UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 3 do umowy nr o udzielanie świadczeń zdrowotnych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu ............................................................

pomiędzy podmiotami:

Mazowieckim Szpitalem Wojewódzkim im. św. Xxxx Xxxxx XX w Siedlcach Sp. z o.o. z siedzibą w Siedlcach ul. Xxxxxxxxxxxxxx 00 zarejestrowaną w Sądzie Rejonowym Lublin-Wschód w Lublinie z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr 0000336825, REGON: 141944750, NIP: 821 - 25 - 77 - 607, Kapitał zakładowy: 220 980 000,00 zł, reprezentowanym przez:

1) ……………………………………………,

2) ……………………………………………,

zwanego dalej „Zleceniodawcą” lub „Administratorem”, a

.....................................................................................................................................................................................

zwanym dalej: „Zleceniobiorcą”,

zwanym dalej „Zleceniobiorcą” lub „Podmiotem Przetwarzającym”

zwanymi dalej łącznie „Stronami”, zaś oddzielnie „Stroną”.

PREAMBUŁA

Zważywszy, że:

1. Strony zawarły współpracę na podstawie umowy głównej, na podstawie której, Zleceniodawca powierzy Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą umową powierzenia przetwarzania danych osobowych (zwaną dalej „Umową”).

2. Celem Umowy powierzenia jest ustalenie warunków, na jakich Podmiot Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora.

3. Strony, zawierając Umowę powierzenia dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

§ 1.

DEFINICJE

O ile niniejsza Umowa powierzenia (zwana dalej „Umową”) nie stanowi inaczej, zastosowane definicje będą miały następujące znaczenie:

Podwykonawca podmiot, któremu Podmiot Przetwarzający powierzył przetwarzanie danych osobowych za pisemną zgodą Administratora.

Umowa niniejsza Umowa powierzenia przetwarzania danych osobowych.

Umowa główna umowa ………………………………………………….

Umowa podpowierzenia umowa zawarta przez Podmiot Przetwarzający z Podwykonawcą.

Ustawa Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz.U. z 2019 r. poz. 1781 ze zm.) – dalej jako: „ustawa o ochronie danych osobowych”.

RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE.L Nr 119, str. 1) – dalej jako: „Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE” lub „Rozporządzenie RODO” lub

„RODO”.

§ 2.

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. W związku z realizacją umowy, Administrator powierza i poleca Podmiotowi Przetwarzającemu, w trybie art. 28 i art. 29 RODO, dane osobowe do przetwarzania w imieniu Administratora, na zasadach i w celu określonym w niniejszej Umowie.

2. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

§ 3.

OBOWIĄZKI PRZETWARZAJĄCEGO

1. Podmiot Przetwarzający oświadcza, że dysponuje doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającym mu prawidłowe wykonanie usług objętych niniejszą Umową w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z aktualnymi przepisami o ochronie danych osobowych.

Jednocześnie oświadcza, że zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odpowiadało wymogom RODO.

2. Podmiot Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy. Podmiot Przetwarzający zapewnia, że osoby przetwarzające dane osobowe w celu realizacji Umowy zobowiązały się do zachowania tych danych w tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

3. Podmiot Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b) Rozporządzenia RODO przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia ich u Przetwarzającego dane, jak i po jego ustaniu.

4. Podmiot Przetwarzający oświadcza i gwarantuje, że:

1) spełnia wymagania określone w aktualnych przepisach o ochronie danych osobowych, tzn. spełnia wymagania określone w RODO, w szczególności zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO, by przetwarzanie spełniało wymogi RODO, w tym art. 25 i 32 i chroniło prawa osób, których dane dotyczą;

2) osoby wyznaczone przez niego do realizacji umowy powierzenia przetwarzania danych osobowych, spełniają wymagania aktualnych przepisów o ochronie danych osobowych, w szczególności w zakresie znajomości tych przepisów i są upoważnione przez Podmiot Przetwarzający do przetwarzania danych osobowych, zgodnie z tymi przepisami w celu realizacji niniejszej Umowy;

3) osoby wyznaczone przez niego do realizacji umowy powierzenia przetwarzania danych osobowych zapoznały się z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych;

4) osoby wyznaczone przez niego do realizacji Umowy powierzenia zobowiązały się do zachowania tajemnicy (o której mowa w art. 28 ust. 3 lit b RODO) w związku z przetwarzaniem danych osobowych w celu realizacji Umowy powierzenia, tzn. zachowania w tajemnicy danych osobowych oraz informacji dotyczących sposobów ich zabezpieczeń, zarówno w czasie trwania Umowy powierzenia, jak i po jej zakończeniu, bez względu na czas trwania ich stosunku pracy lub stosunku cywilno-prawnego z Podmiotem Przetwarzającym.

5. Podmiot Przetwarzający oświadcza, że

☐ wyznaczył Inspektora Ochrony Danych w osobie …………………………………………………

o którym mowa w aktualnych przepisach o ochronie danych osobowych, (dane kontaktowe)

…………………………………………..;

☐ nie posiada powołanego Inspektora Ochrony Danych, o którym mowa w aktualnych przepisach

o ochronie danych osobowych;

i / ale gwarantuje, że w przypadku jakiejkolwiek zmiany w powyższym zakresie, w trakcie okresu trwania umowy powierzenia przetwarzania danych osobowych, powiadomi Administratora w formie pisemnej, bez zbędnej zwłoki, tj. w terminie nie dłuższym niż 3 dni robocze od chwili dokonania zmian.

6. Podmiot Przetwarzający zobowiązuje się w szczególności, do:

1) podjęcia, przed rozpoczęciem przetwarzania powierzonych danych, o których mowa w załączniku nr 1, środków zabezpieczających dane osobowe oraz spełnienia wymagań, niniejszej Umowy.

2) przetwarzania powierzonych danych osobowych:

a) wyłącznie w celu i zakresie określonym w niniejszej Umowie,

b) nie dłużej, niż jest to konieczne do realizacji Umowy głównej,

3) wspomagania Administratora, przy uwzględnieniu charakteru przetwarzania danych osobowych:

a) w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w RODO, poprzez odpowiednie środki techniczne i organizacyjne;

b) w wywiązywaniu się z obowiązków określonych w art. 32 - 36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym), w zakresie posiadanych informacji.

7. Podmiot Przetwarzający zobowiązuje się niezwłocznie, a najpóźniej w terminie do 3 dni roboczych od wystąpienia zdarzenia, zawiadamiać Administratora o każdym, związanym z realizacją Umowy powierzenia:

1) żądaniu udostępnienia danych osobowych;

2) udostępnieniu danych osobowych uprawnionemu podmiotowi;

3) żądaniu osoby, której dane dotyczą, związanym z wypełnianiem jej praw wynikających z RODO;

8. Podmiot Przetwarzający powiadamia Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż do 12 godzin od stwierdzenia naruszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane na formularzu, którego wzór stanowi Załącznik nr 2 do niniejszej umowy wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.

9. Podmiot Przetwarzający przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. Jeżeli Podmiot Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

10. Planując dokonanie zmian w sposobie przetwarzania danych, Podmiot Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Podmiot przetwarzający zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Podmiot przetwarzający.

11. Podmiot Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych (wymóg art. 30 ust. 2 RODO). Podmiot Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych Podmiotu przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Podmiotu przetwarzającego.

12. Jeżeli Podmiot Przetwarzający wykorzystuje w celu realizacji Umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Podmiot Przetwarzający informuje o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.

§ 4.

ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO

1. Jako podmiot, któremu Administrator powierza i poleca przetwarzanie danych osobowych, Podmiot Przetwarzający ponosi odpowiedzialność w zakresie przestrzegania aktualnych przepisów o ochronie danych osobowych, w zakresie obowiązków, jakie RODO nakłada wprost na Podmiot Przetwarzający oraz przez cały okres trwania Umowy powierzenia - w zakresie przestrzegania postanowień Umowy głównej i Umowy powierzenia.

2. Podmiot Przetwarzający odpowiada za szkody spowodowane niewykonaniem lub nienależytym wykonaniem obowiązków wynikających z Umowy oraz z obowiązujących przepisów prawa, w tym za szkody powstałe wskutek niedopełnienia obowiązków, które RODO nakłada bezpośrednio na Podmiot Przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.

3. Podmiot Przetwarzający, odpowiednio do okresu trwania Umowy powierzenia - zgodnie z art. 28 ust. 10 i art. 82 ust. 2 RODO ponosi odpowiedzialność za szkody, jakie z jego winy powstaną po stronie Administratora w wyniku przetwarzania danych osobowych, niezgodnego z Umową główną – w zakresie ochrony danych osobowych, Umową powierzenia lub aktualnymi przepisami prawa o ochronie danych osobowych.

4. Podmiot Przetwarzający jest zobowiązany do niezwłocznego informowania Administratora o wszelkich zapytaniach kierowanych do Podmiotu przetwarzającego ze strony uprawnionych organów kontrolnych w sprawie realizacji Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia oraz o zapowiedzianych lub rozpoczynających się u niego kontrolach w tym zakresie, jak również o stwierdzonych nieprawidłowościach.

5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, o których mowa w niniejszej Umowie, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podwykonawcę spoczywa na Podmiocie przetwarzającym.

6. Administrator danych zobowiązuje Podmiot Przetwarzający do zapoznania osób upoważnionych do przetwarzania danych osobowych z aktualnymi przepisami o ochronie danych osobowych.

7. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.

§ 5.

PRZEKAZANIE I USUWANIE DANYCH

1. O ile z Umowy głównej wynika konieczność przekazania danych osobowych, Podmiot Przetwarzający zobowiązuje się:

1) nie wykonywać żadnych zbędnych kopii powierzonych danych;

2) w zależności od decyzji Administratora zwrócić lub usunąć powierzone dane Administratorowi oraz usunąć wszelkie ich istniejące kopie, niezwłocznie po ustaniu celu przetwarzania, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

2. Zwrot potwierdzony zostanie Protokołem przekazania podpisanym przez obie strony.

3. W każdym przypadku Podmiot Przetwarzający zobowiązuje się do usunięcia wszelkich istniejących kopii powierzonych danych, o ile musiał takie kopie wykonać dla prawidłowej realizacji Umowy głównej, chyba że przepisy prawa obligują Podmiot Przetwarzający do ich przechowywania, o czym Podmiot Przetwarzający poinformuje pisemnie Administratora, wskazując te przepisy.

§ 6.

UPRAWNIENIA ADMINISTRATORA

1. Administratorowi przysługuje prawo do:

1) kontroli, zgodnie z art. 28 ust. 3 lit. h RODO, czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy, w tym żądania przedłożenia dokumentów, których posiadanie i prowadzenie przez Podmiot Przetwarzający wynika wprost z RODO;

2) żądania wstrzymania przetwarzania danych osobowych w przypadku przetwarzania ich niezgodnie z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia;

3) żądania natychmiastowego zwrotu powierzonych danych, w przypadku, gdy Podmiot Przetwarzający nie spełniać będzie wymagań wynikających z RODO.

2. Kontrola będzie przeprowadzona po uprzednim zawiadomieniu Podmiotu przetwarzającego o terminie kontroli. Kontrola przeprowadzona będzie w godzinach pracy Podmiotu przetwarzającego. Termin kontroli przekazany zostanie do Podmiotu Przetwarzającego min. na 5 dni przed rozpoczęciem kontroli.

3. Podmiot Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni.

4. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji. Podmiot Przetwarzający zobowiązuje się przyczyniać się do tych czynności.

5. Podmiot Przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie w ramach działań, o którym mowa w ust. 3 stanowić będzie naruszenie aktualnych przepisów o ochronie danych osobowych

§ 7.

TRANSFER I DALSZE POWIERZENIE PRZETWARZANIA DANYCH

1. Podmiot Przetwarzający nie ma zgody Administratora na transfer danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (państwa trzeciego) lub organizacji międzynarodowej w rozumieniu aktualnych przepisów o ochronie danych osobowych.

2. Podmiot Przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania kolejnemu podmiotowi – Podwykonawcy, jedynie w ściśle określonym celu i zakresie, wyłącznie.

3. Podwykonawca winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot Przetwarzający w niniejszej umowie.

4. W przypadku powierzenia przetwarzania danych osobowych przez Podmiot Przetwarzający Podwykonawcy, zgodnie z ust. 2, Podmiot Przetwarzający:

1) zawiera z Podwykonawcą, na piśmie, odrębną umowę powierzenia przetwarzania danych osobowych (zwaną dalej umową podpowierzenia), w rozumieniu art. 28 ust. 4 RODO, z określeniem stosownego do Umowy powierzenia celu, czasu i zakresu przetwarzania danych osobowych oraz rodzaju danych osobowych i kategorii osób, których te dane dotyczą;

2) bierze na siebie pełną odpowiedzialność za działania Podwykonawcy niezgodne z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia, a Stroną dla Administratora, w ewentualnych sporach wynikających z niewłaściwego wykonania przez Podwykonawcę tych umów, jest zawsze Podmiot Przetwarzający;

3) zawiera w umowie powierzenia (podpowierzenia) zapis dotyczący uprawnień Administratora do kontroli Podwykonawcy w zakresie bezpieczeństwa powierzonych mu danych osobowych w ramach umowy podpowierzenia;

4) zawiera w umowie powierzenia (podpowierzenia) zapis, zgodnie z którym Podwykonawca – bez uszczerbku dla zobowiązań Podmiotu przetwarzającego – przyjmuje na siebie całość tych obowiązków, jakie ciążą na Podmiocie przetwarzającym, a wynikających z aktualnych przepisów o ochronie danych osobowych oraz niniejszej Umowy powierzenia, w szczególności obowiązki określone w § 3 Umowy powierzenia;

5) Na żądanie Administratora, przekazuje Administratorowi kopię umowy powierzenia (podpowierzenia) zawartej z Podwykonawcą celem załączenia do Umowy powierzenia, jako jej integralnej części w terminie nie przekraczającym 2 dni roboczych od otrzymania żądania.

6) Podmiot Przetwarzający, w przypadku gdy w umowie podpowierzenia dopuszcza, za zgodą Administratora, kolejne podpowierzenia, zapewnia Administratorowi posiadanie przez niego, na każdym etapie realizacji Umowy powierzenia, aktualnego wykazu wszystkich podmiotów przetwarzających w ramach realizacji Umowy powierzenia.

5. Podmiot Przetwarzający, w przypadku przekroczenia zakresu przetwarzania danych osobowych poza zakres wyznaczony Umową powierzenia, staje się administratorem tych danych przetwarzanych poza zakresem.

6. Podmiot Przetwarzający nie ma prawa przekazać Podwykonawcy całości wykonania Umowy.

7. Podmiot Przetwarzający ponosi odpowiedzialność wobec Administratora danych za naruszenie postanowień niniejszej Umowy przez Podwykonawcę.

§ 8.

CZAS TRWANIA UMOWY

1. Umowę zawarto na czas obowiązywania Umowy głównej.

2. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot Przetwarzający:

1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

2) przetwarza dane osobowe w sposób niezgodny z Umową;

3) powierzył przetwarzanie danych osobowych Podwykonawcy bez zgody Administratora.

§ 9.

ZASADY ZACHOWANIA POUFNOŚCI

1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej.

2. Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej umowy, chyba, że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.

3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym szczególnych kategorii danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

§ 10.

KARY UMOWNE

1. Podmiot Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą umową. W takim przypadku Administrator jest uprawniony do dochodzenia roszczeń na drodze sądowej.

§ 11.

POSTANOWIENIA KOŃCOWE

1. Wszelkie zmiany i uzupełnienia postanowień Umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.

2. Prawem właściwym dla niniejszej Umowy powierzenia jest prawo polskie.

3. Spory mogące wyniknąć w trakcie realizacji niniejszej umowy rozpatrywać będzie sąd powszechny właściwy dla siedziby Administratora.

4. Niniejsza Umowa powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

……………………..………………………..… ……………………………..…………………… Administrator Podmiot Przetwarzający

Załącznik nr 1 do umowy powierzenia przetwarzania

CEL I ZAKRES PRZETWARZANIA DANYCH

1. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot Przetwarzający wyłącznie w celach:

1) ..................................................................................................;

2) ..................................................................................................;

3) ..................................................................................................;

2. Realizując w/w cel, Podmiot Przetwarzający będzie upoważniony do wykonywania następujących czynności przetwarzania danych osobowych:

1) w formie papierowej:

pozyskiwania / zbierania, przechowywania, przenoszenia / transportowania, przesyłania, przeglądania, weryfikowania, uzupełniania, modyfikowania, usuwania;

2) w formie elektronicznej:

pozyskiwania / zbierania, przechowywania, przenoszenia / transportowania, przesyłania, przeglądania, weryfikowania, uzupełniania, modyfikowania, usuwania;

3. Przetwarzanie danych będzie dotyczyć następujących kategorii osób: 1) ............................................

2) ..............................................

3) ..............................................

4. Przetwarzanie danych będzie dotyczyło następującej kategorii danych osobowych:

☐Dane zwykłe.

☐ Dane szczególnej kategorii.

☐ Dane dotyczące wyroków skazujących i naruszeń prawa.

5. Podmiot Przetwarzający będzie przetwarzał:

1) w przypadku kategorii osób: ...................................... przetwarzane są: ;

2) w przypadku kategorii osób: ...................................... przetwarzane są: ;

3) w przypadku kategorii osób: ...................................... przetwarzane są: ;

6. Podmiot Przetwarzający przetwarzać będzie dane w formie:

1) ☐ Papierowej

2) ☐ Elektronicznej

3) ☐ Papierowej i Elektronicznej.

7. Podmiot Przetwarzający ma prawo przetwarzać powierzone mu przez Administratora dane osobowe tylko i włącznie w ramach realizacji niniejszej umowy powierzenia lub na udokumentowane polecenie Administratora, - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

Załącznik nr 2 do umowy powierzenia przetwarzania

………………………….dn r.

FORMULARZ

ZGŁOSZENIA NARUSZENIA DLA PODMIOTU PRZETWARZAJĄCEGO

Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz zgodnie z umową, niniejszym zgłaszam zajście incydentu naruszenia ochrony danych osobowych.

1. Dane Podmiotu Przetwarzającego:

……………………………………….………………………………………………………………………

……………………………………………………………………………………………………………….

2. Miejsce i dzień naruszenia:

……………………………………….………………………………………………………………………

……………………………………………………………………………………………………………….

3. Kategoria i przybliżona liczba osób, których dane dotyczą:

……………………………………….………………………………………………………………………

……………………………………………………………………………………………………………….

4. Kategorie i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie:

……………………………………….………………………………………………………………………

……………………………………………………………………………………………………………….

5. Opis charakteru naruszenia ochrony danych:

……………………………………….………………………………………………………………………

……………………………………………………………………………………………………………….

6. Możliwe konsekwencje naruszenia ochrony danych:

……………………………………….………………………………………………………………………

……………………………………………………………………………………………………………….

7. Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia:

………………………………………………………………………………………………………………

8. Inne:

………………………………………………………………………………………………………………

……………………………………………………………

podpis osoby uprawnionej do reprezentowania Podmiotu Przetwarzającego

Document Metadata

Table of Contents

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Document Metadata