Umowa powierzenia przetwarzania danych osobowych
Załącznik do umowy
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu w Wałczu pomiędzy:
Powiatem Wałeckim, reprezentowanym przez:
1. Xxxx Xxxxxxx Xxxxxxxxxxx – Starostę Xxxxxxxxxx, jako Administrator Danych Osobowych, zwanym w dalszej części umowy „Administratorem danych” lub
„Administratorem”,
2. Panią Xxxxxxx Xxxxxx – Wicestarostą Wałeckim
a
………………………………….………………………………………………… z siedzibą w
............................................................................................................................................,
zarejestrowaną/ym w
.............................................................................................................................................. pod numerem KRS ....................................,
numer NIP .....................................................
oraz numer REGON ,
reprezentowaną/ym przez ,
zwaną/ym w dalszej części umowy Podmiotem przetwarzającym.
§ 1
Oświadczenia stron
1. Administrator powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania w trybie art. 28 ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L Nr 119, str. 1) (zwanego w dalszej części umowy
„RODO”) na zasadach w zakresie i w celu określonym w niniejszej umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą
3. Przedmiot przetwarzający oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z RODO.
§ 2
Zakres i cel przetwarzania danych osobowych
1. Podmiot przetwarzający będzie przetwarzał dane osobowe dotyczące właścicieli gruntów i nieruchomości w zakresie: adresu zamieszkania, numer księgi wieczystej, numer PESEL, inne dane osobowe mogące być zawarte w przetwarzanej dokumentacji archiwalnej
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji umowy nr …………………….. z dnia
……………..
3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 3
Zobowiązania Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się przed przystąpieniem do przetwarzania powierzonych danych osobowych wdrożyć i utrzymywać przez czas przetwarzania wszelkie środki i zabezpieczenia związane z przetwarzaniem danych, zgodnie z wymaganiami ustawy oraz RODO.
2. Podmiot przetwarzający zapewnia, że osoby, które upoważnia do przetwarzania danych osobowych, w celu realizacji niniejszej umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 pkt b RODO, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
3. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO. W razie wpływu do Podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, Podmiot przetwarzający niezwłocznie informuje o tym Administratora. Udzielając informacji, Xxxxxxx przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania.
4. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie chyba, że prawo Unii lub prawo polskie nakazują przechowywanie danych osobowych.
5. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je niezwłocznie Administratorowi, jednak nie później niż w ciągu 24 godzin od momentu stwierdzenia naruszenia.
6. Podmiot przetwarzający po stwierdzeniu lub uzyskaniu informacji o naruszeniu ochrony danych osobowych przy współpracy z Administratorem powinien:
a) przystąpić do identyfikacji rodzaju zdarzenia, a w szczególności do określenia skali zniszczeń, dostępu do danych osobowych itp.;
b) podjąć odpowiednie kroki w celu zminimalizowania szkód i rozmiarów zdarzenia oraz zabezpieczenia przed usunięciem śladów zdarzenia;
c) zawiadomić bez zbędnej zwłoki osobę, której dane dotyczą o naruszeniu jeżeli skutkowało ono ryzykiem naruszenia praw i wolności osób fizycznych
7. Przy zgłoszeniu stwierdzonego naruszenia ochrony danych osobowych Podmiot przetwarzający przekazuje Administratorowi informacje o podjętych działania, o których mowa w ust. 6. Podmiot przetwarzający przekazuje niezwłocznie Administratorowi
wszystkie informacje umożliwiające realizacje Administratorowi obowiązku, o którym mowa w art. 33 RODO.
8. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
9. Podmiot przetwarzający odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem powierzonych danych osobowych.
10. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 4
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Podwykonawca, o którym mowa w § 4 ust. 1 umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej umowie.
3. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy z obowiązków wynikających z niniejszej umowy.
§5
Prawo audytu
4. Administrator zgodnie z art. 28 ust. 3 lit. h RODO ma prawo przeprowadzenia audytu, mającego na celu sprawdzenie czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia niniejszej umowy.
5. Administrator realizować będzie prawo audytu w godzinach pracy Podmiotu przetwarzającego z minimum trzydniowym uprzedzeniem o zamiarze przeprowadzenia audytu.
6. Prawo do przeprowadzenia audytu obejmuje: wstęp do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych osobowych; żądanie złożenia pisemnych lub ustnych wyjaśnień od osób upoważnionych do przetwarzania powierzonych danych osobowych; wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z celem audytu oraz przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych
7. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień i nieprawidłowości stwierdzonych podczas audytu w terminie wskazanym przez Administratora danych.
§ 6
Rozwiązanie Umowy
1. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
a) nie usunie w terminie, o którym mowa w § 5 ust. 7 stwierdzonych podczas audytu uchybień i nieprawidłowości;
b) przetwarza powierzone dane osobowe w sposób niezgodny z umową oraz RODO;
c) powierzył przetwarzanie powierzonych danych osobowych innemu podmiotowi bez zgody Administratora danych.
2. Każda ze stron może wypowiedzieć niniejszą Umowę z zachowaniem miesięcznego okresu wypowiedzenia.
3. Rozwiązanie niniejszej umowy stanowi podstawę do rozwiązania wszystkich umów powiązanych, o których mowa w §2 ust. 2.
§7
Inspektor Ochrony Danych
1. Inspektorem Ochrony Danych powołanym przez Administratora Danych jest:
Xxxxxxxx Xxxxxxxxx
email: xx@xxxxxxxxxxxxx.xx tel.: 00 000 00 00
2. Inspektorem Ochrony Danych powołanym przez Podmiot przetwarzający jest: email: tel.:
3. Jeżeli w momencie podpisywania niniejszej umowy Podmiot przetwarzający nie wyznaczył Inspektora Ochrony Danych, to po jego wyznaczeniu niezwłocznie prześle informacje wskazane w ust. 2 na adres email wskazany w ust. 1.
4. O zmianie osoby pełniącej funkcję Inspektora Ochrony Danych strony będą się informowały niezwłocznie bez konieczności zmiany niniejszej umowy.
§ 8
Postanowienia końcowe
1. Umowa obowiązuje od dnia jej zawarcia na czas obowiązywania umowy, o której mowa w
§2 ust. 2
2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy oraz powiązanych z nią aktów wykonawczych, a także RODO i kodeksu cywilnego.
3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
....................................... .........................................
Podmiot przetwarzający Administrator