UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 5 do Polityki bezpieczeństwa
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Szczecinie w dniu … pomiędzy
Xxxxxx Xxxxxxxxxxx i Xxxxxx Xxxxxxxxx, działającymi w ramach spółki cywilnej pod
nazwą La lalla S. C. Xxxxxx Xxxxxxxxxxx, Xxxxxx Xxxxxxxxx, zwane dalej: „La lalla”, zwanymi dalej „Administratorem danych”
a
, zwanym dalej „Podmiotem przetwarzającym”, zwanymi dalej łącznie „Stronami”
§ 1. Oświadczenia Stron
1. Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 RODO, w związku z umową o
z dnia , zwaną dalej „Umową Główną” w ramach wykonywania której Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora danych.
2. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
§ 2. Przedmiot umowy
1. W trybie art. 28 ust. 3 RODO, Administrator danych powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe wskazane w § 3 ust. 1 i ust. 2 poniżej, a Podmiot przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową Powierzenia.
2. Podmiot przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie Powierzenia, oraz zgodnie z innymi udokumentowanymi poleceniami Administratora danych, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora danych drogą elektroniczną na adres lub na piśmie.
§ 3. Cel, zakres i charakter przetwarzania
1. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą:
a)
b)
2. Zakres powierzonych Podmiotowi przetwarzającemu do przetwarzania danych osobowych obejmuje:
a) co do [kategoria osób]:
− [czynność przetwarzania]
− [czynność przetwarzania]
b) co do [kategoria osób]:
− [czynność przetwarzania]
− [czynność przetwarzania]
3. Celem przetwarzania danych osobowych wskazanych w ust. 1 i ust. 2 powyżej jest wykonanie Umowy Głównej, w szczególności .
4. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały.
5. Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w
systemach informatycznych oraz w formie papierowej.
6. Przetwarzający będzie zbierał/otrzymywał dane osobowe od [sposób, źródła zbierania danych].
§ 4. Zasady powierzenia przetwarzania
1. Przed rozpoczęciem przetwarzania danych osobowych Podmiot przetwarzający musi podjąć środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności:
a) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku; Podmiot przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem danych,
b) zapewnić, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora danych w celach i zakresie przewidzianym w Umowie Powierzenia,
c) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora danych, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi danych na jego żądanie, chyba że Administrator danych jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO i nie podjął decyzji o prowadzeniu rejestru,
d) Podmiot przetwarzający zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń
w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Podmiotu przetwarzającego.
§ 5. Dalsze obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi danych w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.
2. W sytuacji podejrzenia naruszenia ochrony danych osobowych, Podmiot przetwarzający zobowiązuje się do:
a) przekazania Administratorowi danych informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w tym informacji, o których mowa w art. 33 ust. 3 RODO,
b) przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora danych w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych,
c) przekazania Administratorowi danych – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
2. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi danych poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO.; w szczególności Podmiot przetwarzający zobowiązuje się – na żądanie Administratora danych – do przygotowania i przekazania Administratorowi danych informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora danych.
3. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
4. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Podmiotu przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy.
§ 6. Powierzenie przetwarzania danych dalszym podmiotom
1. Administrator danych dopuszcza możliwość podpowierzenia przetwarzania powierzonych danych osobowych podwykonawcom Podmiotu przetwarzającego (tzw. subprocesorom). Jeżeli Podmiot przetwarzający zamierza podpowierzyć przetwarzanie danych osobowych swoim podwykonawcom, musi uprzednio poinformować Administratora danych o zamiarze podpowierzenia oraz o tożsamości (nazwie) podmiotu, któremu ma zamiar podpowierzyć przetwarzanie danych, a także o charakterze podpowierzenia, zakresie danych, celu i czasie trwania podpowierzenia. O ile Administrator danych nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Podmiot przetwarzający uprawniony będzie do dokonania podpowierzenia.
2. W przypadku podpowierzenia przetwarzania danych osobowych, podpowierzenie przetwarzania będzie mieć za podstawę umowę, na podstawie której podwykonawca (subprocesor) zobowiąże się do wykonywania tych samych obowiązków, które na mocy niniejszej Umowy Powierzenia nałożone są na Podmiot przetwarzający. Umowa będzie zawarta w tej same formie co niniejsza Umowa Powierzenia.
3. Administratorowi danych będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec podwykonawcy (subprocesora). W przypadku wypowiedzenia lub rozwiązania umowy podpowierzenia, Podmiot przetwarzający poinformuje o tym fakcie Administratora danych w terminie 3 dni od wypowiedzenia lub rozwiązania umowy.
4. Podmiot przetwarzający nie może przekazywać powierzonych mu przetwarzania danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.
§ 7. Kontrola Podmiotu przetwarzającego
1. Administrator danych jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających RODO oraz niniejszej Umowy Powierzenia przez Podmiot przetwarzający, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.
2. Administrator danych ma także prawo przeprowadzania audytów lub inspekcji Podmiotu przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z Umową Powierzenia. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być przeprowadzane przez podmioty trzecie upoważnione przez Administratora danych.
3. Podmiot przetwarzający zobowiązuje się niezwłocznie informować Administratora danych, jeżeli zdaniem Podmiotu przetwarzającego wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
§ 8. Zakończenie powierzenia przetwarzania
1. Niniejsza Umowa Powierzenia zostaje zawarta na okres obowiązywania Umowy Głównej, albo na okres faktycznego przetwarzania danych osobowych, jeżeli będzie on dłuższy niż okres obowiązywania Umowy Głównej wskutek prawnie usprawiedliwionych interesów, dla których konieczne będzie przetwarzanie danych, chyba że wcześniej nastąpi zakończenie niniejszej Umowy.
2. Niniejsza Umowa powierzenia może być rozwiązana w każdym czasie za porozumieniem Stron jednak nie wcześniej niż z chwilą rozwiązania Umowy Głównej.
3. Niniejsza umowa może zostać wypowiedziana przez każdą ze Stron z zachowaniem okresu wypowiedzenia równego terminowi wypowiedzenia Umowy Głównej, pod warunkiem, że jej wypowiedzenie następuje jednocześnie z wypowiedzeniem Umowy Głównej.
4. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot przetwarzający zależnie od decyzji Administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.
§ 9. Postanowienia końcowe
1. Wszelkie spory wynikłe z niniejszej Umowy Powierzenia rozstrzygał będzie Sąd powszechny właściwy dla miejsca prowadzenia działalności przez Administratora danych.
2. Wszelkie zmiany niniejszej Umowy Powierzenia wymagają dla swej ważności zachowania formy pisemnej.
3. Niniejszą Umowę Powierzenia sporządzono w dwóch jednobrzmiących
egzemplarzach, po jednym dla każdej ze Stron.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Xxxxxx Xxxxxxxxxxx – administrator danych
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Xxxxxx Xxxxxxxxx – administrator danych