Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu ………………………….…. roku, w pomiędzy:
1. ………………………………………………………………………………………………….………………… NIP…….………..……..., REGON …………..……..…..,
reprezentowanym przez: ……………………………………………………………………….
zwanym dalej Zamawiającym, a
2. ………………………………………………………………………………………………….………………… NIP…….………..……., REGON …………..……..,
reprezentowanym przez: …………………………………………………………………………
zwanym dalej Wykonawcą. Łącznie zwanych „Stronami”
Zważywszy, że:
Strony zawarły umowę (zwaną dalej „Umową główną”), której przedmiotem jest „Odbiór, transport i zagospodarowanie odpadów komunalnych zebranych w Punkcie Selektywnego Zbierania Odpadów Komunalnych w Skórczu przy ul. Spacerowej 13” na rzecz Zamawiającego,
usługi świadczone przez Wykonawcę w ramach Umowy głównej są związane z wykonywaniem przez Wykonawcę operacji na danych osobowych w imieniu Xxxxxxxxxxxxx,
z uwagi na zakres i przedmiot usług świadczonych przez Wykonawcę, uznaje się za konieczne powierzenie przetwarzania danych osobowych zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO),
Zamawiający jest administratorem zbioru danych osobowych o nazwie „Baza nieruchomości dla gospodarki odpadami komunalnymi Gmin Uczestników Związku Gmin Wierzyca” zgromadzonych w systemie xXXX.xx – oprogramowaniu wyprodukowanemu przez firmę RAD Sp. z o.o. – xx. Xxxxxxxxxx 0/0, 00-000 Xxxxxxxx,
Xxxxxx postanowiły zawrzeć umowę o następującej treści:
§ 1
Przedmiot umowy
Przedmiotem niniejszej umowy jest ustalenie zasad przetwarzania oraz zabezpieczania Danych Osobowych, które Wykonawca przetwarza w imieniu Zamawiającego.
§ 2
Zakres, cel i charakter przetwarzania Danych osobowych
1. Działając na podstawie art. 28 ust. 3 RODO Zamawiający powierza Wykonawcy przetwarzanie Danych osobowych jego klientów w związku ze świadczeniem usług będących przedmiotem Umowy o głównej.
2. Wykonawca jako Podmiot przetwarzający przyjmuje Dane Osobowe do przetwarzania i zobowiązuje się je przetwarzać w imieniu Wykonawcy na zasadach określonych w niniejszej umowie i przez okres jej obowiązywania.
a. Na powierzone Wykonawcy Dane Osobowe składają się dane przetwarzane w związku z realizacją Umowy głównej, w tym w szczególności dane takie jak:
– adres nieruchomości (miejscowość, ulica, nr budynku, nr lokalu, kod pocztowy, poczta)
– nr ewidencyjny w rejestrze gruntów,
– rodzaj nieruchomości,
– rodzaj zabudowy,
– liczba mieszkańców,
– liczba złożonych deklaracji o wysokości opłaty (łącznie),
– liczba złożonych korekt deklaracji o wysokości opłaty,
– właściciel nieruchomości (imię, nazwisko, lub nazwa,)
– właściciel główny (imię, nazwisko, nazwa)
– pojemniki (rodzaj, pojemność, ilość, kod),
– rodzaj odpadów komunalnych (selektywne, zmieszane),
– informacja o kompostowaniu odpadów (tak, nie),
– sektor,
– miesiące obsługi – odbioru odpadów komunalnych,
– współrzędne GPS,
– trasy wywozowe,
– kontrole nieruchomości (adres, organ, powód, wynik).
b. Wykonawca jest uprawniony do wykonywania na Danych Osobowych wszelkich zautomatyzowanych lub niezautomatyzowanych operacji przetwarzania uzasadnionych i niezbędnych dla realizacji Umowy głównej oraz przetwarzania Danych osobowych wyłącznie w celach związanych z realizacją Usług.
3. W celu zapewnienia prawidłowej realizacji niniejszej umowy Strony wskazują osoby kontaktowe w sprawach związanych z jej realizacją, po jednej osobie dla każdej ze Stron:
a. dla Zamawiającego: Xxxxxxxx Xxxxxx, e-mail: xxx@xxxxxxxxxx.xx,
b. dla Zleceniobiorcy: ......................................., e-mail: ..................................., tel. ..............................
§ 3
Ustanowienie dostępu do danych, zakładanie i usuwanie kont użytkowników
1. W następstwie podpisania niniejszej umowy Zamawiający (Administrator danych) umożliwi dostęp do zbioru danych „Baza nieruchomości dla gospodarki odpadami komunalnymi Gmin Uczestników Związku Gmin Wierzyca” za pomocą strony internetowej: xxx.xxx.xxxx.xx/xxxxx
2. Dostęp do danych osobowych zgromadzonych w ww. zbiorze danych będzie możliwy po założeniu konta w systemie informatycznym dla upoważnionego przez Wykonawcę (Podmiot przetwarzający) użytkownika systemu. W tym celu Wykonawca złoży do Zamawiającego wniosek o nadanie uprawnień (zał. Nr 1).
3. Wykonawca może założyć dla użytkowników systemu dowolną ilość kont w systemie xXXX.xx.
4. W przypadku cofnięcia lub wygaśnięcia upoważnienia dla użytkownika Wykonawca zobowiązany jest niezwłocznie powiadomić o tym Zamawiającego, składając wniosek o usunięcie konta. (zał. Nr 1)
5. Wykonawca zobowiązuje się do szczególnej ochrony powierzonych mu do przetwarzania danych, do zachowania ich w tajemnicy i nie przekazywania ich osobom trzecim.
§ 4
Podpowierzenie przetwarzania danych
1. Wykonawca jest uprawniony do korzystania z usług innego Podmiotu przetwarzającego w trakcie realizacji Przetwarzania Danych Osobowych na podstawie niniejszej umowy, wyłącznie po uzyskaniu uprzedniej pisemnej zgody Zamawiającego na dalsze powierzenie ich przetwarzania temu usługodawcy.
2. Wykonawca jest obowiązany poinformować Zamawiającego o każdym planowanym dalszym powierzeniu przetwarzania Danych Osobowych innemu usługodawcy, który w terminie 3 dni od otrzymania tej informacji udziela zgodę lub wyraża sprzeciw wobec dalszego powierzenia przetwarzania w/w danych usługodawcy wskazanemu przez Wykonawcę.
3. Wykonawca jest zobowiązany zapewnić, iż inny podmiot przetwarzający, z którego usług zamierza korzystać przy przetwarzaniu Danych Osobowych daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz chroniło prawa osób, których dane dotyczą.
4. W przypadku dalszego powierzenia czynności przetwarzania innemu podmiotowi przetwarzającemu Wykonawca nakłada na ten inny podmiot przetwarzający w formie umowy takie same obowiązki ochrony danych jakie spoczywają na Wykonawcy w ramach niniejszej umowy, w szczególności obowiązki dotyczące wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie odpowiadało wymogom art. 32 RODO.
5. W przypadku, gdy powierzenie przetwarzania Danych osobowych innemu podmiotowi przetwarzającemu przez Wykonawcę wiąże się z transferem tych danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony danych osobowych i jednocześnie brak jest innych podstaw umożliwiających transfer Danych osobowych do tego państwa trzeciego, Zamawiający podpisze z podmiotem przetwarzającym zlokalizowanym w takim państwie trzecim umowę zawierającą:
a. „Standardowe Klauzule Umowne” przyjęte na mocy Decyzji Komisji 2010/87/EU z dnia 5 lutego 2010 r. w sprawie przekazywania Danych osobowych z krajów Unii Europejskiej do krajów trzecich, bądź
b. „Standardowe Klauzule Ochrony Danych” przyjęte zgodnie z art. 46 ust. 2 lit c i d RODO,
lub upoważni na piśmie Wykonawcę do podpisania wyżej wskazanej umowy w jego imieniu. Dopiero zawarcie takiej umowy uprawnia Wykonawcę do korzystania z usług tego podmiotu przetwarzającego przy przetwarzaniu Danych osobowych.
6. Wykonawca ponosi wobec Zamawiającego odpowiedzialność za wszelkie działania i zaniechania innego podmiotu przetwarzającego związane z ochroną powierzonych Danych osobowych jak za własne działania i zaniechania.
7. W przypadku dopuszczenia się przez inny podmiot przetwarzający naruszenia zasad ochrony powierzonych Danych osobowych, Zamawiający ma prawo żądać zaprzestania korzystania przez Wykonawcę z usług tego podmiotu w procesie przetwarzania Danych Osobowych.
§ 5
Obowiązki Wykonawcy
1. Wykonawca jest obowiązany:
a. przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Zamawiającego, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, przy czym za udokumentowane polecenie Zamawiającego uważa się polecenia przekazywane drogą elektroniczną lub na piśmie. Powyższy obowiązek nie dotyczy sytuacji gdy wymóg przetwarzania Danych Osobowych nakłada na Wykonawcę prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Wykonawca. W takim przypadku przed rozpoczęciem przetwarzania Wykonawca poinformuje Zamawiającego o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
b. do ochrony powierzonych mu do przetwarzania Danych Osobowych poprzez podjęcie wszelkich środków wymaganych na mocy art. 32 RODO.
c. zapewnić, aby osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy Danych osobowych i środków ich zabezpieczenia zarówno w okresie obowiązywania niniejszej umowy, jaki i po jej rozwiązaniu.
d. przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w § 3 niniejszej umowy.
e. poinformować Zamawiającego, na jego żądanie, o lokalizacji przetwarzania Danych osobowych przez Wykonawcę oraz inne podmioty przetwarzające, o których mowa w § 3 niniejszej umowy.
f. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Zamawiającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
g. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Zamawiającemu wywiązać się z obowiązków określonych w art. 32–36 RODO.
x. xxxxxxxxxx Zamawiającemu wszelkie informacje niezbędne do wykazania, iż spełnia obowiązki określone w niniejszym paragrafie oraz umożliwić Zamawiającemu lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, o których mowa w § 5 niniejszej umowy i przyczyniać się do nich.
i. niezwłocznie poinformować Zamawiającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych osobowych przez Wykonawcę, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanej do Wykonawcy, a także o wszelkich czynnościach kontrolnych podjętych wobec niego przez organ nadzorczy oraz o wynikach takiej kontroli, jeżeli jej zakresem objęto Dane osobowe powierzone Wykonawcy na podstawie niniejszej umowy.
2. Wykonawca po stwierdzeniu naruszenia ochrony Danych osobowych jest zobowiązany bez zbędnej zwłoki zgłosić je Zamawiającemu wskazując w zgłoszeniu:
a. datę i godzinę zdarzenia (jeśli jest znana; w razie potrzeby możliwe jest określenie w przybliżeniu),
b. opis charakteru i okoliczności naruszenia danych osobowych (w tym wskazanie, na czym polegało naruszenie, określenie miejsca, w którym fizycznie doszło do naruszenia, wskazanie nośników, na których znajdowały się dane będące przedmiotem naruszenia),
c. charakter i treść danych osobowych, których dotyczyło naruszenie,
d. przybliżoną liczbę osób (podmiotów danych), których dotyczyło naruszenie,
e. opis potencjalnych konsekwencji i niekorzystnych skutków naruszenia danych osobowych dla osób, których dane dotyczą,
f. opis środków technicznych i organizacyjnych, które zostały lub mają być zastosowane w celu złagodzenia potencjalnych niekorzystnych skutków naruszenia danych osobowych,
g. dane kontaktowe do osoby, od której można uzyskać więcej informacji na temat zgłoszonego naruszenia danych osobowych.
§ 6
Audyt
1. Zamawiający ma prawo kontrolowania sposobu przetwarzania danych osobowych przez Wykonawcę, poprzez zobowiązanie Wykonawcy do udzielenia Zamawiającemu niezbędnych informacji i udostępnienia danych.
2. Zamawiający ma prawo dokonywania kontroli właściwego przetwarzania przez Wykonawcę danych osobowych w zakresie niniejszej umowy również poprzez wyznaczenie podmiotu zewnętrznego, który przeprowadzi audyt. Zamawiający powiadomi o zamiarze przeprowadzania kontroli z wyprzedzeniem, nie krótszym niż 4 dni robocze, a Wykonawca zobowiązuje się udzielić wszelkich niezbędnych informacji dotyczących realizacji niniejszej umowy.
3. Audyt wykonywany przy pomocy podmiotu zewnętrznego może być przeprowadzony jedynie przez podmiot, z którym Zamawiający zawarł stosowną umowę o zachowaniu poufności i w zakresie wykluczającym naruszenie informacji poufnych przedsiębiorstwa Wykonawcy oraz jego kontrahentów.
4. Termin 4 dni, o którym mowa w ust. 2, nie ma zastosowania w sytuacji prowadzenia kontroli w wyniku incydentu bezpieczeństwa, kiedy to Zamawiający może przeprowadzić kontrolę niezwłocznie.
5. Zamawiający dostarcza Wykonawcy kopię raportu z przeprowadzonego audytu. W przypadku stwierdzenia w ramach audytu niezgodności działań Wykonawcy z niniejszą umową lub przepisami o ochronie Danych osobowych, Zamawiający niezwłocznie zapewni zgodność przetwarzania Danych osobowych w zakresie uchybień wskazanych w raporcie z audytu.
§ 7
Zasady zachowania poufności
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zamawiającego w innym celu niż wykonanie Umowy Powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy Powierzenia.
§ 8
Odpowiedzialność
1. Wykonawca odpowiada za szkody, jakie powstaną u Wykonawcy lub osób trzecich w wyniku niezgodnego z niniejszą umową przetwarzania przez Wykonawcę Danych Osobowych.
2. W przypadku niewykonania lub nienależytego wykonania przez Wykonawcę niniejszej umowy, Wykonawca zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 9
Obowiązywanie umowy
1. Niniejsza umowa zostaje zawarta na czas obowiązywania Umowy głównej.
2. Wypowiedzenie Xxxxx głównej skutkuje równoczesnym wypowiedzeniem niniejszej umowy.
3. W przypadku gdy wyniki audytu, o którym mowa w § 5 niniejszej umowy lub kontroli przeprowadzonej przez organ nadzoru u Wykonawcy lub innego podmiotu przetwarzającego, któremu Wykonawca powierzył przetwarzanie Danych Osobowych wykażą, iż Wykonawca w sposób zawiniony naruszył postanowienia niniejszej umowy, lub w przypadku nieuwzględnienia przez Wykonawcę żądania, o którym mowa w § 3 ust. 7 niniejszej umowy, Zamawiający jest uprawniony do rozwiązania tej umowy ze skutkiem natychmiastowym.
4. W przypadku rozwiązania niniejszej umowy, Wykonawca zależnie od decyzji Zamawiającego usuwa lub zwraca Zamawiającemu wszelkie nośniki zawierające Dane Osobowe oraz niezwłocznie i nieodwracalnie niszczy wszelkie kopie dokumentów i zapisów na wszelkich nośnikach, zawierających Dane Osobowe – jeśli nośniki te nie podlegają zwrotowi do Zamawiającego.
5. Wykonawca jest obowiązany niezwłocznie wykonać obowiązek, o którym mowa w ust. 4 powyżej, nie później jednak niż w terminie 14 dni od rozwiązania niniejszej umowy, jak również poinformować o tym Zamawiającego na piśmie w terminie 3 dni od jego wykonania.
§ 10
Postanowienia końcowe
1. Wszelkie zmiany lub uzupełnienia w niniejszej umowie wymagają zachowania formy pisemnej pod rygorem nieważności.
2. W kwestiach nie uregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego, RODO oraz innych aktów powszechnie obowiązującego prawa.
3. Wszelkie spory wynikłe ze stosunku prawnego objętego niniejszą umową rozpatrywane będą przez sąd właściwy dla siedziby Zamawiającego.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
5. Umowa wchodzi w życie z dniem zawarcia i zastępuje wszelkie obowiązujące przed tą datą umowy powierzenia przetwarzania danych osobowych oraz postanowienia umowne dotyczące powierzenia przetwarzania danych osobowych, na mocy których Zamawiający powierzał Wykonawcy Przetwarzanie Danych Osobowych w związku z realizacją Umowy głównej i które w związku z powyższym wygasają.