UMOWA PRZETWARZANIA DANYCH OSOBOWYCH W IMIENIU ADMINISTRATORA
UMOWA PRZETWARZANIA DANYCH OSOBOWYCH W IMIENIU ADMINISTRATORA
zawarta w Gdyni w dniu 2019 roku
Pomiędzy:
Sądem Rejonowym w Gdyni Xx. Xxxxxxxxxxx 0 …………………..
reprezentowanym przez
SSR Xxxxxx Xxxxxx Prezesa Sądu Rejonowego w Gdyni oraz
Xxxxxxx Xxxxxxxxxxxxxxx Dyrektora Sądu Rejonowego w Gdyni zwanym dalej Administratorem
a
…………………………………………………………………………………………………………………………………………….. Reprezentowanym przez
…………………………………………………………………………………………………………………………………………….. zwanym dalej Podmiotem Przetwarzającym
zwanymi dalej Stronami
W związku z zawarciem pomiędzy Stronami umowy nr ………….. z dnia na realizację usługi
polegającej na utworzeniu i prowadzeniu punktu kasowego oraz realizacji usługi polegającej na obsłudze kasowej Sądu Rejonowego w Gdyni tj. w szczególności:
a) przyjmowaniu wpłat sądowych
b) realizowaniu wypłat sądowych
c) dystrybucji eZnaków opłaty sądowej
d) realizowanie płatności przy użyciu kart płatniczych
Zwanej dalej Umową Główną Strony postanawiają zawrzeć niniejszą umowę
§1
1. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni przepisom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
(Dz.Urz. UE L 119, s. 1) – dalej RODO oraz przepisom Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2018 r. poz. 1000) – dalej zwaną ustawą.
2. Na podstawie niniejszej Umowy Powierzenia Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych zawartych w aktach postępowań sądowych w zakresie określonym w Umowie Głównej
3. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów powszechnie obowiązującego prawa, tzn.: Art. 175 db Ustawy z dnia 27 lipca 2001
r. Prawo o ustroju sądów powszechnych oraz Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (dalej: RODO) oraz przetwarza Dane Osobowe w oparciu o istniejące podstawy prawne określone w art. 6 i art. 9 RODO
4. Podmiot Przetwarzający oświadcza, że w ramach prowadzonej działalności gospodarczej profesjonalnie zajmuje się przetwarzaniem danych osobowych w zakresie objętym Umową Główną, posiada w tym zakresie niezbędną wiedzę, w szczególności znana jest mu treść obowiązujących przepisów w zakresie ochrony danych osobowych, posiada odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, oraz daje rękojmię należytego wykonania niniejszej Umowy.
5. Podmiot Przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniając wymogi Rozporządzenia i będzie przetwarzać powierzone dane osobowe wyłącznie na potrzeby realizacji Umowy Głównej
§2
Przetwarzanie obejmować będzie następujące kategorie danych osobowych:
1. Dane płatników
2. Oznaczenia spraw sądowych
3. Dane finansowe
4. Dane transakcyjne Zakres przetwarzania danych:
Dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji umowy nr ……………………………. z dnia ……………………………….
§3
1. Podmiot Przetwarzający może powierzyć konkretne operacje przetwarzania Danych („podpowierzenie”) wyłącznie w celu wykonania Umowy w drodze pisemnej umowy podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym („Podprzetwarzającym”), jedynie pod warunkiem uprzedniej pisemnej akceptacji przez Administratora.
2. W razie braku akceptacji dla Podpowierzenia Podmiot Przetwarzający nie ma prawa powierzyć Danych Podprzetwarzającemu.
3. Dokonując uzgodnionego z Administratorem podpowierzenia Podmiot Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia. Podmiot, któremu powierzono dane do dalszego przetwarzania, winien spełniać te same gwarancje jak Podmiot Przetwarzający.
§ 4
Podmiot Przetwarzający ma następujące obowiązki:
1. Podmiot Przetwarzający przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora.
2. Podmiot Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy).
3. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych, do których będzie miał dostęp w związku z wykonywaniem Umowy Podstawowej, a także sposobów zabezpieczenia tych danych, zarówno w trakcie trwania niniejszej umowy, jak i po jej wygaśnięciu lub rozwiązaniu.
4. Podmiot Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania Danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy, zarówno w trakcie zatrudnienia ich lub współpracy z nimi, jak i po jego ustaniu współpracy i zatrudnienia
5. Podmiot Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.
6. Podmiot Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
7. Jeżeli Podmiot Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
8. Planując dokonanie zmian w sposobie przetwarzania Danych, Podmiot Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą
uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania Danych przez Przetwarzającego.
9. Podmiot Przetwarzający zobowiązuje się do ograniczenia dostępu do Danych Osobowych wyłącznie do osób, których dostęp do Danych jest potrzebny dla realizacji Umowy Głównej i posiadających odpowiednie upoważnienie.
10. Podmiot Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania Danych, w tym rejestru czynności przetwarzania danych osobowych (wymóg art. 30 RODO). Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego.
§ 5
1. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich obowiązków.
§ 6
1. Podmiot Przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony Danych osobowych bezzwłocznie, nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
2. Podmiot Przetwarzający zobowiązuje się do niezwłocznego, nie później niż w ciągu 48 h poinformowanie Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych określonych w umowie, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych.
3. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
§7
1. Administrator ma prawo kontrolować sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Podmiotu Przetwarzającego o planowanej kontroli z co najmniej 7 dniowym wyprzedzeniem. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe oraz wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych, oraz udostępnienia rejestrów przetwarzania.
2. Podmiot Przetwarzający:
a) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
b) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.
§ 8
1. Podmiot Przetwarzający odpowiada za wszelkie szkody spowodowane swoim działaniem lub zaniechaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
2. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Podmiocie Przetwarzającym.
3. W przypadku gdyby jakakolwiek osoba fizyczna lub jakikolwiek inny podmiot, wystąpiły z roszczeniami wobec Administratora z tytułu naruszenia ich praw przez Podmiot Przetwarzający lub Podprzetwarzającego, Podmiot Przetwarzający w szczególności:
a) wstąpi do postępowania sądowego wszczętego przeciwko Administratorowi,
b) zapewni należytą ochronę interesów Administratora,
c) zwolni Administratora z wszelkich zobowiązań z tytułu naruszenia praw przysługujących osobie fizycznej na mocy rozporządzenia,
d) w przypadku gdy Administrator wykonał obowiązki nałożone przez sądy lub organy nadzoru ochrony danych osobowych - zwróci Administratorowi kwotę zapłaconych odszkodowań, kar lub innych należności,
e) zwolni Administratora od odpowiedzialności w stosunku do takich osób trzecich,
f) zwróci Administratorowi wszelkie poniesione koszty związane z wystąpieniem przeciwko Administratorowi osób trzecich z tytułu naruszenia praw osób fizycznych.
§9
1. Niniejsza umowa obwiązuje od dnia i wygasa automatycznie z chwilą wygaśnięcia z
jakiejkolwiek przyczyny stosunku prawnego wynikającego Umowy Głównej, o której mowa w pkt. 1 niniejszej umowy i bez względu na tryb tego wygaśnięcia.
2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego.
3. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Podmiot Przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową w szczególności nie zapewniając ich bezpieczeństwa i w celu innym niż powierzone
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez pisemnej zgody Administratora;
d) naruszył inne zobowiązania wynikające z niniejszej umowy lub Umowy Podstawowej, które wiążą się z ochroną danych osobowych
§10
1. Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych i jest zobowiązany do:
a) usunięcia Danych ze wszystkich posiadanych nośników (lub zwrotu Danych);
b) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie Danych;
c) usunięcia wszelkich informacji mogących posłużyć do odtworzenia w całości lub w części powierzonych Danych
- po upływie 14 dni od wygaśnięcia lub rozwiązania Umowy z jakiegokolwiek tytułu, co potwierdzone zostanie protokołem zniszczenia lub pisemnym oświadczeniem Przetwarzającego.
§11
1. Administrator ma prawo do dochodzenia od Przetwarzającego odszkodowania przypadku, gdy poniesie straty spowodowane nienależytym wykonaniem zadań objętych niniejszą umową.
§12
1. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.
2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
3. Wszelkie zmiany niniejszej umowy, wymagają zachowania formy pisemnej pod rygorem nieważności. Formy pisemnej pod rygorem nieważności wymagają również wszelkie oświadczenia woli stron kierowane w ramach niniejszej umowy.
4. Oświadczenia stron będą doręczane na adresy wskazane w komparycji niniejszej umowy ze skutkiem uznania ich za doręczone. O wszelkich zmianach adresów wskazanych w komparycji
strony zobowiązane są wzajemnie się informować pod rygorem uznania korespondencji kierowanej na dotychczasowy adres za skutecznie doręczoną.
5. Ewentualne spory wynikłe na tle Umowy będą rozstrzygane w drodze negocjacji polubownych, a dopiero po wyczerpaniu takiej możliwości na drodze sądowej, przy czym postanowienie niniejsze nie stanowi zapisu na sąd polubowny. W razie bezskuteczności negocjacji polubownych, strony oddadzą sprawę pod rozstrzygnięcie sądu powszechnego, przy czym Sądem wyłącznie właściwym będzie sąd powszechny właściwy dla siedziby Administratora.
ADMINISTRATOR PODMIOT PRZETWARZAJĄCY
……………………………………… ………………………………………
Prezes Sądu
……………………………………….
Dyrektor Sądu