UMOWA POWIERZENIA DANYCH OSOBOWYCH - (projekt)
Załącznik nr 11
UMOWA
POWIERZENIA DANYCH OSOBOWYCH - (projekt)
zawarta w dniu r. w Opolu, pomiędzy:
Województwem Opolskim ul. Piastowska 14, 45-082 Xxxxx, XXX 0000000000, REGON 531412421 – Zarządem Dróg Wojewódzkich w Opolu z siedzibą przy xx. Xxxxxxxx 000, 00-000 Xxxxx, REGON 000126528 zwanym dalej Administratorem,
reprezentowanym przez:
………………………………….. – Dyrektora / Zastępcę Dyrektora ds. ….
na podstawie Uchwały Nr ………….. Zarządu Województwa Opolskiego z dnia r. w sprawie
udzielenia pełnomocnictwa Dyrektorowi / Zastępcy Dyrektora ds. … Zarządu Dróg Wojewódzkich w Opolu
a
…………………………………………………………………. zwaną dalej „Przetwarzającym”,
zwanymi łącznie „Stronami”.
o następującej treści:
§ 1
1. DEFINICJE
Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1) Umowa Powierzenia – niniejsza umowa;
2) Umowa Główna – zawarta pomiędzy stronami umowa, której przedmiotem jest świadczenie usługi, dostawy, roboty budowlanej niezależnie od nazwy, która została jej nadana, a dla której wykonania przetwarzanie danych jest konieczne;
3) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
2. OŚWIADCZENIA STRON
Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 RODO w związku z zawarciem Umowy Głównej,
§ 2
1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w oparciu o niniejszą umowę oraz wyłącznie w zakresie określonym niniejszą umową.
2. Wszelkie przetwarzanie danych wykraczających poza niniejszą umowę będzie samodzielnym działaniem Przetwarzającego, jako administratora danych osobowych.
§ 3
Przedmiot, zakres i cel powierzenia
1. Przedmiotem umowy są dane osobowe przetwarzane przez Administratora w zbiorach w formie papierowej
2. W trybie art. 28 ust. 3 RODO, Administrator powierza Przetwarzającemu do przetwarzania dane osobowe wskazane w pkt 6 poniżej, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową Powierzenia.
3. Czas trwania umowy
a. Umowa zostaje zawarta na czas obowiązywania Umowy Głównej Nr …… lub inny określony czas.
4. Cel przetwarzania
a. Powierzone dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w zakresie i celu realizacji Umowy Głównej Nr …, oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora drogą elektroniczną na adres w domenie xxx.xxxxx.xx lub w formie papierowej.
5. Charakter przetwarzania
a. Przetwarzanie danych Administratora przez Przetwarzającego będzie polegało na przechowywaniu danych osobowych zawartych w dokumentacji.
b. Przetwarzanie powierzonych danych będzie odbywało w siedzibie Przetwarzającego.
6. Kategorie osób oraz kategorie danych osobowych
1) Kategorie osób
a. projektanci,
b. osoby fizyczne – właściciele działek
c. inne osoby, których dane osobowe muszą zostać przetworzone w celu realizacji Umowy Głównej
2) Kategorie danych osobowych (ww. kategorii osób)
a. projektanci w zakresie imię, nazwisko, adres, data urodzenia, miejsce urodzenia, miejsce zamieszkania
b. osoby fizyczne – właściciele działek - imię, nazwisko, numer księgi wieczystej, adres zamieszkania
c. wszelkie inne dane osobowe przetwarzane w zbiorach w formie papierowej.
§ 4
Obowiązki i prawa Administratora
1. Administrator zapewni zgodność z obowiązującym prawem przetwarzania danych będących przedmiotem powierzenia.
2. Administrator ma prawo kontroli Przetwarzającego w zakresie przetwarzania powierzonych mu danych osobowych, w tym w zakresie zapewnienia ich bezpieczeństwa i zgodności z przepisami prawa. Przetwarzający przyjmuje do wiadomości i wyraża zgodę, jeśli jest ona konieczna, na podleganie kontroli i audytowi Administratora w zakresie zgodności przetwarzania danych z przepisami prawa oraz w zakresie zgodności przetwarzania danych z obowiązującą umową.
3. Administrator otrzyma od Przetwarzającego wszelkie informacje niezbędne do wykazania spełnienia wymaganych obowiązków. Przetwarzający umożliwi również Administratorowi lub upoważnionemu audytorowi przeprowadzanie sprawdzenia, audytu lub inspekcji w celu potwierdzenia zgodności procesu przetwarzania z przepisami prawa oraz obowiązującą umową.
4. Administrator może przekazywać, a Przetwarzający ma obowiązek wdrożyć zalecenia, wskazówki i wytyczne w zakresie działań sprawdzających i naprawczych pozwalających doprowadzić przetwarzanie danych do zgodności z przepisami prawa lub umową.
§ 5
Obowiązki Przetwarzającego
1. Przetwarzanie wyłącznie na polecenie Administratora:
a) Przetwarzanie w oparciu o niniejszą umowę powierzenia przetwarzania danych osobowych opiera się
na poleceniu przez Administratora zawartym w Umowie Głównej Nr ……..
b) Przetwarzający zobowiązuje się do zaprzestania przetwarzania danych w sytuacji braku jednoznacznego zlecenia takiego przetwarzania.
2. Zapewnienie poufności:
a) Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie do przetwarzania danych osobowych oraz przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych.
b) Przetwarzający oświadcza, że każda osoba, która zostanie upoważniona do przetwarzania danych osobowych będących przedmiotem niniejszej umowy, zostanie zobowiązana do zachowania tych danych w tajemnicy przed udostępnieniem jej ww. danych. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych.
c) Przetwarzający oświadcza, iż wymóg upoważnienia oraz zobowiązania do zachowania tajemnicy osób dopuszczonych do przetwarzania zostanie bezwzględnie zastosowany wobec wszystkich jego podwykonawców, którzy mogą mieć dostęp do danych objętych niniejszą umową.
d) Zobowiązanie do zachowania w tajemnicy nie ustaje wraz z ustaniem niniejszej umowy.
3. Zabezpieczenie danych
a) Przetwarzający oświadcza, iż przetwarza dane osobowe w zgodności z przepisami ochrony danych osobowych, a w szczególności w zgodności z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; zwane dalej RODO).
b) Przetwarzający będzie prowadził rejestr czynności przetwarzania danych, jeśli obowiązek taki będzie wynikał z przepisów prawa. Odpowiednie dokumenty potwierdzające spełnienie tych wymogów zostaną bezzwłocznie przedstawione do wglądu na żądanie Administratora..
c) Przetwarzający zobowiązuje się do zachowania należytej staranności oraz do wyboru odpowiednich środków bezpieczeństwa w zgodności z przepisami prawa. Zastosowane środki techniczne i organizacyjne muszą być adekwatne do zidentyfikowanych ryzyk oraz dla zakresu i charakteru powierzonego procesu przetwarzania danych.
d) Przetwarzający będzie przetwarzał dane wyłącznie na potrzebę realizacji przedmiotu Umowy Głównej na rzecz Administratora oraz w zgodzie z obowiązującym prawem. Jeśli Przetwarzający nie będzie mógł zapewnić takiej zgodności z jakiejkolwiek przyczyny, gwarantuje, że niezwłocznie poinformuje o tym Administratora.
e) Przetwarzający zobowiązuje się do niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
4. Reakcja na incydenty
a) Przetwarzający zobowiązuje się bezzwłocznie, nie później niż w ciągu 24 godzin od wystąpienia zdarzenia, zawiadomić Administratora o każdym naruszeniu danych osobowych, nieupoważnionym dostępie do danych osobowych lub każdej innej sytuacji mogącej mieć wpływ na poprawność lub bezpieczeństwo danych. Powyższy zapis dotyczy także jego podwykonawców, jeśli naruszenie w jakikolwiek sposób dotyczy powierzonych danych.
5. Przetwarzanie danych poza obszarem EU
a) Przekazanie powierzonych danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
b) W przypadku przetwarzania powierzonych danych osobowych poza obszarem UE, Przetwarzający zapewni zgodność przetwarzania z rozdziałem V RODO, a w szczególności dostarczy Administratorowi dokumenty potwierdzające legalność takiego przetwarzania danych osobowych.
6. Wsparcie Administratora w zakresie realizacji praw podmiotów danych:
a) Przetwarzający udzieli pomocy i informacji Administratorowi w zakresie:
i) realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
ii) zapewnienia realizacji obowiązków wynikających z art. 32–36 RODO.
7. Zwrot oraz usunięcie istniejących kopii zapasowych:
a) Przetwarzający po zakończeniu umowy zobowiązuje się zaprzestać przetwarzania powierzonych mu danych osobowych. W zależności od decyzji Administratora, Przetwarzający zobowiązuje się zwrócić lub usunąć wszelkie informacje pozyskane na mocy niniejszej umowy. Przetwarzający zobowiązuje się tym samym do usunięcia danych ze wszelkich kopii bezpieczeństwa i nośników awaryjnych.
8. Podpowierzanie (jeżeli nie przewiduje się podpowierzania danych należy to wskazać w umowie)
a) Administrator wyraża ogólną zgodę na dalsze powierzania danych osobowych podwykonawcom Przetwarzającego.
b) Przetwarzający zobowiązany jest poinformować pisemnie o wszelkich zamierzonych i faktycznych działaniach dotyczących zaangażowania, dodania, zmian lub zastąpienia innych podmiotów przetwarzających, dając administratorowi możliwość wyrażenia sprzeciwu wobec tych działań.
c) Jednocześnie ustala się, iż brak wyrażonego sprzeciwu w ciągu 10 dni roboczych od daty potwierdzonego dostarczenia informacji uznaje się jako akceptację wybranych podwykonawców przez Przetwarzającego.
d) Xxxxxxxx wskazane do współpracy podczas zawierania umowy, co do których Administrator nie wniósł sprzeciwu, uważa się za zaakceptowane.
e) Przetwarzający gwarantuje, że jego podwykonawcy zapewnią ochronę danych osobowych zgodną z przepisami prawa i nie mniejszą niż zapisy niniejszej umowy.
f) Przetwarzający zawrze ze swoimi podwykonawcami umowę powierzenia przetwarzania danych osobowych. Umowa musi zawierać wszystkie zobowiązania dotyczące ochrony danych osobowych określone w niniejszej umowie oraz określać: przedmiot, czas, charakter i cel przetwarzania danych z uwzględnieniem kategorii osób oraz rodzaju danych podlegających powierzeniu.
g) Przetwarzający ponosi odpowiedzialność za działania podwykonawców przy pomocy których przetwarza powierzone dane osobowe jak za własne działanie i zaniechanie.
§ 6
Odpowiedzialność
Przetwarzający odpowiada za szkody poniesione przez Administratora z tytułu działań niezgodnych z zapisami niniejszej umowy lub z działań niezgodnych z przepisami prawa zgodnie z warunkami ujętymi w umowie głównej, na podstawie której świadczone są usługi.