UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik Nr 9 do Polityki bezpieczeństwa

Związku Rzemiosła Polskiego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta w dniu 2018 r. pomiędzy:

ZWIĄZEK RZEMIOSŁA POLSKIEGO, xx. Xxxxxxx 00, 00-000 Xxxxxxxx, NIP:

5260251368, wpisany pod numerem 0000103276, w Sądzie Rejonowym w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, reprezentowany przez Prezesa Zarządu Xxxx Xxxxxxxxxxxxx, zwaną dalej „Administratorem”

a ……………………………………………. NIP: …………………………………………..

wpisaną pod numerem ……. , KRS /CEIDG ………. w Sądzie Rejonowym w ……., …..

Wydział Gospodarczy Krajowego Rejestru Sądowego, reprezentowaną przez: Prezesa Zarządu ………………………………

zwaną dalej „Procesorem”,

dalej łącznie zwanymi „Stronami”, a każda z osobna „Stroną”, o następującej treści:

§1.

PRZEDMIOT UMOWY

Przedmiot umowy powierzenia przetwarzania danych osobowych (zwanej dalej „Umową”) stanowi powierzenie Procesorowi przez Administratora przetwarzania danych osobowych, na zasadach określonych w niniejszej Umowie, w trybie określonym w art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) w związku z ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U z 2018 r. poz. 1000).

§2.

ZAKRES I CEL PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator powierza Procesorowi przetwarzanie danych osobowych gromadzonych w związku z realizacją Projektu ………………………przechowywanych w bazie danych Projektu w celu wykonania przez Procesora na rzecz Administratora obowiązków

wynikających z umowy z dnia …………………. zawartej pomiędzy Procesorem i

Związkiem Rzemiosła Polskiego zwanej dalej Umową główną).

2. Niniejsza Umowa obowiązuje dla wszystkich czynności związanych z Umową główną, podczas których Procesor przetwarza dane osobowe Administratora.

3. Przetwarzanie danych osobowych będzie wykonywane w okresie obowiązywania Umowy głównej pod warunkiem, że z niniejszej Umowy nie wynikają odmienne ustalenia.

4. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe wyłącznie w celu przewidzianym w Umowie, zgodnie z RODO i innymi przepisami prawa w zakresie ochrony danych osobowych.

5. Procesor może przetwarzać dane osobowe wyłącznie na terytorium Rzeczypospolitej Polskiej.

6. Szczegółowy zakres przetwarzania przez Procesora danych osobowych został zawarty w załączniku do Umowy.

§3.

OBOWIĄZKI PROCESORA

W związku z zawarciem Umowy, Procesor zobowiązuje się w szczególności do:

1) przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora;

2) zabezpieczenia danych osobowych podczas ich przetwarzania przed ich udostępnieniem osobom nieupoważnionym, przejęciem przez osoby nieuprawnione, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

3) nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy;

4) zapewnienia by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, zarówno w trakcie zatrudnienia ich u Procesora, jak i po jego ustaniu;

5) wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO - w tym zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych - w celu zapewnienia zgodności przetwarzania z RODO;

6) niezwłocznego zgłaszania Administratorowi stwierdzonego naruszenia ochrony danych osobowych;

7) aktywnej współpracy oraz wsparcia Administratora odpowiednimi środkami technicznymi i organizacyjnymi w wypełnieniu jego obowiązków w rozumieniu art. 12- 22 oraz art. 32 i 36 RODO;

8) trwałego usunięcia, po zakończeniu świadczenia usług związanych z przetwarzaniem danych, wszelkich danych osobowych, wszelkich ich istniejących kopi oraz informacji służących do autoryzacji połączenia z systemem informatycznym Administratora.

§4.

OBOWIĄZKI ADMINISTRATORA

Administrator zobowiązany jest współdziałać z Procesorem w wykonaniu Xxxxx oraz udzielać Procesorowi wyjaśnień w razie wątpliwości co do legalności poleceń Administratora.

§5.

PRAWO KONTROLI

1. Administrator, zgodnie z art. 28 ust. 3 pkt h RODO, ma prawo kontroli środków zastosowanych przez Procesora przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych z punktu widzenia zgodności z przepisami prawa oraz postanowieniami Umowy.

2. Administrator będzie realizować prawo kontroli samodzielnie lub przez upoważnionego przez niego audytora w godzinach pracy Procesora, z minimum 7 dniowym uprzedzeniem.

3. Procesor zobowiązuje się zapewnić w czasie kontroli wgląd do wszystkich materiałów oraz systemów, w których realizowane jest przetwarzanie danych osobowych Administratora, umożliwić dostęp do pracowników zaangażowanych w ich przetwarzanie oraz udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez Procesora obowiązków określonych w art. 28 RODO.

4. Administrator lub audytor upoważniony przez Administratora, przed rozpoczęciem czynności audytowych, podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu, w tym danych osobowych, których administratorem danych jest Procesor.

5. Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 14 dni roboczych.

§6.

DALSZE POWIERZENIE DANYCH OSOBOWYCH DO PRZETWARZANIA

1. Procesor może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy i po uzyskaniu uprzedniej pisemnej zgody Administratora.

2. Podwykonawca winien spełniać te same gwarancje i obowiązki jakie zostały nałożone w niniejszej Umowie na Procesora.

3. Procesor ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych osobowych.

§7.

ODPOWIEDZIALNOŚĆ PROCESORA

1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Procesor zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Procesora danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Procesora, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Procesora danych osobowych powierzonych przez Administratora.

3. W przypadku naruszenia postanowień Umowy lub obowiązujących w tym zakresie przepisów prawa z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Procesor zobowiązuje się do zapłaty Administratorowi równowartości roszczeń osób trzecich, kar oraz równowartości kosztów postępowania administracyjnego i/lub sądowego, które będą wynikiem nieprawidłowego działania Procesora.

§8.

ZASADY ZACHOWANIA POUFNOŚCI

1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w związku z wykonywaniem niniejszej Umowy w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§9.

CZAS TRWANIA I WYPOWIEDZENIE UMOWY

1. Umowa zawarta jest na czas obowiązywania Umowy głównej.

2. Każda ze Stron może wypowiedzieć Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia, ze skutkiem na koniec miesiąca kalendarzowego. Oświadczenie o wypowiedzeniu powinno dla swej ważności zostać złożone na piśmie.

3. Administrator ma prawo rozwiązać Umowę ze skutkiem natychmiastowym w wypadku stwierdzenia, że Procesor:

a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

b) przetwarza dane osobowe w sposób niezgodny z Umową lub RODO;

c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora;

d) zawiadomił Administratora o niezdolności do wypełniania przedmiotu Umowy, a w szczególności wymagań określonych w §3 Umowy.

§10.

POSTANOWIENIA KOŃCOWE

1. Niniejsza Umowa stanowi udokumentowanie polecenie Administratora, o którym mowa w art. 28 ust. 3 RODO.

2. W sprawach nieuregulowanych mają zastosowanie przepisy RODO oraz prawa polskiego.

3. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Za Administratora Za Procesora

Załącznik do UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH w RAMACH UMOWY

…………………………………...

ZAKRES PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY W SPRAWIE ……………………..

CHARAKTER PRZETWARZANIA	CEL PRZETWARZANIA	RODZAJ DANYCH OSOBOWYCH	KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ	FORMA PRZETWARZANIA
Wykonywanie obowiązków	Realizacja czynności określonych w Umowie głównej	• Zwykłe dane osobowe, wg art. 4 pkt 1 RODO; • Wrażliwe dane osobowe (w zakresie danych dotyczących zdrowia), wg art. 9 pkt 1 RODO.	Wszystkie dane osobowe przechowywane w Bazie Danych Projektu …….	Przeglądanie i weryfikacja informacji przekazanych w ramach umowy Projektu …..
Wykonywanie obowiązków wynikających z pomocy …….	Realizacja czynności określonych w Umowie głównej	• Zwykłe dane osobowe, wg art. 4 pkt 1 RODO; • Wrażliwe dane osobowe (w zakresie danych dotyczących zdrowia), wg art. 9 pkt 1 RODO.	Wszystkie dane osobowe przechowywane w Bazie Danych Projektu …….	Przeglądanie i weryfikacja informacji przekazanych w ramach umowy Projektu …..
	Realizacja czynności określonych w Umowie głównej	• Zwykłe dane osobowe, wg art. 4 pkt 1 RODO; • Wrażliwe dane osobowe (w zakresie danych dotyczących zdrowia), wg art. 9 pkt 1 RODO.	Wszystkie dane osobowe przechowywane w Bazie Danych Projektu …….	Przeglądanie i weryfikacja informacji przekazanych w ramach umowy Projektu …..