UMOWA POWIERZENIA
UMOWA POWIERZENIA
przetwarzania danych osobowych
zawarta w .......................................... w dniu r.
pomiędzy:
……………………………………………. z siedzibą w ………………. przy ul.
…………………………, kod pocztowy ,
zwanym dalej „Administratorem”, reprezentowaną przez:
………………………………………………………………………………………………....... a
…………….z siedzibą w , zarejestrowaną/ym
w ................................................................. pod numerem , posiadającą/ym
numer NIP ......................... oraz numer REGON ,
reprezentowaną/ym przez ,
zwaną/ym dalej „Procesorem”,
łącznie zwane „Stronami”,
o następującej treści:
§ 1
Oświadczenia stron
1. Administrator oświadcza, że jest Administratorem Danych Osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO w stosunku do danych powierzonych Procesorowi.
2. Procesor oświadcza, że dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami, które umożliwiają przetwarzanie danych osobowych.
3. Procesor oświadcza, że przygotował stosowną dokumentację niezbędną do prawidłowego przetwarzania danych osobowych oraz wymaganą przez RODO.
§ 2
Zakres i cel przetwarzania danych osobowych
1. W związku z realizacją umowy nr ........................ z dnia ............................... r. pomiędzy
Xxxxxxxx, x ...............................................…, zwana dalej Umową, Administrator powierza Procesorowi w trybie art. 28 RODO przetwarzanie danych osobowych
2. Procesor będzie przetwarzał, powierzone na podstawie niniejszej umowy, następujące kategorie danych osobowych/zbiory danych osobowych/:
1) imię i nazwisko,
2) numer ewidencyjny PESEL,
3) seria i numer dowodu osobistego, 4) ................................................... .
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Procesora wyłącznie w celu wykonywania przez Procesora na rzecz Administratora usług szczegółowo opisanych w Umowie i w sposób zgodny z niniejszą umową
PRZYKŁADY do usunięcia- świadczenie usług obsługi kadr, płac, księgowości w zakresie danych osobowych pracowników ich rodzin, współpracowników, podwykonawców, kontrahentów;
- realizacja usług BHP w zakresie danych osobowych pracowników;
- administracja systemami informatycznymi w zakresie danych osobowych przetwarzanych w tych systemach;
- hosting poczty, hosting serwerów w zakresie danych osobowych przetwarzanych w tych systemach;
- usługa niszczenia dokumentów, archiwizacji w zakresie wszelkich danych osobowych przeznaczonych do niszczenia, przeznaczonych do archiwizacji;
- realizacja usług marketingowych w zakresie danych klientów i potencjalnych klientów;
- obsługa systemu monitoringu wizyjnego.
4. Zakres danych osobowych wymienionych w ust. 2 powyżej jest maksymalnym katalogiem danych, które mogą być przekazywane w związku z realizacją Umowy. W rzeczywistości dane mogą być przekazywane przez Administratora w mniejszym zakresie bez uszczerbku dla postanowień niniejszej umowy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów.
§ 3
Zobowiązania podmiotu, któremu powierzono przetwarzanie danych osobowych (zobowiązania Procesora)
1. Procesor zobowiązuje się, przy przetwarzaniu danych osobowych, o których mowa w § 2 ust 2, do ich zabezpieczenia przez podjęcie następujących środków:
1) Środki organizacyjne:
…………………………………………………………………..
2) Środki ochrony fizycznej danych
...........................................................................................................................................
3) Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
...........................................................................................................................................
4) Środki ochrony w ramach narzędzi programowych i baz danych
...........................................................................................................................................
WYPEŁNIA PROCESOR – NIE WIEMY CO STOSUJE ! Przykładowy zestaw zabezpieczeń znajduje się w art. 32 RODO.
2. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, ustawą o ochronie danych osobowych, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Procesor zobowiązuje się niezwłocznie zawiadomić Administratora o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia lub śledztwa,
2) każdym nieupoważnionym dostępie do danych osobowych,
3) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie.
4. Administrator ma prawo do kontroli sposobu wykonywania niniejszej Umowy poprzez przeprowadzenie zapowiedzianych na 14 Dni kalendarzowych wcześniej doraźnych kontroli dotyczących przetwarzania danych osobowych przez Procesora oraz żądania składania przez niego pisemnych wyjaśnień.
5. Na zakończenie kontroli, o których mowa w ust. 4, przedstawiciel Administratora sporządza protokół w 2 (dwóch) egzemplarzach, który podpisują przedstawiciele obu stron. Procesor może wnieść zastrzeżenia do protokołu w ciągu 3 dni roboczych od daty jego podpisania przez strony.
6. Procesor zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
7. Procesor zobowiązuje się odpowiedzieć niezwłocznie i właściwie na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.
8. Procesor zobowiązuje się dopuszczać do przetwarzania danych osobowych WYŁĄCZNIE osoby realizujące Umowę poinformowane i przeszkolone z zasad bezpieczeństwa pracy z danych osobowymi.
9. Każda osoba realizująca Umowę zobowiązana jest do przetwarzania danych osobowych, do których uzyskała dostęp wyłącznie w zakresie i celu przewidzianym w Umowie.
10. Każda osoba realizująca Umowę jest zobowiązana do zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególści do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym.
11. Każda osoba realizująca Umowę zobowiązuje się do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych o ile nie są one jawne.
12. Każda osoba realizująca Umowę zobowiązana jest do niepowodowania niezgodnych z Umową zmian danych lub utraty, uszkodzenia lub zniszczenia tych danych.
13. Każda osoba realizująca Umowę zobowiązuje się do niedokonywania jakiegokolwiek kopiowania i utrwalania danych osobowych poza systemami informatycznymi Administratora.
14. W przypadku wykorzystania sieci publicznej, każda osoba realizująca Umowę zobowiązuje się do stosowania zabezpieczonego przed podsłuchem połączenia zdalnego (VPN, SSL, podać inne).
15. Każda osoba realizująca Umowę zobowiązuje się do pracy w systemach Administratora z użyciem uwierzytelnienia.
16. Procesor pomaga Administratorowi:
a) w miarę swoich możliwości, przez odpowiednie środki techniczne i organizacyjne, wywiązać się obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
b) w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych
osobowych na podstawie Umowy, zgłasza je Administratorowi niezwłocznie, jednak nie później niż w terminie 48 godzin od chwili stwierdzenia naruszenia.
§ 4
Podpowierzenie
1. Administrator upoważnia Procesora do dalszego powierzenia wskazanych w § 2 ust. 2 niniejszej umowy danych osobowych w celu niezbędnym do wykonania Umowy lub postanowień niniejszej umowy, podmiotom będącym podwykonawcami Procesora.
2. Na każdorazowe życzenie Administratora – począwszy od 25 maja 2018 r. – Procesor w ciągu 3 dni od otrzymania takiego zapytania, przekaże Administratorowi listę podwykonawców, którym dane osobowe mogą być przez Procesora powierzone do przetwarzania.
3. Procesor jest zobowiązany do zapewnienia, że podmioty, o których mowa w ust. 1, spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Procesor, w szczególności zapewniania wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów w zakresie ochrony danych osobowych.
4. Procesor ponosi odpowiedzialność wobec Administratora za naruszenie postanowień niniejszej umowy przez podmioty wskazane w ust. 1.
§ 5
Odpowiedzialność Procesora
1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową, a w szczególności za udostępnienie osobom nieupoważnionym.
2. W przypadku naruszenia przepisów ustawy o ochronie danych osobowych, RODO lub niniejszej Umowy z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Procesor zobowiązuje się pokryć poniesione z tego tytułu straty i koszty przez Administratora.
§ 6
Czas trwania umowy oraz warunki wypowiedzenia Umowy
1. Niniejsza umowa obowiązuje przez okres trwania Umowy z zastrzeżeniem ust. 2 poniżej.
2. W każdym wypadku niniejsza umowa przestaje wiązać Strony w przypadku określonym w ust. 1 jednak nie wcześniej niż z dniem, z którym Procesor nie przetwarza danych osobowych Administratora (zdania dokumentów, potwierdzenia usunięcia danych z wszystkich nośników lub ich przekazania Administratorowi).
3.Administrator ma prawo rozwiązać niniejszą Umowę, w trybie natychmiastowym, gdy Procesor:
1) wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową,
2) powierzył przetwarzanie danych osobowych podwykonawcom bez zgody Administratora,
3) nie zaprzestanie niewłaściwego przetwarzania danych osobowych,
4) zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej Umowy, a w szczególności niespełniania wymagań określonych w §3.
4. Rozwiązanie niniejszej Umowy przez Administratora jest równoznaczne z wypowiedzeniem Umowy.
§ 7
Rozwiązanie Umowy
Procesor, w przypadku wygaśnięcia umowy, o której mowa §2 ust.1 i niniejszej umowy niezwłocznie, ale nie później niż w terminie do 14 dni kalendarzowych, zobowiązuje się zwrócić lub usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji i potwierdzić powyższe przekazanym protokołem. Niewywiązanie się z tego obowiązku w ww. terminie skutkować może naliczeniem przez Administratora kary umownej w wysokości 100 zł za każdy dzień opóźnienia. W przypadku gdy szkoda z tego tytułu
przekroczy wysokość kary umownej Administrator ma prawo do dochodzenia jej naprawienia na zasadach ogólnych.
§8
Poufność
1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób/podmiotów oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Procesor oświadcza, z zastrzeżeniem § 4, w związku ze zobowiązaniem do zachowania tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub niniejszej umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
4. W przypadku naruszenia ww. tajemnicy Administrator ma prawo żądać kary umownej w wysokości 10.000,00 zł (dziesięć tysięcy złotych) za każde naruszenie. W przypadku gdy szkoda z tego tytułu przekroczy wysokość kary umownej Administrator ma prawo do dochodzenia jej naprawienia na zasadach ogólnych.
§ 9
Postanowienia końcowe
1. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy o ochronie danych osobowych, RODO oraz bez względu na obowiązywanie warunki określone w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz innych przepisów.
3. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
.................................... ….................................
Administrator Procesor