UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Nr ……….……..
PRZETWARZANIA DANYCH OSOBOWYCH
Nr ……….……..
zawarta w dniu ………. roku, zwana dalej „Umową powierzenia” pomiędzy:
Spółką: ENERGA-OPERATOR Spółka Akcyjna z siedzibą w Gdańsku, xx. Xxxxxxxxx Xxxxxxxx 000, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem 0000033455, której dokumentacja rejestrowa przechowywana jest w Sądzie Rejonowym Gdańsk-Północ, VII Wydział Gospodarczy Krajowego Rejestru Sądowego, NIP: 000-000-00-00, REGON: 190275904, z kapitałem zakładowym wpłaconym w całości w wysokości 1 356 110 400 zł, zwaną dalej „ENERGA” lub „Zamawiającym”, reprezentowaną przez:
……………………………………………………………………….
……………………………………………………………………….
a
……………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………
Zwaną/y dalej „Wykonawcą”, reprezentowaną przez:
……………………………………………………………………….
……………………………………………………………………….
zwanymi dalej łącznie „Stronami”, zaś osobno – „Stroną”, postanawiają co następuje:
PREAMBUŁA
Mając na względzie, iż:
Zamawiający oraz Wykonawca zawarli bądź mogli zawrzeć Umowę wykonawczą/Umowy wykonawcze w przedmiocie realizacji prac projektowych, robót budowlanych, prac projektowych z robotą budowlaną lub usług związanych z pracami na sieci elektroenergetycznej i infrastrukturze telekomunikacyjnej.
Zamawiający oraz Wykonawca mogą zawierać w okresie obowiązywania Umowy powierzenia dodatkowe Umowy wykonawcze.
W celu wykonania ww. Umowy wykonawczej/ Umów wykonawczych realizowane będą procesy przetwarzania danych osobowych przez Wykonawcę, których administratorem lub podmiotem przetwarzającym na zlecenie administratora jest Zamawiający.
Intencją Stron jest by Umowa powierzenia odnosiła zarówno do Umów wykonawczych już zawartych między Stronami, jak i tych, które zostaną między nimi zawarte w przyszłości,
Xxxxxx postanowiły, co następuje:
§ 1
Definicje
Ilekroć na potrzeby niniejszej Umowy powierzenia stosowane są terminy, pisane kursywą, wyszczególnione poniżej, Strony przyjmują dla nich następujące definicje:
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
Ustawa – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000)
Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1) RODO;
Przetwarzanie danych – przetwarzanie w rozumieniu art. 4 pkt 2) RODO;
Zbiór Danych – zbiór danych w rozumieniu art. 4 pkt 6) RODO;
Administrator Danych – administrator danych osobowych w rozumieniu art. 4 pkt 7) RODO;
Naruszenia ochrony danych osobowych - naruszenie bezpieczeństwa, skutkujące przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do danych osobowych w rozumieniu art. 4 pkt 12) RODO;
Pseudonimizacja – przetworzenie danych osobowych w rozumieniu art. 4 pkt 5) RODO;
Profilowanie
-
zautomatyzowane
przetwarzanie danych osobowych w sposób,
o którym mowa w art.
4 pkt 4) RODO;
Ogólne Warunki Umów (OWU) – dokument regulujący zasady realizacji umów u Zamawiającego w zakresie warunków w niej określonych,
Umowa wykonawcza – umowa pomiędzy Zamawiającym a Wykonawcą, o której mowa w literze a) Preambuły wraz z obowiązującymi aneksami;
Dzień Roboczy - dzień od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy w Polsce;
RKW – Rejestr Kwalifikowanych Wykonawców prowadzony u Zamawiającego
2. Wszystkie
inne pojęcia i zwroty użyte w Umowie powierzenia, nie zdefiniowane
w ust. 1, posiadają znaczenie określone w Prawie
Energetycznym oraz innych właściwych przepisach prawnych
bezwzględnie obowiązujących.
§ 2
Wykonanie Umowy powierzenia – przedmiot, charakter, rodzaj, kategoria osób
Zamawiający niniejszym powierza przetwarzanie, a Wykonawca przyjmuje do przetwarzania dane osobowe, o których mowa w niniejszym punkcie. Strony ustalają następujący zakres powierzenia danych osobowych:
Przedmiot umowy – przetwarzanie danych osobowych przez Wykonawcę w związku z realizacją Umowy wykonawczej/Umów wykonawczych;
Charakter i cel przetwarzania – przetwarzanie w sposób wynikający z zawartej/zawartych Umowy wykonawczej /Umów wykonawczych i w celu ich wykonania;
Rodzaj danych osobowych – dane osób fizycznych związanych z realizacją prac udzielonych w ramach Umowy wykonawczej/Umów wykonawczych, dane kontaktowe klientów detalicznych, dane dotyczące rozliczeń z klientami, w tym: imię i nazwisko (w tym nazwisko xxxxxx), imiona rodziców, adres, dane teleadresowe (x.xx. numer telefonu, email), PESEL, NIP, nr dowodu osobistego, nr prawo jazdy, nr świadectwa kwalifikacyjnego lub uprawnień, numer rachunku bankowego, numer księgi wieczystej, numer ewidencyjny działki w rejestrze gruntów;
Kategorie osób których dane dotyczą – pracownicy, klienci , właściciele gruntów, osoby fizyczne uczestniczące lub mogących potencjalnie uczestniczyć w realizacji Umowy wykonawczej/Umów wykonawczych.
Zakres powierzenia, wskazany powyżej w pkt 1 pkt c) i d) może zostać w każdym momencie rozszerzony lub ograniczony przez Zamawiającego.
Ograniczenie lub rozszerzenie może być dokonane poprzez przesłanie przez Zamawiającego do Wykonawcy zawiadomienia o takiej zmianie, za pośrednictwem poczty elektronicznej lub w formie pisemnej. W przypadku braku reakcji Wykonawcy w ciągu 3 Dni Xxxxxxxxx od daty wysłania wiadomości przez Xxxxxxxxxxxxx przyjmuje się, że Wykonawca zaakceptował zmianę zakresu powierzenia. W razie, gdy zmiana zakresu powierzenia uniemożliwiała wykonanie Umowy wykonawczej/Umów wykonawczych, Wykonawca zobowiązany jest poinformować o tym Zamawiającego
w terminie, o którym mowa w zdaniu poprzedzającym. W przypadku braku informacji od Wykonawcy, Wykonawca odpowiada za szkodę poniesioną przez Zamawiającego
w związku z brakiem możliwości wykonywania Umowy wykonawczej dla której
ta sytuacja wystąpiła.Strony postanawiają, że celem przetwarzania ww. danych jest wyłącznie realizacja Umowy wykonawczej/Umów wykonawczych. Dane będą przetwarzane wyłącznie
w czasie obowiązywania Umowy wykonawczej/Umów wykonawczych.Wykonawca może powierzyć przetwarzanie danych osobowych, objętych niniejszymi Umową wykonawczą/Umowami wykonawczymi innej osobie lub podmiotowi (zwanym dalej „dalszym podmiotem przetwarzającym”). Wykonawca zobowiązany jest poinformować Zamawiającego jakiemu podmiotowi powierzył przetwarzanie danych osobowych . Informacja taka powinna być przekazana do osoby wskazanej do kontaktów w Umowie wykonawczej/Umowach wykonawczych . w terminie 7 dni roboczych przed planowanym dalszym powierzeniem. Zamawiający jest uprawniony do wyrażenia sprzeciwu wobec dalszego powierzenia przetwarzania danych osobowych podmiotowi wskazanemu przez Wykonawcę w terminie 3 dni roboczych od otrzymania od Wykonawcy informacji. Brak sprzeciwu jest jednoznaczny z wyrażeniem zgody przez Zamawiającego na takie powierzenie. W przypadku złożenia sprzeciwu przez Zamawiającego dalsze powierzenie przetwarzania danych osobowych przez Wykonawcę podmiotowi objętemu sprzeciwem jest niedopuszczalne.
Za działania i zaniechania osób trzecich w razie powierzenia wykonania czynności, o których mowa w § 2 ust. 4, Wykonawca ponosi taką samą odpowiedzialność
jak za swoje własne działania i zaniechania.Bez uszczerbku dla ust. 4 powyżej, jeżeli do wykonania w imieniu Zamawiającego konkretnych czynności przetwarzania Wykonawca korzysta z usług dalszego podmiotu przetwarzającego, na dalszy podmiot przetwarzający nałożone zostają te same obowiązki ochrony danych jak w niniejszej Umowie powierzenia między Zamawiającym a Wykonawcą, a w szczególności obowiązek zapewnienia wystarczających gwarancji, wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO i chroniło prawa osób, których dane dotyczą. Jeżeli ta inna osoba lub dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Zamawiającego za wypełnienie obowiązków tej innej osoby lub podmiotu przetwarzającego spoczywa na Wykonawcy.
Dalsze podmioty przetwarzające muszą spełniać przynajmniej taki sam poziom ochrony danych osobowych jak ten określony w niniejszej Umowie powierzenia przez Zamawiającego.
Wykonawca zapewnia, iż umowa zawarta pomiędzy Wykonawcą a dalszym podmiotem przetwarzającym wygasa najpóźniej w chwili wygaśnięcia Umowy Wykonawczej, niezależnie od przyczyny. Zamawiający nie ponosi odpowiedzialności za szkody poniesione przez Wykonawcę lub dalszy podmiot przetwarzający, wynikające
z wygaśnięcia umowy z dalszym podmiotem przetwarzającym.
§ 3
Zobowiązania Stron
Wykonawca zobowiązuje się do przestrzegania przepisów RODO oraz innych bezwzględnie obowiązujących przepisów prawa dotyczących ochrony danych osobowych, w okresie ich obowiązywania oraz do ich wdrożenia przed rozpoczęciem przetwarzania powierzonych danych osobowych, a następnie stosowania przez cały okres obowiązywania poszczególnej Umowy wykonawczej/Umów wykonawczych.
Wykonawca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie na udokumentowane polecenie Zamawiającego, co dotyczy też przekazywania danych osobowych poza granice Europejskiego Obszaru Gospodarczego lub do organizacji międzynarodowej – chyba, że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Wykonawca. W takim przypadku, Wykonawca informuje Zamawiającego o tym obowiązku prawnym przed rozpoczęciem przetwarzania, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
W granicach, w jakich nie poszerza to zakresu obowiązków Wykonawcy wynikających z Umowy wykonawczej/Umów wykonawczych i bez uszczerbku dla pozostałych postanowień Umowy powierzenia, Zamawiający może przekazywać Wykonawcy instrukcje (polecenia) dotyczące przetwarzania danych osobowych drogą elektroniczną na adres e-mail wskazany w § 7 ust. 2. Wykonawca powinien wdrożyć instrukcje niezwłocznie, nie później jednak niż w terminie 7 Dni Roboczych. Jeśli wdrożenie instrukcji w tym terminie nie jest możliwe, Strony wspólnie ustalą późniejszy termin ich wdrożenia.Wykonawca zobowiązuje się uzyskać od osób upoważnionych do przetwarzania danych osobowych odrębne oświadczenia o obowiązku zachowania tajemnicy.
Zamawiający zobowiązuje się uzyskać od osób upoważnionych do przetwarzania danych osobowych odrębne oświadczenia, o tym że przetwarzanie przez nich danych osobowych będzie następowało wyłącznie w celu i w zakresie określonym w Umowie wykonawczej/Umowach wykonawczych i wyłączenie
na polecenie Zamawiającego, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne. Wykonawca jest uprawniony do upoważnienia osób działających na jego rzecz, w tym dalszych podmiotów przetwarzających,
do przetwarzania Danych osobowych w imieniu Xxxxxxxxxxxxx, w tym do wydawania tym podmiotom w imieniu Xxxxxxxxxxxxx poleceń dotyczących przetwarzania danych osobowych, będących przedmiotem Umowy wykonawczej/Umów wykonawczych, w granicach poleceń wydanych przez Zamawiającego.Wykonawca oświadcza, że osoby upoważnione do przetwarzania danych osobowych zostały odpowiednio przeszkolone w zakresie i celu przetwarzania danych osobowych lub zostaną w tym zakresie przeszkolone jednakże nie później niż przed rozpoczęciem procesu przetwarzania tych danych. Poziom, zakres oraz częstotliwość szkoleń winny być odpowiednie do funkcji, jaką pełnią poszczególne osoby, ponoszonej przez nich odpowiedzialności oraz częstotliwości, z jaką będą one przetwarzały dane osobowe.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Wykonawca zobowiązany jest do wdrożenia wszelkich odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności
i odporności systemów i usług przetwarzania;zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu
do nich w razie incydentu fizycznego lub technicznego;regularne testowanie, monitorowanie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Wykonawca ponosi odpowiedzialność za dobór i wdrożenie środków bezpieczeństwa,
o których mowa w art. 32 RODO, adekwatnych do zidentyfikowanych przez siebie ryzyk związanych z przetwarzaniem danych osobowych na podstawie Umowy wykonawczej/Umów wykonawczych. Oceniając stopień bezpieczeństwa, Zamawiający uwzględnia ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.Wykonawca pomaga Zamawiającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO a w szczególności żądań w zakresie bycia informowanym, dostępu do danych, poprawiania danych, usuwania danych, ograniczenia przetwarzania danych, przenoszenia danych, wniesienia sprzeciwu a także żądania związanego z zautomatyzowanym podejmowaniem decyzji i profilowaniem. W ramach obowiązku, o którym mowa w zdaniu poprzedzającym:
Wykonawca zobowiązuje się niezwłocznie powiadomić Zamawiającego, jednak
nie później niż w terminie 48 godzin od otrzymania zgłoszenia od osoby, której dane dotyczą, żądania w zakresie wskazanym w ust. 8;Wykonawca udziela Zamawiającemu wszelkich informacji niezbędnych
do zrealizowania żądania osoby, której dane dotyczą lub ujawnia powierzone dane osobowe (lub w stosownych przypadkach – ich kopie) w terminie 5 Dni Roboczych
od daty żądania informacji przez Zamawiającego;Wykonawca prowadzi rejestr żądań osób, których dane dotyczą, zamierzających skorzystać z przysługujących im uprawnień w zakresie przetwarzania danych osobowych zgodnie z Umową wykonawczą/Umowami wykonawczymi,
w odniesieniu do żądań, które zostały skierowane bezpośrednio do Wykonawcy. Rejestr ten udostępnia Zamawiającemu na jego żądanie, w terminie 48 godzin
od jego zgłoszenia;Zamawiający nie udziela osobom, których dane dotyczą, odpowiedzi na złożone przez nie wnioski, z wyjątkiem przypadków, gdy otrzyma w tym zakresie wyraźne polecenie Zamawiającego.
Wykonawca pomaga Zamawiającemu wywiązać się z obowiązków określonych w art. 32–36 RODO, w tym w szczególności:
w zakresie informowania o naruszeniach ochrony danych osobowych zgodnie
z § 5 ust. 1 Umowy powierzenia;w zakresie stosowania adekwatnych środków technicznych i organizacyjnych, stosownie do zidentyfikowanych ryzyk związanych z przetwarzanymi danymi osobowymi, zgodnie z ust. 6 i ust. 7 niniejszego paragrafu;
w zakresie dokonywania przez Zamawiającego oceny skutków dla ochrony danych oraz konsultacji z organem nadzorczym w związku z dokonywaną oceną.
Wykonawca prowadzi rejestr kategorii czynności przetwarzania, zgodnie
z art. 30 pkt 2 RODO, zawierający:
imię i nazwisko lub nazwę oraz dane kontaktowe Wykonawcy i dalszych podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa Zamawiający, a gdy ma to zastosowanie – przedstawiciela administratora
lub podmiotu przetwarzającego oraz inspektora ochrony danych;kategorie przetwarzań dokonywanych w imieniu Xxxxxxxxxxxxx;
gdy ma to zastosowanie – informację o przekazaniu danych osobowych
do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń;jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Wykonawca udostępnia rejestr, o którym mowa powyżej, na żądanie organu nadzorczego i współpracuje z organem nadzorczym w ramach wykonywania przez niego swoich zadań.
Wszelkie ustalenia dotyczące przetwarzania danych osobowych, odbiegające
od ustaleń zawartych w niniejszej Umowie powierzenia, powinny być uzgadniane pomiędzy Stronami w formie pisemnej pod rygorem bezskuteczności.Wykonawca, po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, w zależności od decyzji Zamawiającego, usuwa lub zwraca w terminie 3 Dni Roboczych wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Zamawiającego, w trybie określonym w Umowie powierzenia, postanowienia o rozwiązaniu Umowy powierzenia stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Wykonawcą. Na żądanie Zamawiającego, Wykonawca złoży oświadczenie potwierdzające wykonanie obowiązku, o którym mowa w niniejszym punkcie, w terminie 3 Dni Roboczych od dnia złożenia takiego żądania.
Zwrot danych, o którym mowa w ust. 13 powyżej, odbywa się w trybie uzgodnionym przez Strony. Po zwróceniu danych Wykonawca zobowiązuje się do niezwłocznego usunięcia danych osobowych objętych niniejszą Umową powierzenia z własnych systemów informatycznych oraz nośników, w sposób uniemożliwiający ich odczytanie i nakazanie powyższych czynności u osób lub podmiotów, którym dane zostały podpowierzone oraz poświadczenie powyższych czynności stosownym protokołem zniszczenia. Zamawiający ma prawo do kontroli czy obowiązek ten został prawidłowo wykonany przez Wykonawcę.
W terminie zwrotu danych osobowych określonych powyżej, Wykonawca obowiązany jest przekazać Zamawiającemu wszystkie kopie zapasowe danych objętych Umową wykonawczą.
§ 4
Prawo audytu
Wykonawca współpracuje z instytucjami kontrolującymi i Zamawiającym na żądanie.
Wykonawca udostępnia Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie powierzenia oraz RODO, w terminie 5 Dni Roboczych od dnia zgłoszenia przez Zamawiającego żądania w tym zakresie oraz umożliwia Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzanie audytów, w tym inspekcji i przyczynia się do ich wykonania.
W związku z tym obowiązkiem Wykonawca niezwłocznie informuje Zamawiającego, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.Wykonawcy przysługuje prawo kierowania zapytań do Zamawiającego w zakresie prawidłowości wykonania przez Wykonawcę obowiązków dotyczących zabezpieczenia powierzonych mu na podstawie niniejszej Umowy powierzenia danych osobowych.
Zamawiający ma prawo wglądu do sprawozdań ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, opracowanych przez Wykonawcę.
Zamawiający lub upoważniony przez niego audytor będzie realizować prawo audytu w godzinach 8.00 – 18.00 i po uprzednim pisemnym powiadomieniu Wykonawcy z wyprzedzeniem co najmniej 3 Dni Roboczych przed planowanym terminem kontroli. W przypadku wystąpienia incydentu lub innego zdarzenia, które może świadczyć o naruszeniu przestrzegania przepisów ochrony danych osobowych a także
w przypadku uzasadnionego podejrzenia, że przetwarzanie danych osobowych przez Wykonawcę rodzi ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Zamawiający lub jego upoważniony audytor będzie realizować prawo audytu niezwłocznie. Wykonawca ma obowiązek zapewnić Zamawiającemu lub wskazanemu przez niego audytorowi dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Wykonawcę. Zamawiający będzie prowadzić audyt z poszanowaniem tajemnic przedsiębiorstwa Wykonawcy.Po przeprowadzeniu audytu, Zamawiający może przekazać Wykonawcy w formie pisemnej zalecenia pokontrolne. Wykonawca zobowiązany będzie do ich wdrożenia w terminie określonym przez Zamawiającego, nie krótszym niż 10 Dni Roboczych. W przypadku, gdyby wdrożenie tych zaleceń wiązało się z dodatkowymi kosztami, Strony uzgodnią sposób ich rozliczenia.
Koszty audytu ponosi każda ze Stron we własnym zakresie.
Wykonawca zobowiązany jest zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Zamawiającego audytu przetwarzania danych osobowych przez ten dalszy podmiot przetwarzający
na zasadach określonych w niniejszym paragrafie 4.
§ 5
Odpowiedzialność
Wykonawca po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, jednak nie później niż w ciągu 12 godzin od momentu uzyskania informacji o wystąpieniu zdarzenia, zgłasza je Zamawiającemu. W zgłoszeniu tym ujmuje:
charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazuje kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
możliwe konsekwencje naruszenia ochrony danych osobowych;
środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jeżeli
– i w zakresie, w jakim – informacji nie da się
udzielić w tym samym czasie, Wykonawca może ich udzielać
sukcesywnie, bez zbędnej zwłoki. W terminie
do wyjaśnienia
naruszenia ochrony danych osobowych, Wykonawca zabezpiecza współpracę
i bieżące informowanie Zamawiającego bez przerwy.
Zamawiający zobowiązany jest do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych.
Wykonawca zobowiązuje się do informowania Zamawiającego, niezwłocznie od chwili powzięcia informacji, lecz nie później niż w terminie 3 Dni Roboczych, o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzanych w związku z niniejszą Umową powierzenia, danych osobowych. Wykonawca informuje również Zamawiającego o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej
do Wykonawcy, a także o wszelkich planowanych, o ile Wykonawcy są wiadome lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych u Wykonawcy.W przypadku, gdy Zamawiający zamierza uczestniczyć w postępowaniach, kontrolach i inspekcjach, o których mowa powyżej, Wykonawca zobowiązany jest umożliwić uczestnictwo w takich działaniach Zamawiającemu.
Jakiekolwiek ograniczenia odpowiedzialności Wykonawcy, przewidziane w Umowie wykonawczej, nie mają zastosowania do naruszenia Umowy powierzenia.
W szczególności jakiekolwiek ograniczenia odpowiedzialności nie dotyczą przypadków, w których Zamawiający zostanie zobowiązany prawomocną decyzją lub prawomocnym wyrokiem właściwego sądu do zapłaty kary pieniężnej, odszkodowania, zadośćuczynienia lub jakiejkolwiek innej kwoty z tytułu naruszenia przepisów dotyczących ochrony danych osobowych lub w związku ze szkodą lub krzywdą wyrządzoną w związku z naruszeniem przepisów dotyczących ochrony danych osobowych, jeśli takie naruszenie lub szkoda (krzywda) wynikać będzie z naruszenia przez Wykonawcę postanowień Umowy powierzenia. W takim przypadku Wykonawca odpowiada względem Zamawiającego w pełnej wysokości i zobowiązany jest zwrócić Zamawiającemu wszelkie koszty, w tym w szczególności zwrócić kwotę wypłaconego odszkodowania, zadośćuczynienia lub kary pieniężnej.Bez uszczerbku dla § 5 ust. 5, Zamawiający jest uprawniony do naliczenia Wykonawcy następujących kar umownych:
Z tytułu opóźnienia w zgłoszeniu naruszenia w terminie określonym
w § 5 ust. 1 w wysokości 0,1 % wartości całkowitego wynagrodzenia za realizację Umowy wykonawczej dla której takie zdarzenie nastąpiło, za każdą godzinę opóźnienia, jeżeli naruszenie zostało stwierdzone jako istotne zgodnie z definicją RODO;W przypadku nie zawarcia w umowie z dalszym podmiotem przetwarzającym postanowień, o których mowa w § 2 ust. 5 - 8 lub § 4 ust. 6 Umowy powierzenia w wysokości 5 % całkowitej wartości wynagrodzenia Umowy wykonawczej dla której takie zdarzenie nastąpiło, za każdy stwierdzony przypadek;
Z tytułu uniemożliwienia Zamawiającemu przeprowadzenia audytu, zgodnie
z § 4 Umowy powierzenia, w wysokości 2 000 zł za każdy przypadek;Z tytułu opóźnienia we wdrożeniu zaleceń pokontrolnych, o których mowa
w § 4 ust. 6 w stosunku do terminu uzgodnionego przez Strony, w wysokości
2 000 zł za każdy dzień opóźnienia;Z tytułu naruszenia obowiązku uzyskania zgody Zamawiającego na transfer danych poza obszar Europejskiego Obszaru Gospodarczego lub do organizacji międzynarodowej, w wysokości 5 % całkowitej wartości wynagrodzenia
za realizację Umowy wykonawczej dla której takie zdarzenie nastąpiło za każdy stwierdzony przypadek.
Naliczenie kary umownej nie wyłącza odpowiedzialności Wykonawcy w pełnej wysokości, jeżeli wyrządzona szkoda przekracza wartość kary umownej.
§ 6
Obowiązywanie Umowy powierzenia – czas powierzenia
Umowa powierzenia zostaje zawarta na czas określony - wpisu Wykonawcy do RKW i obowiązuje w okresach realizacji umów wykonawczych, w ramach których dochodzi do powierzenia przetwarzania danych osobowych. Z chwilą wykreślenia Wykonawcy z rejestru RKW niniejsza Umowa powierzenia wygasa bez konieczności składania w tym zakresie odrębnych oświadczeń.
Zamawiający dokonuje oceny należytego wykonywania Umowy powierzenia przez Wykonawcę. W sytuacji negatywnego wyniku przedmiotowej weryfikacji Wykonawcy, jest on zobowiązany do podjęcia działań eliminujących wykryte niezgodności w terminie określonym przez Zamawiającego, nie krótszym niż 14 Dni Xxxxxxxxx. W przypadku, gdy to wezwanie pozostaje bezskuteczne Zleceniodawca jest uprawniony do rozwiązania Umowy powierzenia i określonej Umowy wykonawczej ze skutkiem natychmiastowym.
Zamawiający uprawniony jest do wypowiedzenia Umowy powierzenia i określonej Umowy wykonawczej ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Wykonawcę lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub niniejszej Umowy powierzenia, a w szczególności, gdy:
Organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Wykonawca lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
Prawomocne orzeczenie sądu powszechnego wykaże, że Wykonawca
nie przestrzega zasad przetwarzania danych osobowych;Zamawiający, w wyniku przeprowadzenia audytu, o którym mowa w § 4 Umowy powierzenia stwierdzi, że Wykonawca nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy powierzenia lub obowiązujących przepisów prawa lub Wykonawca nie zastosuje się do zaleceń pokontrolnych, o których mowa w § 4 ust. 6.
W przypadku wystąpienia zdarzenia dla którego Zamawiający uprawniony jest do rozwiązania którejkolwiek Umowy wykonawczej wówczas Umowa powierzenia obowiązuje do końca wykonania prac w ramach pozostałych Umów wykonawczych.
Naruszenie przez Wykonawcę postanowień Umowy powierzenia, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę
do wypowiedzenia Umowy wykonawczej/Umów wykonawczych.
§ 7
Współpraca Stron
Strony są zobowiązane do współpracy w zakresie nadzoru nad wykonaniem niniejszej Umowy powierzenia.
Wszelkie oświadczenia lub zawiadomienia mające związek z Umową powierzenia mogą być składane za pośrednictwem poczty elektronicznej, chyba że Umowa powierzenia lub bezwzględnie obowiązujące przepisy prawa wymaga formy pisemnej pod rygorem bezskuteczności lub nieważności. Strony wyznaczają następujących przedstawicieli odpowiedzialnych za realizację Umowy powierzenia, uprawnionych do podejmowania decyzji operacyjnych i dokonywania wzajemnych uzgodnień:
Przedstawiciel Zamawiającego w zakresie ochrony danych osobowych:
Xxxxxxxxx Xxxxxxxxxxx
Email: xxx.xxxxxx-xxxxxxxx@xxxxxx.xx
Przedstawiciel Wykonawcy w zakresie danych osobowych:
……………………………………………….
Telefon: …………………………………………………..
Email: …………………………………………………..
Zmiana przedstawiciela, numer telefonu i adresu e-mail nie stanowi zmiany Umowy powierzenia i jest skuteczna z chwilą powiadomienia drugiej Strony o dokonanej zmianie. Uzgodnienia i decyzje przedstawicieli, o których mowa w ust. 2 powyżej będą wiążące dla Stron, tak długo jak nie zmieniają postanowień Umowy powierzenia.
Dla uniknięcia wątpliwości, Xxxxxx potwierdzają, że przedstawiciele wskazani w ust. 2 nie są uprawnieni do wypowiedzenia Umowy powierzenia ani Umowy wykonawczej/Umów wykonawczych, chyba że z ich pełnomocnictw wyraźnie wynika takie uprawnienie.
§ 8
Postanowienia końcowe
W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie mają przepisy RODO oraz polskiego prawa w szczególności Kodeksu cywilnego.
Wszelkie zmiany i uzupełnienia niniejszej Umowy powierzenia wymagają dla swojej ważności formy pisemnego aneksu, pod rygorem nieważności.
Wszelkie spory wynikłe w związku z wykonaniem niniejszej Umowy powierzenia, Strony poddają pod rozstrzygnięcie Sądu właściwego zgodnie z Ogólnymi Warunkami Umów u Zamawiającego/Umową wykonawczą.
Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach,
po jednym dla każdej ze Stron.Umowa powierzenia wchodzi w życie z dniem zawarcia.
Załączniki:
Zał. 1. Oświadczenie Wykonawcy jako podmiotu przetwarzającego.
Podpisy stron Umowy powierzenia:
ZAMAWIAJĄCY WYKONAWCA
1. ................................... 1. ...................................
2. ................................... 2. ...................................
Załącznik 1 do Umowy powierzenia przetwarzania danych osobowych
Występując jako podmiot, któremu powierza się przetwarzanie danych osobowych, oświadczam że:
posiadam doświadczenie w świadczeniu usług związanych z przetwarzaniem powierzonych danych osobowych
osoby które deleguję do wykonania zlecenia posiadają nadane upoważnienia do przetwarzania danych osobowych
osoby delegowane do wykonania pracy posiadają przeszkolenie w zakresie przepisów dot. ochrony danych osobowych
osoby upoważnione do przetwarzania danych osobowych, w tym wyznaczone do kontaktów z Zamawiającym, zostały obowiązane do zachowania informacji dot. szczegółów współpracy w tajemnicy
wdrożyłem odpowiednie środki techniczne i organizacyjne aby zapewnić odpowiedni do zagrożenia stopień bezpieczeństwa ochrony danych osobowych
W przypadku przetwarzania danych osobowych w systemach komputerowych oświadczam że :
na komputerach przetwarzających dane osobowe znajduje się wyłącznie dopuszczalne, w tym prawnie legalne oprogramowanie
osoby wykonujące pracę z wykorzystaniem komputera zostały przeszkolone w zakresie zasad bezpieczeństwa informacji i bezpiecznego korzystania z systemu informatycznego
system operacyjny komputerów przetwarzających dane osobowe jest na bieżąco aktualizowany
oprogramowanie komputerów do przetwarzania danych osobowych jest na bieżąco aktualizowane
komputery przetwarzające dane osobowe są chronione przez ochronę antywirusową
W imieniu podmiotu przetwarzającego
………………………………….
pieczęć firmowa Podmiotu lub pełna nazwa
………………………………….......................................... ……………………………………………..............................................................................................................................
miejscowość, data podpis przedstawiciela Podmiotu zgodnie z zasadami reprezentacji
12