzyć powierzone mu dane osobowe do dalszego przetwarzania innym podmiotom przetwarzającym (zwanych dalej „Podwykonawcami”) jedynie w celu wykonania Umowy. Podmiot przetwarzający jest zobowiązany poinformować Administratora danych o każdym planowanym dalszym powierzeniu przetwarzania danych osobowych oraz o wszelkich zamierzonych zmianach dotyczących Podwykonawców, w szczególności o zastąpieniu dotychczasowego Podwykonawcy przez innego Podwykonawcę lub o rezygnacji z usług Podwykonawcy. Powiadomienia, o którym mowa w zdaniu poprzednim, mogą być dokonywane – według wyboru Podmiotu przetwarzającego – w formie wiadomości elektronicznej skierowanej do Administratora danych lub ogólnego komunikatu na stronie internetowej Podmiotu przetwarzającego. Po otrzymaniu powiadomienia, o którym mowa w zdaniach poprzednich, Administrator danych jest uprawniony zgłosić sprzeciw co do podpowierzenia danych osobowych. Administrator przyjmuje do wiadomości, iż zgłoszenie sprzeciwu może skutkować niemożnością wykonania Umowy, a w konsekwencji prowadzić do rozwiązania Umowy przez Podmiot przetwarzający z przyczyn leżących po stronie Administratora danych.
2. Podmiot przetwarzający oświadcza, że powierzenie przetwarzania danych osobowych Podwykonawcom uregulowane zostanie w stosownych umowach powierzenia, zakres powierzonych do przetwarzania danych osobowych i dopuszczalnych czynności przetwarzania przez Podwykonawców będzie adekwatny do określonego w niniejszej Umowie powierzenia celu powierzenia danych, oraz nie będzie wykraczał poza Umowę powierzenia oraz Umowy, a Podwykonawcy będą stosowali środki techniczne i organizacyjne zapewniające wystarczający poziom ochrony powierzonych danych osobowych. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za działania lub zaniechania Podwykonawców.
§6
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy powierzenia, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je Administratorowi danych w formie wiadomości elektronicznej, niezwłocznie, nie później jednak niż w ciągu 48 godzin od stwierdzenia naruszenia ochrony danych osobowych.
3. Podmiot przetwarzający nie ponosi odpowiedzialności za brak zgodności zastosowanych środków technicznych i organizacyjnych do rodzaju powierzonych mu na podstawie niniejszej Umowy powierzenia danych osobowych, jeśli środki te są zgodne z rodzajem danych osobowych zadeklarowanym przez Administratora danych w § 2 ust. 1 powyżej. W razie stwierdzenia w toku wykonania Umowy powierzenia, iż zachodzi wzmiankowany brak zgodności, Podmiot przetwarzający niezwłocznie (nie później niż w ciągu 48 godzin od stwierdzenia niezgodności) powiadamia o tym fakcie Administratora danych wzywając go jednocześnie do właściwego określenia rodzaju przetwarzanych danych. Administrator danych jest zobowiązany do zajęcia stanowiska w tym przedmiocie w terminie kolejnych 48 godzin od otrzymania powiadomienia. Do czasu dokonania przez Administratora danych odpowiedniej korekty informacji o rodzaju powierzonych danych osobowych, Podmiot przetwarzający może powstrzymać się od dalszego przetwarzania danych osobowych, jak również od świadczenia usług określonych w Umowie. Jeśli w powyższym terminie 48 godzin Administrator danych nie dokona korekty w zakresie określenia rodzaju powierzanych danych osobowych, Podmiot przetwarzający może wezwać Administratora danych do dokonania tej korekty wyznaczając mu w tym celu dodatkowy 48-godzinny termin. W razie bezskutecznego upływu tego terminu, Podmiot przetwarzający może rozwiązać Umowę powierzenia oraz Umowę bez zachowania okresu wypowiedzenia z winy Administratora danych. Korespondencja Stron w sprawach określonych w niniejszym ustępie może być prowadzona w formie elektronicznej. Powyższe nie dotyczy ewentualnych oświadczeń o rozwiązaniu Umowy powierzenia i Umowy, których formę określają odrębne postanowienia tych umów.
4. Procedurę postępowania oraz sankcje określone w ust. 3 stosuje się odpowiednio również w razie stwierdzenia przez Podmiot przetwarzający naruszenia przez Administratora danych postanowień §3a ust. 1 lub 2.
§7
Czas obowiązywania Umowy Powierzenia
1. Z zastrzeżeniem zdania drugiego, Umowa powierzenia obowiązuje w okresie trwania Umowy i wchodzi w życie z dniem zawarcia niniejszej Umowy powierzenia przez Strony.
2. Administrator danych osobowych jest uprawniony do rozwiązania Umowy powierzenia ze skutkiem natychmiastowym w przypadku, gdy:
a) zostanie stwierdzone prawomocną decyzją administracyjną lub prawomocnym wyrokiem sądu, że Podmiot przetwarzający naruszył zasady ochrony danych osobowych, o których mowa w Umowie powierzenia,
b) Podmiot przetwarzający rażąco i wielokrotnie narusza istotne zasady przetwarzania danych osobowych określone w Umowie powierzenia oraz w Rozporządzeniu.
3. W przypadku rozwiązania Umowy powierzenia rozwiązaniu ulega Umowa.
§8
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy powierzenia lub Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy powierzenia lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§9
Postanowienia końcowe
1. Zasady wykonywania prawa do kontroli i nadzoru określono w Polityce prywatności dostępnej na stronie internetowej Podmiotu przetwarzającego.
2. W sprawach nieuregulowanych Umową powierzenia zastosowanie będą miały przepisy Rozporządzenia oraz obowiązujące przepisy prawa polskiego.
3. Dane kontaktowe Stron (w tym adresy pocztowe i elektroniczne do doręczeń) określa Umowa.
4. Wszelkie zmiany Umowy powierzenia, oświadczenia i porozumienia o jej rozwiązaniu, dokonywane będą w formie pisemnej pod rygorem nieważności.
5. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy powierzenia będzie sąd właściwy dla powoda.
………………………………………………… ………………………………………………
(Administrator) (Podmiot przetwarzający)