Projekt umowy powierzenia przetwarzania danych osobowych

ZAŁĄCZNIK nr 5

Projekt umowy powierzenia przetwarzania danych osobowych

zawarta dnia …………………………… r. pomiędzy:

Gminnym Ośrodkiem Pomocy Społecznej w Lubiczu, adres: ul. Xxxxxxxx 00, 00-000 Xxxxxx, NIP: 879 17 55 749, Regon: 870001767

reprezentowaną przez: Xxxx Xxxxxxxx – Dyrektora GOPS

zwanym/ą dalej Administratorem,

a:

…………………………………………………………………………………………………………………………………………………

reprezentowanym przez …………………………………………………………………………………………………………

zwanym/ą dalej Podmiotem Przetwarzającym

zwanych dalej łącznie Stronami.

Oświadczenie stron

1. Strony zgodnie oświadczają, iż w dniu ……………………………………………………………………………r. zawarły umowę dotyczącą realizacji specjalistycznych usług opiekuńczych dla osób z zaburzeniami psychicznymi świadczonych w miejscu zamieszkania podopiecznego na terenie gminy Lubicz, zwaną dalej Umową Główną.

2. W ramach realizacji Umowy Głównej Strony zobowiązują się do przestrzegania przepisów ochrony danych osobowych, w tym w szczególności rozporządzenia Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
   i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
   o ochronie danych), zwanego RODO, ustawy o ochronie danych osobowych oraz pozostałych przepisów prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

3. W związku z wykonaniem Umowy Głównej Administrator powierzy Podmiotowi Przetwarzającemu przetwarzanie danych osobowych na zasadach określonych w niniejszej umowie.

4. Administrator oświadcza, że jest administratorem powierzonych danych osobowych w rozumieniu art. 4 pkt. 7 RODO.

5. Podmiot przetwarzający oświadcza, że przed rozpoczęciem przetwarzania zapewnieni odpowiednie techniczne i organizacyjne środki bezpieczeństwa powierzonych danych osobowych zgodnie z wymogi RODO.

6. Strony oświadczają, że podczas realizacji niniejszej umowy będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na realizację obowiązków wynikających z ogólnego rozporządzenia o ochronie danych (RODO) oraz mających lub mogących mieć wpływ na wykonanie niniejszej umowy.

§1

Przedmiot przetwarzania.

Przedmiotem niniejszej umowy jest określenie warunków na jakich Podmiot Przetwarzający może w imieniu Administratora przetwarzać powierzone dane osobowe wskazane w §3 niniejszej umowy.

§2

Charakter i cel przetwarzania.

1. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie w jego imieniu i na jego rzecz danych osobowych w celu wykonania Umowy Głównej dotyczącej realizacji specjalistycznych usług opiekuńczych dla osób z zaburzeniami psychicznymi świadczonych w miejscu zamieszkania podopiecznego na terenie gminy Lubicz. Charakter i cel przetwarzania wynikają z Umowy Głównej.

2. Administrator powierza Podmiotowi Przetwarzającemu wykonywanie przetwarzania, które jest niezbędne do realizacji Umowy Głównej, w szczególności do:

   1. kształtowania umiejętności zaspakajania podstawowych potrzeb życiowych i umiejętności społecznego funkcjonowania, motywowania do aktywności, prowadzenia treningów umiejętności samoobsługi i umiejętności społecznych oraz wspieranie, także w formie asystowania, w codziennych czynnościach życiowych;

   2. interwencji i pomocy w życiu w rodzinie;

   3. pomocy w załatwianiu spraw urzędowych;

   4. wspierania i pomocy w uzyskaniu zatrudnienia;

   5. pomocy w gospodarowaniu pieniędzmi;

   6. pomocy mieszkaniowej.

3. Przetwarzanie powierzonych danych przez Podmiot Przetwarzający może polegać na wykonywaniu w sposób zautomatyzowany lub niezautomatyzowany operacji lub zestawów operacji na powierzonych danych takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

4. Podmiot Przetwarzający nie decyduje o celach i sposobach przetwarzania powierzonych danych osobowych. Podmiot Przetwarzający nie może przetwarzać danych w innym celu niż określony w niniejszej umowie.

§3

Rodzaj danych osobowych oraz kategorie osób, których dane dotyczą.

1. Administrator powierza dane zwykłe oraz szczególne kategorie danych osobowych, do których dostęp Podmiotowi Przetwarzającemu jest niezbędny do wykonania obowiązków wynikających z Umowy Głównej.

2. Kategoria osób, których dane dotyczą oraz zakres danych osobowych powierzonych do przetwarzania:

1. klienci Gminnego Ośrodka Pomocy Społecznej z terenu Gminy Lubicz, korzystający ze specjalistycznych usług opiekuńczych:

1. xxxx zwykłe: imię i nazwisko, adres zamieszkania;

2. szczególna kategorie danych: informacja o stanie zdrowia;

2. rodzice lub opiekunowie prawni klientów Gminnego Ośrodka Pomocy Społecznej z terenu Gminy Lubicz, korzystający ze specjalistycznych usług opiekuńczych

1. xxxx zwykłe: imię i nazwisko, adres zamieszkania, nr telefonu.

§4

Obowiązki Podmiotu Przetwarzającego

1. Podmiot Przetwarzający może przetwarzać powierzone dane wyłącznie w zakresie i celu przewidzianym
   w niniejszej umowie oraz zgodnie z ogólnym rozporządzeniem o ochronie danych.

2. Podmiot Przetwarzający:

1. przed rozpoczęciem przetwarzania podejmuje wszelkie środki wymagane na mocy art. 32 RODO,
   w szczególności uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdraża odpowiednie środki techniczne
   i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku;

2. przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora, za które strony uważają w szczególności postanowienia Umowy Głównej oraz inne polecenia przekazywane drogą elektroniczną lub na piśmie;

3. zapewnia ograniczenie dostępu do powierzonych danych wyłącznie do osób przez siebie upoważnionych, których dostęp do tych danych jest potrzebny do należytego wykonywania Umowy Głównej;

4. zapewnia przeszkolenie osób upoważnionych z zakresu ochrony danych osobowych oraz zapewnia, by osoby te zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Głównej oraz ustaniu stosunku umownego z Podmiotem Przetwarzającym;

5. nie może przekazywać powierzonych danych do państwa trzeciego lub organizacji międzynarodowej;

6. prowadzi rejestr wszystkich kategorii czynności przetwarzania wykonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO, chyba że jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO;

7. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO;

8. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

9. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO (środki bezpieczeństwa danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych, uprzednie konsultacje z organem nadzorczym);

10. po zakończeniu Umowy Głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie powierzone dane oraz usuwa wszelkie ich istniejące kopie, chyba że prawo nakazuje przechowywanie danych osobowych.

§5

Jeżeli Podmiot Przetwarzający stosuje w celu realizacji Umowy Głównej zautomatyzowane podejmowanie decyzji,
w tym profilowanie, o których mowa w art. 22 ust. 1 i 4 RODO, wywołujące skutki prawne wobec osoby, której dane Administrator powierzył na mocy niniejszej umowy, Podmiot Przetwarzający informuje o tym Administratora
w celu i zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.

§6

Podmiot Przetwarzający nie jest upoważniony do udzielania w imieniu Administratora odpowiedzi osobie, która zwróci się z wnioskiem o skorzystanie ze swoich praw wynikających z RODO bezpośrednio do niego. W takiej sytuacji Podmiot Przetwarzający zobowiązuje się niezwłocznie przesłać Administratorowi wniosek tej osoby za pośrednictwem poczty elektronicznej na adres: xxxxx.xxxxxxxx@xxxxxxxx.xx.

§7

Podmiot Przetwarzający jest zobowiązany do poinformowania Administratora o wszystkich naruszeniach bezpieczeństwa powierzonych do przetwarzania danych osobowych w terminie maksymalnie 24 godzin po powzięciu wiedzy o tym naruszeniu za pośrednictwem poczty elektronicznej na adres: xxxxx.xxxxxxxx@xxxxxxxx.xx. Notyfikacji tej towarzyszy pełna informacja pozwalająca Administratorowi dokonanie oceny, czy naruszenie to stanowi ryzyko dla praw lub wolności osób, których dane dotyczą. W szczególności Podmiot Przetwarzający jest zobowiązany do przekazania informacji, o których mowa w art. 33 ust. 3 RODO oraz do przeprowadzenia wstępnej analizy ryzyka dla praw lub wolności osób, których dane dotyczą.

§8

W przypadku wątpliwości, co do zgodności z prawem wydanych przez Administratora poleceń, Podmiot Przetwarzający natychmiast poinformuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

§9

Podpowierzenie

1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z usług innego podmiotu przetwarzającego (zwanego dalej Dalszym Podmiotem Przetwarzającym), z tym że powierzenie Dalszemu Podmiotowi Przetwarzającemu danych osobowych wymaga uprzedniego zgłoszenia Administratorowi w celu umożliwienia wyrażenia sprzeciwu. Zgłoszenie powinno zawierać tożsamość (nazwę) Dalszego Podmiotu Przetwarzającego oraz cel dalszego powierzenia. Wzór informacji o zamiarze dodania lub zastąpienia dalszych podmiotów przetwarzających stanowi załącznik nr 1 do niniejszej umowy.

2. Administrator może z uzasadnionych przyczyn zgłosić sprzeciw wobec powierzenia danych. W razie zgłoszenia sprzeciwu Podmiot Przetwarzający nie może powierzyć danych wskazanemu w sprzeciwie Dalszemu Podmiotowi Przetwarzającemu. Brak sprzeciwu Administratora w terminie 14 dni od dnia otrzymania informacji o zamiarze powierzenia Dalszemu Podmiotowi Przetwarzającemu jest równoznaczny z akceptacją przez Administratora dalszego powierzenia.

3. Podmiot Przetwarzający nie ma prawa przekazać dalszemu podmiotowi przetwarzającemu całości wykonania Umowy Głównej.

4. Jeżeli Podmiot Przetwarzający korzysta z usług Dalszego Podmiotu Przetwarzającego, Podmiot Przetwarzający zapewnia nałożenie na Dalszy Podmiot Przetwarzający takich samych obowiązków w zakresie przetwarzania, jakie z wynikają z niniejszej umowy dla Podmiotu Przetwarzającego, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli Dalszy Podmiot Przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków Dalszego Podmiotu Przetwarzającego spoczywa na Podmiocie Przetwarzającym.

§10

Kontrola przetwarzania.

1. Na żądanie Administratora Podmiot Przetwarzający udziela Administratorowi informacji i wyjaśnień dotyczących powierzonych danych, w tym o przetwarzaniu przez Dalszy Podmiot Przetwarzający,
   w szczególności udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z prawem ochrony danych osobowych.

2. Administrator może kontrolować przetwarzanie powierzonych danych w formie audytów (także poprzez upoważnionego audytora), po uprzednim uzgodnieniu terminu z Podmiotem Przetwarzającym.

3. Audyt może obejmować przesyłanie zapytań, analizę dokumentów oraz wizytację lokali Podmiotu Przetwarzającego lub Dalszego Podmiotu Przetwarzającego, o ile mają bezpośredni związek
   z wykonywaniem Umowy Głównej.

4. Administrator gwarantuje ochronę poufności informacji uzyskanych w związku z czynnościami kontrolnymi. Administrator zapewnia, że osoby, które w jego imieniu wykonują czynności kontrolne, nie ujawnią tych informacji innym osobom, chyba że:

1. obowiązek ich ujawnienia wynika z prawa,

2. ich ujawnienie zostało odrębnie uzgodnione przez Xxxxxx.

5. Podmiot Przetwarzający może uzależnić udział danej osoby w wykonywaniu audytu od dostarczenia podpisanego przez tę osobę zobowiązania tej osoby do zachowania poufności informacji uzyskanych
   w związku z audytem.

6. Administrator może wydawać Podmiotowi Przetwarzającemu zalecenia pokontrolne wyłącznie w zakresie niezbędnym do zapewnienia należytej ochrony powierzonych danych.

7. Podmiot przetwarzający jest zobowiązany do zastosowania się do zaleceń Administratora dotyczących środków ochrony danych osobowych. Jeżeli zdaniem Xxxxxxxx Przetwarzającego wydane mu zalecenie stanowi naruszenie prawa, w szczególności RODO, Podmiot Przetwarzający niezwłocznie informuje o tym Administratora.

§11

Odpowiedzialność

1. Podmiot Przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada niniejsza umowa, ogólne rozporządzenie o ochronie danych (RODO) lub gdy działał niezgodnie
   z poleceniami Administratora lub wbrew tym poleceniom.

2. W sytuacji naruszenia przez Podmiot Przetwarzający postanowień niniejszej umowy w zakresie celów
   i sposobów przetwarzania staje się on administratorem powierzonych danych w odniesieniu do tego przetwarzania.

3. W przypadku zawinionego naruszenia przez Podmiot Przetwarzający bezpieczeństwa danych osobowych, skutkującego zobowiązaniem Administratora na mocy prawomocnego orzeczenia sądu, ugody sądowej bądź porozumienia mediacyjnego do wypłaty odszkodowania, zadośćuczynienia bądź kary pieniężnej, Podmiot Przetwarzający zobowiązuje się zrekompensować Administratorowi udokumentowane straty z tego tytułu
   w pełnej wysokości. Zobowiązanie Podmiotu Przetwarzającego, o którym mowa powyżej, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia przez osoby trzecie z roszczeniem wobec Administratora, z podaniem podstaw prawnych i faktycznych, w terminie 5 dni od daty powzięcia przez Administratora informacji o takim roszczeniu.

4. Strony zobowiązują się, że wszelkie decyzje dotyczące polubownego zakończenia sporu z osobą, której dane dotyczą, na skutek naruszenia ochrony jej danych osobowych, w szczególności fakt i wysokość wypłaty ewentualnego odszkodowania, podejmą wspólnie.

§12

Czas trwania przetwarzania.

Czasem trwania przetwarzania powierzonych danych osobowych przez Podmiot Przetwarzający jest czas trwania Umowy Głównej.

§13

Okres obowiązywania Umowy.

1. Umowa wchodzi w życie z dniem podpisania i zostaje zawarta na czas trwania Umowy Głównej, a w razie zawarcia innej umowy o tożsamym przedmiocie, również na czas tej i każdej następnej takiej umowy.

1. Administrator ma prawo rozwiązać umowę, gdy Podmiot Przetwarzający:

1. wykorzysta dane osobowe w sposób niezgodny z niniejszą umową;

2. nie zastosuje się do zaleceń dotyczących środków ochrony powierzonych do przetwarzania danych osobowych.

2. Umowa zastępuje postanowienia wszelkich dotychczas zawartych umów w takim zakresie, w jakim postanowienia te pozostają w sprzeczności z niniejszą umową lub z prawem ochrony danych osobowych,
   w szczególności z RODO.

§14

Zmiany Umowy.

Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

§15

Sprawy nieuregulowane w Umowie.

W sprawach nieuregulowanych w niniejszej umowie mają zastosowanie obowiązujące przepisy prawa,
w szczególności przepisy ogólnego rozporządzenia o ochronie danych (RODO), ustawy o ochronie danych osobowych oraz przepisy Kodeksu cywilnego.

§16

Egzemplarze Umowy.

Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze stron.

ADMINISTRATOR PODMIOT PRZETWARZAJĄCY

Załączniki:

1. Informacja o zamiarze dodania lub zastąpienia Dalszego Podmiotu Przetwarzającego.

Informacja o zamiarze dodania lub zastąpienia Dalszego Podmiotu Przetwarzającego

1. Podmiot Przetwarzający informuje o zamiarze dodania lub zastąpienia* Dalszych Podmiotów Przetwarzających w celu realizacji umowy powierzenia zawartej dnia w dniu ……………………………………………. roku.

Lp.	Nazwa i adres siedziby dalszego podmiotu przetwarzającego	Cel dalszego powierzenia / czynności przetwarzania
1.
2.

2. Podmiot Przetwarzający zapewnia, że przekazanie powierzonych danych osobowych celem dalszego powierzenia nastąpi na podstawie umowy powierzenia.

3. Podmiot Przetwarzający zapewnia, iż zawarta umowa dalszego powierzenia z ww. podmiotem trzecim (dalszym podmiotem przetwarzającym) będzie zawierać wszystkie warunki określone w umowie powierzenia zawartej z Administratorem, w szczególności będzie precyzować: przedmiot, czas, charakter i cel przetwarzania danych z uwzględnieniem zakresu i kategorii powierzonych danych osobowych oraz kategorii osób, których dane dotyczą, a także obowiązki i prawa Podmiotu Przetwarzającego oraz obowiązki dalszego podmiotu przetwarzającego.

4. Podmiot Przetwarzający zapewnia, że dalszy podmiot przetwarzający daje wystarczające gwarancje wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa, by przetwarzanie powierzonych danych osobowych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

5. Podmiot Przetwarzający jest świadomy, iż odpowiedzialność za niedopełnienie przez dalszy podmiot przetwarzający obowiązków wynikających z RODO w całości obciążają Podmiot Przetwarzający.

6. Brak sprzeciwu Administratora w terminie 14 dni od dnia otrzymania informacji o zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających jest równoznaczny ze zgodą Administratora na dokonanie ww. zmian.

………………………………………………………..

(data i podpis osoby reprezentującej Podmiot Przetwarzający)

Zgoda Administratora

Gminny Ośrodek Pomocy Społecznej wyraża zgodę na dokonanie przez Podmiot Przetwarzający zmian w zakresie dodania / zastąpienia* dalszych podmiotów przetwarzających.

………………………………………………………..

(data i podpis osoby reprezentującej Administratora)

Sprzeciw Administratora

Gminny Ośrodek Pomocy Społecznej wyraża sprzeciw wobec zamiaru dokonania przez Podmiot Przetwarzający zmian w zakresie dodania / zastąpienia* dalszych podmiotów przetwarzających.

………………………………………………………..

(data i podpis osoby reprezentującej Administratora)

* niepotrzebne skreślić