powierzenia przetwarzania danych osobowych
Umowa
Załącznik Nr 5
do Umowy
Wzór umowy powierzenia przetwarzania
danych osobowych
powierzenia przetwarzania danych osobowych
(WZÓR)
zawarta w dniu w Bydgoszczy, pomiędzy:
Izbą Administracji Skarbowej w Bydgoszczy
z siedzibą w Bydgoszczy przy ul. Dr. E. Xxxxxxxxxxxx 00, 00-000 Xxxxxxxxx REGON: 001021145, NIP: 000-00-00-000
reprezentowaną przez ..................................................................................................................
- Dyrektora Izby Administracji Skarbowej w Bydgoszczy, zwaną dalej Administratorem,
a:
....................................................................................................................................................................
(nazwa)
....................................................................................................................................................................
(siedziba/adres)
wpisanym/ą do Krajowego Rejestru Sądowego (albo, odpowiednio, innego rejestru albo ewidencji) pod numerem: ...............................................................
przez ...................................................................................................................................................
REGON:...............................................................NIP: .........................................................................
reprezentowanym/ą (na podstawie odpisu z KRS/pełnomocnictwa, innego dokumentu z którego wynika umocowanie do reprezentowania – stanowiącego załącznik nr .… do niniejszej Umowy) przez:
1. .................................................................................................................................................
(imię, nazwisko i pełniona xxxxxxx)
2. .................................................................................................................................................
(imię, nazwisko i pełniona xxxxxxx)
zwany w dalszej części umowy „Przetwarzającym”, łącznie zwanymi Stronami, a odrębnie Stroną.
§ 1. Cele umowy i kontekst przetwarzania danych
1. W dniu .................... Strony zawarły umowę na przeprowadzenie warsztatów
z badania dostępności aplikacji mobilnych („Umowa Podstawowa”), w związku
z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową („Umowa”).
2. Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora.
3. Charakter i cel przetwarzania wynikają z Umowy Podstawowej. Charakter przetwarzania określony jest rolą i zadaniami Stron:
1) Przetwarzającego – przeprowadzeniem warsztatów z badania dostępności aplikacji mobilnych,
2) Administratora – wywiązywania się z prawnych obowiązków w zakresie realizacji umowy na przeprowadzenie warsztatów z badania dostępności aplikacji mobilnych.
§ 2. Zakres i okres powierzenia danych osobowych
1. Na warunkach określonych niniejszą Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) dalej opisanych Danych Osobowych.
2. Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
3. Przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”): Dane zwykłe:
(1) imię i nazwisko,
(2) adres służbowy e-mail,
(3) służbowy numer telefonu,
(4) jednostka organizacyjna.
4. Przetwarzanie Danych będzie dotyczyć pracowników oraz funkcjonariuszy celno- skarbowych Administratora, innych jednostek KAS oraz Ministerstwa Finansów.
§ 3. Sposób wykonania umowy w zakresie przetwarzania danych osobowych
1. Interpretacja Umowy i wykonywanie jej postanowień dokonywane będą w zgodzie z zasadami przetwarzania danych osobowych określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej „RODO” oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2. Przetwarzający oświadcza, że posiada niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania niniejszej Umowy.
3. Przetwarzający przetwarza Dane zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem).
4. Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych podległym i współpracującym z nim osobom, które będą przetwarzać Dane w celu realizacji Umowy, odpowiednio do przyjętych u Przetwarzającego w tym zakresie procedur. Przetwarzający zobowiązuje się do ograniczenia dostępu do Danych wyłącznie do osób posiadających upoważnienie, których dostęp do Danych jest niezbędny dla realizacji Umowy.
5. Przetwarzający ma obowiązek zapewnić osobom upoważnionym do przetwarzania Danych odpowiednie szkolenie z zakresu ochrony danych osobowych.
6. Przetwarzający uzyskuje, od osób które zostały upoważnione do przetwarzania Danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy.
7. Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej poza Europejski Obszar Gospodarczy („EOG”). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują Dane poza EOG.
8. Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza EOG, informuje
o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
9. Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z postanowieniami Umowy.
10. Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
11. Przetwarzający pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w Rozdziale III RODO.
12. Planując dokonanie zmian w sposobie przetwarzania Danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art.
25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora
o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania Danych przez Przetwarzającego.
§ 4. Odpowiedzialność Przetwarzającego
1. Przetwarzający odpowiada za niezgodne z treścią umowy przetwarzanie, w tym udostępnienie lub wykorzystanie Danych, a w szczególności za udostępnienie powierzonych danych do przetwarzania osobom nieupoważnionym.
2. W przypadku naruszenia obowiązujących przepisów prawa lub niniejszej Umowy z przyczyn leżących po stronie Przetwarzającego, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą
finansową, Przetwarzający zobowiązuje się naprawić Administratorowi wyrządzoną z tego tytułu szkodę.
§ 5. Powiadomienie o naruszeniach
1. Przetwarzający powiadamia Administratora o każdym podejrzeniu naruszenia ochrony Danych, na adres poczty elektronicznej Inspektora Ochrony Danych wskazany na stronie BIP Izby Administracji Skarbowej w Bydgoszczy, nie później niż w ciągu 24 godzin od stwierdzenia możliwości naruszenia. Powiadomienie o podejrzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
2. Przetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
1. Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania Danych, w tym rejestru kategorii czynności przetwarzania danych osobowych zgodnie z art. 30 ust. 2 RODO.
2. Administrator ma prawo do kontrolowania sposobu przetwarzania powierzonych Danych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są Dane oraz wglądu do dokumentacji związanej z ich przetwarzaniem. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych oraz udostępnienia dokumentacji przetwarzania. Przetwarzający w szczególności:
1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
2) umożliwia Administratorowi lub upoważnionemu pracownikowi przeprowadzanie audytów lub inspekcji oraz współpracuje w zakresie realizacji audytów lub inspekcji.
§ 7. Dalsze powierzenie przetwarzania Danych
1. Przetwarzający może powierzyć konkretne operacje przetwarzania Danych („podpowierzenie”) w drodze pisemnej umowy podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym, pod warunkiem zgłoszenia tego faktu Administratorowi najpóźniej w terminie 7 dni roboczych przed zawarciem Umowy Podpowierzenia oraz niewyrażenia w terminie 5 dni roboczych od otrzymania zgłoszenia sprzeciwu przez Administratora.
2. Podpowierzenie wymaga uprzedniego zgłoszenia Administratorowi wykazu podmiotów,
o których mowa w ust. 1. Administrator może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia Danych. W razie zgłoszenia sprzeciwu Przetwarzający nie ma prawa powierzyć Danych podmiotowi objętemu sprzeciwem. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania.
3. Dokonując podpowierzenia Przetwarzający ma obowiązek zobowiązać podmiot, o którym mowa w ust. 1, do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.
4. Przetwarzający ma obowiązek zapewnić, aby podmiot o którym mowa w ust. 1, złożył Administratorowi zobowiązanie do wykonania obowiązków, o których mowa w poprzednim ustępie. Może to zostać wykonane przez podpisanie stosownego oświadczenia adresowanego do Administratora wraz z podpisaniem Umowy Podpowierzenia, zawierającego listę obowiązków.
5. Przetwarzający nie ma prawa przekazać innym podmiotom całości wykonania Umowy.
§ 8. Okres obowiązywania umowy
Umowa została zawarta na czas obowiązywania Umowy Podstawowej.
1. Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych i jest zobowiązany do:
1) usunięcia Danych lub ich zwrotu,
2) usunięcia wszelkich istniejących kopii
– chyba że Administrator postanowi inaczej lub przepisy prawa nakazują dalsze ich przechowywanie.
2. W terminie do 30 dni od wygaśnięcia Umowy Przetwarzający poinformuje Administratora o realizacji obowiązków, o których mowa w ust. 1.
1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
....................................................................... .......................................................................
ADMINISTRATOR PODMIOT PRZETWARZAJĄCY