UMOWA
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH
zawarta w dniu w Gdyni, pomiędzy:
Skarbem Państwa - Sądem Rejonowym w Gdyni , Zwanym dalej Administratorem reprezentowanym przez
SSR Xxxxxxxx Xxxxxx – Prezesa Sądu Rejonowego w Gdyni
Xxxxxxx Xxxxxxxxxxxxxxx - Dyrektora Sądu Rejonowego w Gdyni a
………………………………………………………………………………………………………. reprezentowanym przez
Zwany dalej Przetwarzającym
………………………………………………………………………………………………………………. dalej łącznie zwanymi „Stronami”;
Mając na uwadze, że:
1. W dniu …………………………… roku Strony zawarły umowę nr na
świadczenie usług ochrony w budynkach sądowych położonych w Gdyni przy Xx. Xxxxxxxxxxx 0 oraz xx. Xxxx x Xxxxx 00 zwaną dalej Umową Podstawową.
2. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni przepisom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO oraz przepisom Ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2018 r. poz. 1000) – dalej zwaną ustawą.
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
1. Opis Przetwarzania
1.1. Działający w imieniu Sądu Rejonowego w Gdyni Prezes Sądu Rejonowego w Gdyni oraz Dyrektor Sądu Rejonowego w Gdyni będący Administratorami Danych osobowych w zakresie wynikającym z art. 175a §1 Ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz.U.2019.52 j.t.) , w trybie art. 28 RODO powierzają Przetwarzającemu, przetwarzanie danych osobowych w zakresie wynikającym z Umowy Podstawowej .
1.2. Przetwarzający zobowiązuje się do ich przetwarzania zgodnie z RODO, ustawą, innymi przepisami powszechnie obowiązującymi, chroniącymi prawa osób, których dane dotyczą oraz niniejszą umową.
1.3. Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
1.4. Przetwarzający będzie przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej umowie oraz w Umowie Podstawowej.
1.5. Charakter i cel przetwarzania wynikają z Umowy Podstawowej.
1.5.1. charakter przetwarzania określony jest następującą rolą Przetwarzającego ochrona budynków,
1.5.2. celem przetwarzania jest zapewnienie bezpieczeństwa budynków.
1.5.3.Przetwarzanie danych przez Przetwarzającego w celach innych niż wyżej wskazane jest surowo zabronione.
1.6. Przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”):
Dane zwykłe:
(1) imię i nazwisko,
(2) numery telefonów,
(3) wizerunek osób wymienionych w pkt 1.6 utrwalony przy wykorzystaniu systemu monitoringu wizyjnego zainstalowanego w budynku xx. Xxxx x Xxxxx 00
1.7. Przetwarzanie Danych będzie dotyczyć następujących kategorii osób:
(1) pracownicy Administratora i podmioty współpracujące, kontrahenci,
(2) strony i uczestnicy postępowań sądowych,
(3) pozostałe osoby przebywające w budynkach sądu,
(4) interesanci Punktu Obsługi Interesantów i Linii Wsparcia.
2. Podpowierzenie
2.1. Przetwarzający może powierzyć konkretne operacje przetwarzania Danych („podpowierzenie”) wyłącznie w celu wykonania Umowy w drodze pisemnej umowy podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym („Podprzetwarzającym”), jedynie pod warunkiem uprzedniej pisemnej akceptacji przez Administratora.
2.2. W razie braku akceptacji dla Podpowierzenia Przetwarzający nie ma prawa powierzyć Danych Podprzetwarzającemu.
2.3. Dokonując uzgodnionego z Administratorem podpowierzenia Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia. Podmiot, któremu powierzono dane do dalszego przetwarzania, winien spełniać te same gwarancje jak Przetwarzający.
3. Obowiązki Przetwarzającego
Przetwarzający ma następujące obowiązki:
3.1. Przetwarzający przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora.
3.2. Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy).
3.3. Jeżeli Przetwarzający miałby zamiar lub obowiązek przekazywać Dane poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
3.4. Przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych, do których będzie miał dostęp w związku z wykonywaniem Umowy Podstawowej, a także sposobów zabezpieczenia tych danych, zarówno w trakcie trwania niniejszej umowy, jak i po jej wygaśnięciu lub rozwiązaniu.
3.5. Przetwarzający uzyskuje od osób, które zostały przez niego upoważnione do przetwarzania Danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy, zarówno w trakcie zatrudnienia ich lub współpracy z nimi, jak i po jego ustaniu współpracy i zatrudnienia
3.6. Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.
3.7. Przetwarzający przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (Podprzetwarzającego).
3.8. Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
3.9. Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
3.10. Planując dokonanie zmian w sposobie przetwarzania Danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania Danych przez Przetwarzającego.
3.11. Przetwarzający zobowiązuje się do ograniczenia dostępu do Danych Osobowych wyłącznie do osób, których dostęp do Danych jest potrzebny dla realizacji Umowy i posiadających odpowiednie upoważnienie.
3.12. Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania Danych, w tym rejestru czynności przetwarzania danych osobowych (wymóg art. 30 RODO). Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego.
4. Obowiązki Administratora
4.1. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich obowiązków.
5. Bezpieczeństwo danych
5.1. Przetwarzający przedstawił Administratorowi informacje potwierdzające, że Przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
6. Powiadomienie o Naruszeniach Danych Osobowych
6.1. Przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony Danych osobowych bezzwłocznie, nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i
informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
6.2. Przetwarzający zobowiązuje się do niezwłocznego, nie później niż w ciągu 48 h poinformowanie Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w umowie, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych.
6.3. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
7. Nadzór
7.1. Administrator kontroluje sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe oraz wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych, oraz udostępnienia rejestrów przetwarzania.
7.2. Przetwarzający:
(1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
(2) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.
8. Oświadczenia Stron
8.1. Administrator oświadcza, że jest Administratorem Danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.
8.2. Przetwarzający oświadcza, że w ramach prowadzonej działalności gospodarczej profesjonalnie zajmuje się przetwarzaniem danych osobowych objętym Umowa i Umową Podstawową, posiada w tym zakresie niezbędną wiedzę, w szczególności znana jest mu treść obowiązujących przepisów w zakresie ochrony danych osobowych, posiada odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, oraz daje rękojmię należytego wykonania niniejszej Umowy.
8.3. Przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniając wymogi Rozporządzenia.
9. Odpowiedzialność
9.1. Przetwarzający odpowiada za wszelkie szkody spowodowane swoim działaniem lub zaniechaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
9.2. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
9.3. W przypadku gdyby jakakolwiek osoba fizyczna lub jakikolwiek inny podmiot, wystąpiły z roszczeniami wobec Administratora z tytułu naruszenia ich praw przez Przetwarzającego lub Podprzetwarzającego, Przetwarzający w szczególności:
a) wstąpi do postępowania sądowego wszczętego przeciwko Administratorowi,
b) zapewni należytą ochronę interesów Administratora,
c) zwolni Administratora z wszelkich zobowiązań z tytułu naruszenia praw przysługujących osobie fizycznej na mocy rozporządzenia,
d) w przypadku gdy Administrator wykonał obowiązki nałożone przez sądy lub organy nadzoru ochrony danych osobowych - zwróci Administratorowi kwotę zapłaconych odszkodowań, kar lub innych należności,
e) zwolni Administratora od odpowiedzialności w stosunku do takich osób trzecich,
f) zwróci Administratorowi wszelkie poniesione koszty związane z wystąpieniem przeciwko Administratorowi osób trzecich z tytułu naruszenia praw osób fizycznych.
10. Okres Obowiązywania
10.1. Niniejsza umowa obwiązuje od dnia i wygasa automatycznie z chwilą wygaśnięcia
z jakiejkolwiek przyczyny stosunku prawnego wynikającego Umowy Podstawowej, o której mowa w pkt. 1 niniejszej umowy i bez względu na tryb tego wygaśnięcia.
10.2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego.
10.3. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z umową w szczególności nie zapewniając ich bezpieczeństwa i w celu innym niż powierzone
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez pisemnej zgody Administratora;
d) naruszył inne zobowiązania wynikające z niniejszej umowy lub Umowy Podstawowej, które wiążą się z ochroną danych osobowych
11. Usunięcie Danych
11.1. Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych i jest zobowiązany do:
(1) usunięcia Danych ze wszystkich posiadanych nośników (lub zwrotu Danych);
(2) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie Danych;
(3) usunięcia wszelkich informacji mogących posłużyć do odtworzenia w całości lub w części powierzonych Danych
- po upływie 14 dni od wygaśnięcia lub rozwiązania Umowy z jakiegokolwiek tytułu, co potwierdzone zostanie protokołem zniszczenia lub pisemnym oświadczeniem Przetwarzającego.
12. Dochodzenie roszczeń
12.1. Administrator ma prawo do dochodzenia od Przetwarzającego odszkodowania przypadku, gdy poniesie straty spowodowane nienależytym wykonaniem zadań objętych niniejszą umową.
13. Postanowienia Końcowe
13.1. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.
13.2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
13.3. Wszelkie zmiany niniejszej umowy, wymagają zachowania formy pisemnej pod rygorem nieważności. Formy pisemnej pod rygorem nieważności wymagają również wszelkie oświadczenia woli stron kierowane w ramach niniejszej umowy.
13.4. Oświadczenia stron będą doręczane na adresy wskazane w komparycji niniejszej umowy ze skutkiem uznania ich za doręczone. O wszelkich zmianach adresów wskazanych w komparycji strony zobowiązane są wzajemnie się informować pod
rygorem uznania korespondencji kierowanej na dotychczasowy adres za skutecznie doręczoną.
13.5. Ewentualne spory wynikłe na tle Umowy będą rozstrzygane w drodze negocjacji polubownych, a dopiero po wyczerpaniu takiej możliwości na drodze sądowej, przy czym postanowienie niniejsze nie stanowi zapisu na sąd polubowny. W razie bezskuteczności negocjacji polubownych, strony oddadzą sprawę pod rozstrzygnięcie sądu powszechnego, przy czym Sądem wyłącznie właściwym będzie sąd powszechny właściwy dla siedziby Administratora.
ADMINISTRATOR PODMIOT PRZETWARZAJĄCY
Prezes Sądu
…………………………….. …………………………………………..
Dyrektor Sądu
…………………………….