UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 15e do SIWZ: Wzór umowy powierzenia danych osobowych dla Powiatu Krapkowickiego
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta dnia r. w Krapkowicach pomiędzy:
Xxxxxxxx Xxxxxxxx, Starostą Krapkowickim z siedzibą w Krapkowicach, pod adresem: Starostwo Powiatowe w Krapkowicach, xx. Xxxxxxxxxxx 0, 00-000 Xxxxxxxxxx
zwanym dalej Administratorem
a
……….….. [dane adwokata / radcy prawnego świadczącego nieodpłatną pomoc prawną
lub nieodpłatne poradnictwo obywatelskie]………………….
zwanym dalej Podmiotem Przetwarzającym
§ 1
DEFINICJE
Dla potrzeb niniejszej umowy, Administrator i Podmiot Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1) Umowa Powierzenia – niniejsza umowa;
2) Umowa Główna – umowa nr AO.2150. ………………………. z dnia ……………………………
3) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
4) Ustawa – ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej pomocy prawnej, nieodpłatnym poradnictwie obywatelskim oraz edukacji prawnej (Dz.U. z 2017 r. poz. 2030 z późn. zm.).
5) Osoba Uprawniona – osoba, o której mowa w art. 4 ust. 1 ustawy.
§ 2
OŚWIADCZENIA STRON
1. Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 RODO w związku z zawarciem Umowy Głównej.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, z RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO.
§ 3
PRZEDMIOT UMOWY
1. W trybie art. 28 ust. 3 RODO, Administrator powierza Podmiotowi Przetwarzającemu do przetwarzania dane osobowe wskazane w § 4 ust. 3 niniejszej Umowy Powierzenia, a Podmiot
Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową Powierzenia.
2. Podmiot Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie Powierzenia oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora drogą elektroniczną lub na piśmie.
§ 4
CEL, ZAKRES, CHARAKTER I SPOSÓB PRZETWARZANIA
1. Podmiot Przetwarzający zobowiązuje się do przetwarzania danych osobowych Osób Uprawnionych w punkcie określonym w § 2 ust. 1 Umowy Głównej oraz, jeśli zachodzi okoliczność określona w art. 8 ust. 8 Ustawy, poza tym punktem.
2. Celem przetwarzania danych osobowych wskazanych w ust. 3 jest wykonanie Umowy Głównej.
3. Zakres powierzonych Podmiotowi Przetwarzającemu do przetwarzania danych osobowych obejmuje następujące dane należące do Osób Uprawionych:
1) Imię nazwisko,
2) adres,
3) numer telefonu,
4) numer identyfikacyjny PESEL lub w przypadku braku numeru PESEL – numer paszportu albo innego dokumentu stwierdzającego tożsamość,
5) innych danych wytworzonych i/lub przekazanych Podmiotowi Przetwarzającemu przez Osoby Uprawnione w ramach realizacji postanowień Umowy Głównej.
4. Dane osobowe będą przez Podmiot Przetwarzający przetwarzane w formie papierowej i/lub w formie elektronicznej w systemach informatycznych.
5. Przetwarzanie danych osobowych będzie się odbywało poprzez gromadzenie, segregowanie, kopiowanie, skanowanie, przekazywanie, usuwanie danych Osób Uprawnionych przez Podmiot Przetwarzający.
6. Przetwarzający będzie otrzymywał dane osobowe od Osób Uprawnionych oraz od Administratora.
§ 5
ZASADY POWIERZENIA PRZETWARZANIA
1. Przed rozpoczęciem przetwarzania danych osobowych Podmiot Przetwarzający musi podjąć środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności:
1) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z administratorem,
2) zapewnić, by każda osoba lub podmiot działający z upoważnienia Podmiotu Przetwarzającego, która ma dostęp do danych osobowych, przetwarzał je wyłącznie na polecenie Administratora w celach i zakresie przewidzianym w Umowie Powierzenia,
2. Podmiot Przetwarzający zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu Umowy Głównej.
§ 6
DALSZE OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
1. W sytuacji podejrzenia naruszenia ochrony danych osobowych, Podmiot Przetwarzający zobowiązuje się do:
1) przekazania Administratorowi informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia,
2) przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych,
3) przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
2. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO. W szczególności Podmiot Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.
3. Podmiot Przetwarzający zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
4. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora
o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Podmiot Przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Podmiotu Przetwarzającego.
§ 7
PODPOWIERZENIE PRZETWARZANIA
1. W sytuacji określonej w § 3 ust. 2 i 3 Umowy Głównej Administrator dopuszcza możliwość podpowierzenia przetwarzania powierzonych danych osobowych podwykonawcy Podmiotu Przetwarzającego (tzw. subprocesorom).
2. Podpowierzenie nastąpi na podstawie upoważnienia bądź pełnomocnictwa wydanego przez Podmiot Przetwarzający podwykonawcy lub umowy podpowierzenia zawartej pomiędzy Podmiotem Przetwarzającym a podwykonawcą, z oznaczeniem czasu obwiązywania tego upoważnienia, pełnomocnictwa lub umowy podpowierzenia.
3. Podmiot Przetwarzający przekazuje jeden egzemplarz upoważnienia, pełnomocnictwa lub umowy Administratorowi.
4. Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec podwykonawcy (subprocesora).
5. W przypadku cofnięcia upoważnienia, pełnomocnictwa lub rozwiązania umowy podpowierzenia z innych przyczyn, aniżeli ustanie określonego czasu obowiązywania, Podmiot Przetwarzający poinformuje o tym fakcie Administratora w terminie 3 dni od zaistnienia tego faktu.
§ 8
AUDYT PRZETWARZAJĄCEGO
1. Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających z RODO oraz niniejszej Umowy Powierzenia przez Podmiot Przetwarzający, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.
2. Administrator ma także prawo przeprowadzania audytów lub inspekcji w Podmiocie Przetwarzającym w zakresie zgodności operacji przetwarzania z prawem i z Umową Powierzenia. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być przeprowadzane przez podmioty trzecie upoważnione przez Administratora.
§ 9
ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA
Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot Przetwarzający przekazuje Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie. Podmiot Przetwarzający powyższe potwierdza przekazanym Administratorowi protokołem.
§ 10
KARY UMOWNE
W przypadku nałożenia na Administratora kary za niezgodne z przepisami prawa powszechnie obowiązującego przetwarzanie danych osobowych przez Podmiot Przetwarzający, w szczególności jeśli naruszenie to nastąpiło za przyczyną działania Podmiotu Przetwarzającego, Podmiot Przetwarzający zwróci Administratorowi, w terminie 7 dni od otrzymania informacji w tym zakresie od Administratora, kwotę wynikającą z nałożonej na niego kary.
§ 10
CZAS OBOWIĄZYWANIA UMOWY
Niniejsza umowa obowiązuje w okresie obowiązywania Umowy Głównej.
§ 11
ROZWIAZANIE UMOWY
Administrator może rozwiązać niniejszą Umowę Powierzenia ze skutkiem natychmiastowym, gdy Podmiot Przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z umową;
3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
§ 12
ZASADY ZACHOWANIA POUFNOŚCI
1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Osób Uprawnionych, od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 13
POSTANOWIENIA KOŃCOWE
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.
2. Wszelkie zmiany dotyczące niniejszej Umowy Powierzenia powinny być dokonywane w formie pisemnej pod rygorem nieważności.
3. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Administratora.
5. Z tytułu wykonywania niniejszej Umowy Powierzania, Podmiotowi Przetwarzającemu nie przysługuje dodatkowe wynagrodzenie.