Umowa powierzenia danych osobowych do przetwarzania zawarta w dniu ………….. 2021 r.

Umowa powierzenia danych osobowych do przetwarzania

zawarta w dniu ………….. 2021 r.

pomiędzy:

Gminą Xxxxxx, Xxxx Xxxxxxxx 0, 00-000 Xxxxxx, NIP: 8471586073, REGON 790671277,

reprezentowaną przez: Xxxxxx Xxxxxxxx – Burmistrza

zwanym w treści Umowy „Administratorem”,

a

………………………………

zwanym w treści Umowy „Procesorem” lub „Przetwarzającym”,

w dalszej części Umowy Administrator i Procesor są nazywani łącznie „Stronami” lub każde oddzielnie „Stroną”.

§ 1

Przedmiot Umowy, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą

  1. Umowa ma charakter umowy powierzenia danych osobowych w rozumieniu art. 28 ust. 1 i 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnie rozporządzenie o ochronie danych; Dz.U. UE. L. 2016, poz. 119.1), zwanego w dalszej części Umowy jako: „Rozporządzenie”.

  2. Procesor uprawniony jest do przetwarzania danych osobowych uczniów w celu wykonania umowy z dnia …………………. 2021 r. w zakresie świadczenia usługi transportowej w zakresie dowożenia uczniów niepełnosprawnych zamieszkałych na terenie Gminy Olecko z domu do szkoły i z powrotem wraz z zapewnieniem im opieki w czasie dowożenia w okresie od 1 września 2021 r. do 24 czerwca 2022 r.

  3. Przetwarzanie dotyczyć będzie danych zwykłych uczniów oraz ich rodziców. Przetwarzane dane: Xxxx i nazwisko ucznia, adres zamieszkania, nr telefonu rodzica.

  4. Przetwarzanie danych odbywać się będzie za pośrednictwem e-mail lub poczty tradycyjnej.

§ 2

Czas trwania Umowy

  1. Umowa zostaje zawarta na czas określony tj. na czas trwania umowy, o której mowa w § 1 ust. 2.

  2. Procesor nie ma prawa do wykorzystywania zgromadzonych na podstawie niniejszej Umowy danych osobowych w jakimkolwiek celu po jej rozwiązaniu, niezależnie od podstawy takiego rozwiązania.

§ 3

Warunki powierzenia danych osobowych do przetwarzania

  1. Procesor przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora oraz:

  1. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  2. podejmuje odpowiednie środki techniczne oraz organizacyjne, mające na celu zapewnienia bezpieczeństwa danych osobowych;

  3. nie korzysta z usług innego podmiotu przetwarzającego, bez uprzedniej pisemnej zgody Administratora;

  4. w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 12-23 Rozporządzenia;

  5. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia;

  6. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora kasuje wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, w tym również te, zawarte na nośnikach danych, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Procesor informuje Administratora o skasowaniu danych;

  7. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwia Administratorowi (lub upoważnionemu przez niego audytorowi) przeprowadzenie audytów, w tym inspekcji i przyczynia się do nich.

  1. Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Procesora, te serwery i nośniki nie mogą znajdować się poza obszarem Unii Europejskiej i Europejskiego Obszaru Gospodarczego.

  2. Procesor zobowiązuje się do każdorazowego i niezwłocznego (nie później niż 24h od zaistnienia incydentu) informowania Administratora o przypadkach naruszenia przepisów prawa dotyczących ochrony powierzonych danych osobowych, w tym w szczególności przepisów Rozporządzenia, zaistniałych w okresie obowiązywania niniejszej Umowy.

  3. W przypadku stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 Rozporządzenia, Procesor zgłasza je Administratorowi bez zbędnej zwłoki, nie później niż 24h od zaistnienia incydentu. Zgłoszenie naruszenia ochrony danych osobowych Administratorowi powinno nastąpić w formie pisemnej lub elektronicznej.

  4. Na wypadek zawinionego naruszenia przez Procesora zasad przetwarzania danych osobowych (określonych w przepisach powszechnie obowiązującego prawa, Rozporządzenia oraz niniejszej Umowy), skutkującego zobowiązaniem Administratora na mocy prawomocnego orzeczenia sądu, ugody sądowej bądź porozumienia mediacyjnego do wypłaty odszkodowania, zadośćuczynienia lub kary pieniężnej, Procesor zobowiązuje się zrekompensować Administratorowi udokumentowane straty z tego tytułu w pełnej wysokości. Zobowiązanie Procesora, o którym mowa powyżej, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia przez osoby trzecie z roszczeniem wobec Administratora z podaniem podstaw prawnych i faktycznych, w terminie 3 dni od daty dowiedzenia się Administratora o takim roszczeniu.

  5. Procesor zwolniony z odpowiedzialności za szkody spowodowane przetwarzaniem przez niego danych naruszającym przepisy prawa, jeżeli nie można mu przypisać winy za zdarzenie, które doprowadziło do powstania szkody.

  6. Procesor zapewnia, że dane osobowe nie będą udostępniane jego pracownikom i zleceniobiorcom przed podpisaniem przez nich oświadczeń lub umów o zachowaniu poufności. Zachowanie poufności nie ustaje po rozwiązaniu lub wygaśnięciu stosunku pracy lub umowy cywilnoprawnej, niezależnie od przyczyny tego rozwiązania lub wygaśnięcia.

  7. Procesor zobowiązuje się do monitorowania i stosowania przepisów prawa powszechnie dostępnych wskazówek i zaleceń organu nadzorczego oraz unijnych organów doradczych, zajmujących się ochroną danych osobowych, w zakresie przetwarzania powierzonych mu danych, po uprzednim uzgodnieniu wpływu tych regulacji na przetwarzanie danych z Administratorem.

§ 4

Kontrola przetwarzania danych powierzonych

  1. Administrator przez cały okres obowiązywania Umowy jest uprawniony do kontroli poprawności zabezpieczenia i przetwarzania danych powierzonych Procesorowi. Kontrola może zostać przeprowadzona x.xx. w formie bezpośredniej inspekcji polegającej na dopuszczeniu przedstawicieli Administratora do wszystkich obszarów przetwarzania danych osobowych objętych niniejszą Umową we wszystkich lokalizacjach Procesora, w sposób nieutrudniający nadmiernie jego bieżącej działalności. Procesor zobowiązany jest do przedstawienia odpowiednich dokumentów do kontroli oraz wyjaśnień na piśmie na każde wezwanie Administratora. Postanowienie zawarte w zdaniu poprzedzającym nie uchybia obowiązkowi zachowania tajemnicy zawodowej radcy prawnego oraz adwokata.

  2. W przypadku, gdy kontrola, o której mowa w ust. 1, wykaże jakiekolwiek nieprawidłowości Administrator ma prawo żądać od Procesora niezwłocznego wdrożenia zaleceń Administratora wynikających z ustaleń pokontrolnych. Zalecenia te przedstawiane będą w formie ustnej, pisemnej lub elektronicznej.

§ 5

Powierzenie danych

Powierzając przetwarzanie danych osobowych innym podmiotom, Procesor jest obowiązany zapewnić w dalszej umowie powierzenia spełnienie przez ten podmiot wszelkich wymogów w zakresie ochrony danych osobowych na poziomie, co najmniej takim samym jak przewidziany w niniejszej Umowie.

§ 6

Poufność

  1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych, informacji i materiałów przekazanych lub udostępnionych mu lub o których wiedzę powziął w związku z realizacją Umowy, a także powstałych w wyniku jej wykonania informacji i materiałów w formie pisemnej, graficznej lub jakiejkolwiek innej formie. Informacje i materiały są objęte tajemnicą, nie mogą być bez uprzedniej pisemnej zgody Administratora udostępniane jakiejkolwiek osobie trzeciej, ani też ujawnione w inny sposób, chyba że w dniu ich ujawnienia były powszechnie znane albo muszą być ujawnione zgodnie z powszechnie obowiązującymi przepisami prawa, orzeczeniem sądu lub organu państwowego.

  2. Procesor zapewnia, że osoby upoważnione do przetwarzania danych osobowych będą obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Obowiązek zachowania tajemnicy nie ustaje po zaprzestaniu przetwarzania danych z jakiejkolwiek podstawy. Przepis § 3 ust. 6 Umowy stosuje się odpowiednio.



§ 7

Współpraca stron

  1. Strony ustalają, że podczas realizacji Umowy powierzenia będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonie powierzenia danych osobowych.

  2. Strony będą dokonywały uzgodnień i podejmowały decyzje operacyjne poprzez swoich przedstawicieli odpowiedzialnych za realizację Umowy w formie ustnej, pisemnej lub elektronicznej.

  3. Strony zobowiązują się, że wszelkie decyzje dotyczące polubownego zakończenia sporu z osobą fizyczną na skutek naruszenia ochrony jej danych osobowych, w szczególności fakt i wysokość wypłaty ewentualnego odszkodowania, podejmą wspólnie.

§ 8

Wypowiedzenie umowy

  1. Każdej ze Stron przysługuje uprawnienie do rozwiązania Umowy z zachowaniem miesięcznego terminu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego, w którym oświadczenie o wypowiedzeniu zostało doręczone drugiej stronie.

  2. Administrator ma prawo wypowiedzieć Umowę z trybie natychmiastowym, w przypadku rażącego naruszenia postanowień Umowy przez Procesora, który:

  1. wykorzystał dane osobowe w sposób niezgodny z Umową, w szczególności przetwarzał je dla własnych celów lub celów innych podmiotów, a także celów niezgodnych z powszechnie obowiązującymi przepisami prawa lub postanowieniami niniejszej Umowy;

  2. wykonuje Umowę niezgodnie z obowiązującymi w tym zakresie przepisami prawa lub instrukcjami Administratora w tym zakresie;

  3. nie zaprzestał niewłaściwego przetwarzania danych osobowych mimo xxxxxxxxxxx xxxxxxxx Administratora do usunięcia naruszeń i bezskutecznego upływu wyznaczonego terminu 14 dni na zaniechanie naruszeń.

§ 9

Postanowienia końcowe

  1. Z tytułu wykonywania niniejszej Umowy Procesorowi nie przysługuje dodatkowe wynagrodzenie.

  2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

  3. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.

  4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.







............................................................. .............................................................

(Administrator) (Procesor)

Document Metadata

Filed: July 6th, 2021