UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH WZÓR
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH WZÓR
zawarta w Warszawie, w dniu pomiędzy:
Ministrem Funduszy i Polityki Regionalnej z siedzibą w Warszawie (00-926), ul. Wspólna 2/4 NIP: 526 289 51 99, zwanym dalej „Administratorem”, reprezentowanym przez Panią/Pana
……………………………………
działającą/-ego na podstawie upoważnienia wynikającego z § 15 ust. 1 pkt 2 załącznika do zarządzenia Ministra Finansów, Inwestycji i Rozwoju z dnia 3 października 2019 r. w sprawie Polityki ochrony danych osobowych w Ministerstwie Inwestycji i Rozwoju
działającą/-ego na podstawie upoważnienia/pełnomocnictwa nr ………… z dnia , którego
kopia stanowi załącznik nr … do umowy, a
*gdy kontrahentem jest spółka prawa handlowego:
spółką pod firmą „…” z siedzibą w (należy wpisać adres siedziby spółki wpisany do Krajowego
Rejestru Sądowego), zwaną dalej „Przetwarzającym”, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego (KRS) pod numerem ………….., posiadającą numer identyfikacji podatkowej (NIP) ……………………………, o kapitale zakładowym zł1,
wpłaconym w całości/w części/w wysokości ……………. zł2 – zgodnie z wydrukiem z Centralnej Informacji Krajowego Rejestru Sądowego, stanowiącym załącznik nr … do umowy, aktualnym na dzień podpisania umowy, reprezentowaną przez ...3 (wpisać reprezentację wynikającą z KRS) lub reprezentowaną przez ………..… działającą/-ego na podstawie pełnomocnictwa nr z dnia
………….., stanowiącego załącznik nr … do umowy4,
*gdy kontrahentem jest osoba fizyczna prowadząca działalność gospodarczą:
Panią/Panem …, zwaną/-ym dalej „Przetwarzającym”, o numerze PESEL …, zamieszkałą/-ym pod adresem …, prowadzącą/-ym działalność gospodarczą pod firmą „…” z siedzibą w … (wpisać tylko nazwę miasta/miejscowości) – zgodnie z wydrukiem Centralnej Ewidencji i Informacji o Działalności Gospodarczej, stanowiącym załącznik nr …do umowy, reprezentowaną/-ym przez … działającą/-ego na podstawie pełnomocnictwa, stanowiącego załącznik nr 3 do umowy5,
*gdy kontrahentem jest osoba fizyczna nie prowadząca działalności gospodarczej:
Panią/Panem …, zwaną/-ym dalej „Przetwarzającym”, o numerze PESEL …, zamieszkałą/-ym pod adresem …,
zaś wspólnie zwanymi dalej „Stronami”,
o następującej treści:
§ 1.
Przedmiot umowy i cel
1. Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str.1) zwanego dalej „Rozporządzeniem”,
1 Wysokość kapitału zakładowego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej, sp. z o.o., oraz spółki akcyjnej.
2 Wysokość kapitału wpłaconego należy podać wyłącznie w odniesieniu do spółki komandytowo-akcyjnej oraz spółki akcyjnej.
3 Jeżeli przy zawarciu umowy działa osoba pełniąca funkcję organu (członka organu) lub prokurent spółki.
4 Jeżeli przy zawarciu umowy działa pełnomocnik spółki.
5 Jeżeli przy zawarciu umowy działa pełnomocnik tej osoby.
Administrator powierza Przetwarzającemu przetwarzanie danych osobowych, na zasadach i w celu określonym w niniejszej Umowie.
2. Powierzone dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu wykonania usługi trwałego zniszczenia makulatury.
§ 2.
Charakter czynności przetwarzania
1. W ramach umowy Przetwarzający w imieniu Administratora trwale zniszczy dane osobowe zawarte w makulaturze do zniszczenia w celu wykonania usługi trwałego zniszczenia makulatury oraz będzie wykonywał inne polecenia i instrukcje Administratora związane z przetwarzaniem danych osobowych zawartych w makulaturze do zniszczenia.
2. Adresem miejsca niszczenia makulatury będzie … (adres)
§ 3.
Rodzaj danych osobowych i kategorie osób, których dane dotyczą
1. Przedmiotem przetwarzania na podstawie umowy są dane osobowe następujących kategorii osób: dane pracowników, interesariuszy i innych osób zawarte w makulaturze do zniszczenia , zwanych dalej: „danymi osób, których dane dotyczą”/.
2. Administrator przekaże Przetwarzającemu następujące rodzaje danych osobowych: imię, nazwisko, stanowisko służbowe, nr telefony służbowego, adres i inne dane zawarte w makulaturze do zniszczenia.
3. W przypadku przetwarzania przez Przetwarzającego innych danych osobowych niż dane powierzone na podstawie umowy powierzenia przetwarzania danych, administratorem tych danych jest Przetwarzający.
§ 4.
Dalsze powierzenie przetwarzania danych osobowych
Przetwarzający nie może powierzyć innym podmiotom powierzonych danych osobowych do dalszego przetwarzania.
§ 5.
Obowiązki Przetwarzającego
1. Przetwarzający oświadcza, że zarządza ryzykiem w procesie przetwarzania powierzonych danych i stosuje środki bezpieczeństwa oparte na wynikach analizy ryzyka.
2. Przetwarzający zobowiązuje się:
1) podjąć wszelkie środki wymagane na mocy art. 32 Rozporządzenia, w szczególności wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą;
2) podjąć odpowiednie środki techniczne i organizacyjne przeciwko utracie, przypadkowemu lub niezgodnemu z prawem zniszczeniu, zmodyfikowaniu, nieuprawnionemu ujawnieniu lub nieuprawnionemu dostępowi do powierzonych danych osobowych;
3) prowadzić rejestr kategorii czynności przetwarzania, o którym mowa w
Rozporządzeniu;
4) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia;
5) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia;
6) udzielać Administratorowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych danych osobowych.
3. W przypadku stosowania przez Przetwarzającego zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, Przetwarzający poinformuje o tym Administratora.
4. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek prowadzonym w stosunku do niego postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym powierzonych danych osobowych, a także o złożonych przez osoby fizyczne skargach i wnioskach związanych z przetwarzaniem powierzonych danych osobowych, a także o prowadzonej kontroli organu nadzorczego.
§ 6.
Bezpieczeństwo przetwarzania danych osobowych
1. Przetwarzający niezwłocznie poinformuje Administratora o wszelkich okolicznościach mających wpływ na bezpieczeństwo przetwarzania powierzonych danych osobowych.
2. W przypadku naruszenia bezpieczeństwa lub naruszenia ochrony danych, o którym mowa w art. 4 pkt. 12 Rozporządzenia, Przetwarzający:
1) niezwłocznie, nie później niż w terminie 24 godzin powiadomi o tym Administratora
przekazując jednocześnie informacje, o których mowa w art. 33 ust. 3 Rozporządzenia;
2) dokona wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą i przekaże Administratorowi wyniki tej analizy w terminie 48 godzin od wykrycia naruszenia;
3) przekaże Administratorowi – na jego wniosek – wszelkie informacje niezbędne do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 2 Rozporządzenia w terminie 48 godzin od wykrycia naruszenia;
4) współpracuje z Administratorem w zakresie powiadamiania odpowiednich organów lub osób, których dane dotyczą.
§ 7.
Upoważnienia do przetwarzania danych osobowych
Przetwarzający zobowiązuje się, że upoważni do przetwarzania powierzonych danych osobowych jedynie takich pracowników, których dostęp do powierzonych danych będzie uzasadniony. Przetwarzający zobowiązuje się, że przeszkoli upoważnionych pracowników w zakresie ochrony danych osobowych, przed przystąpieniem do przetwarzania powierzonych danych osobowych.
§ 8.
Prawo Kontroli
1. Przetwarzający zobowiązuje się, że udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwi Administratorowi lub podmiotowi przez niego wskazanemu przeprowadzanie kontroli lub audytów i przyczyni się do nich.
2. Administrator lub podmiot przez niego upoważniony, mają w szczególności prawo:
1) dostępu do systemów informatycznych, w których przetwarzane są powierzone dane osobowe, przeprowadzenia niezbędnych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz umową;
2) żądania złożenia pisemnych lub ustnych wyjaśnień przez pracowników upoważnionych do przetwarzania danych osobowych lub pracowników Podmiotu przetwarzającego w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek
z przedmiotem kontroli lub audytu oraz sporządzania ich kopii.
3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora.
4. Przetwarzający zobowiązuje się, że będzie przetwarzać dane osobowe wyłącznie zgodnie z umową oraz instrukcjami i zaleceniami, które w razie konieczności Administrator może mu przekazać.
§ 9.
Odpowiedzialność Przetwarzającego
Przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Administratora, za szkody powstałe w związku z nieprzestrzeganiem Rozporządzenia oraz za przetwarzanie powierzonych danych osobowych niezgodnie z umową, instrukcjami i zaleceniami Administratora.
§ 10.
Poufność
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji związanych z realizacją swoich zobowiązań na podstawie lub w związku z umową oraz do niewykorzystywania ich do innych celów, niż związane z zawarciem lub wykonywaniem umowy. Klauzula poufności nie obejmuje informacji postrzeganych w kategoriach wiedzy powszechnej oraz dostępnej dla ogółu, chyba że stały się one jawne w wyniku naruszenia przedmiotowej umowy. Obowiązek zachowania poufności nie obowiązuje, gdy ujawnienia informacji wymagać będą bezwzględnie obowiązujące przepisy prawa, przy czym ujawnienie takie może nastąpić po uprzednim poinformowaniu drugiej strony o takim ujawnieniu oraz jego zakresie. Obowiązek i zasady zachowania poufności ww. informacji pozostają w mocy także przez okres 5 lat od rozwiązania/ wygaśnięcia/ zakończenia umowy.
2. Przetwarzający zobowiąże pracowników upoważnionych do przetwarzania powierzonych danych osobowych do zachowania tajemnicy.
§ 11.
Czas obowiązywania umowy
1. Umowa zostaje zawarta na czas trwania umowy głównej.
2. Nie później niż w terminie 7 dni od dnia wykonania zlecenia Przetwarzający przekaże Administratorowi pisemne oświadczenie o usunięciu wszelkich powierzonych danych osobowych zawartych w makulaturze do zniszczenia, Przetwarzający potwierdzi również, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone umową, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
§ 12.
Rozwiązanie umowy
Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, jeśli Przetwarzający:
1) nie wdrożył środków wymaganych na mocy art. 32 Rozporządzenia;
2) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli lub audytu nie usunął ich w wyznaczonym terminie;
3) przetwarza dane osobowe w sposób niezgodny z umową, instrukcją lub zaleceniem;
§ 13.
Komunikacja
1. Strony określają następujący sposób komunikacji w celu realizacji umowy:
a) po stronie Administratora: ………….
b) po stronie Przetwarzającego: ……………
2. W przypadku zmiany danych kontaktowych, o których mowa powyżej, przez którąkolwiek ze Stron jest ona obowiązana do niezwłocznego poinformowania drugiej Strony o tym fakcie oraz wskazania nowych danych kontaktowych. Zmiana taka nie wymaga zmiany umowy.
3. Strony zobowiązują się do bieżących konsultacji we wszystkich istotnych sprawach, służących
realizacji umowy i mających związek z ochroną powierzonych danych osobowych.
§ 14.
Postanowienia końcowe
1. Zmiana treści umowy wymaga zachowania formy pisemnej pod rygorem nieważności.
2. Wszelkie spory mogące wyniknąć pomiędzy Stronami przy realizowaniu przedmiotu umowy lub z nią związane, w przypadku braku możliwości ich polubownego załatwienia, będą rozpatrywane przez Sąd powszechny właściwy dla siedziby Administratora.
3. Umowę sporządzono w trzech jednobrzmiących egzemplarzach: dwa dla Administratora, jedna dla
Przetwarzającego.
4. Niezwłocznie po zawarciu umowy, nie później niż w ciągu 7 dni od jej podpisania, Wykonawca przekaże Zamawiającemu informacje o wdrożonych środkach technicznych i organizacyjnych, o których mowa w art. 32 RODO, zapewniających stopień bezpieczeństwa powierzonych do przetwarzania danych osobowych odpowiadający ryzyku związanemu z ich przetwarzaniem.
5. Informacje o których mowa powyżej, zostaną przekazane Zamawiającemu na formularzu, który stanowi załącznik nr … do umowy, albo na formularzu własnym Wykonawcy (bazującym na wynikającym z RODO podejściu opartym na ryzyku).
6. W przypadku, gdy Zamawiający poweźmie wątpliwości wobec zastosowanych przez Wykonawcę środków technicznych i organizacyjnych oraz wynikającego z nich stopnia bezpieczeństwa powierzonych mu do przetwarzania danych osobowych, może wydać rekomendacje i zalecenia dotyczące wprowadzenia zmian w ich zakresie.
7. Integralną częścią umowy są następujące załączniki:
1) załącznik nr 1: ;
2) załącznik nr 2: ….; 3) …….
Potwierdzam zgodność kopii z dokumentem elektronicznym:
Identyfikator dokumentu | 1925514.8217442.5911953 |
Nazwa dokumentu | Projekt umowy powierzenia danych osobowych.docx |
Tytuł dokumentu | Projekt umowy powierzenia danych osobowych |
Skrót dokumentu | 59FAAF06B0F15445C7C8B9896C715D8F8956A7 1A |
Wersja dokumentu | 1.1 |
EZD 3.112.1.1. | |
Data wydruku: | 2023-04-13 11:35:58 |
Autor wydruku: | Xxxxxxxx Xxxxxxx |