Umowa powierzenia przetwarzania danych osobowych

Załącznik do umowy

nr ……./20 z …………….. 2020 r.



Umowa powierzenia przetwarzania danych osobowych


zawarta w Warszawie w dniu ................. 2020 r.

pomiędzy:

Skarbem Państwa – Głównym Urzędem Nadzoru Budowlanego, reprezentowanym przez p.o. Głównego Inspektora Nadzoru Budowlanego –
Xxxxxx Xxxxxxxx, zwanym dalej „Administratorem”,

a

………………………………, zwanym dalej „Podmiotem przetwarzającym”,

wspólnie zwanymi dalej „Stronami”


§ 1

Xxxxxxx w umowie jest mowa o:

  1. ogólnym rozporządzeniu” – oznacza to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016)

  2. umowie” – oznacza to umowę o powierzenie przetwarzania danych osobowych zawartą pomiędzy Stronami;

  3. umowie głównej” – oznacza to umowę nr ...…./20 zawartą w dniu …….....2020 r., której przedmiotem jest zaprojektowanie, budowa i wdrożenie w infrastrukturze teleinformatycznej wskazanej przez Zamawiającego, systemu teleinformatycznego elektronicznego dziennika budowy;

  4. danych osobowych” – oznacza to dane osobowe w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016);

  5. przetwarzaniu danych osobowych” – oznacza to przetwarzanie w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
    27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
    z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016);

  6. pracowniku” – oznacza to osobę świadczącą usługę ochrony w ramach wykonywania przedmiotu umowy głównej.


§ 2

  1. Strony oświadczają, że w dniu ……......2020 r. zawarta została umowa nr ..…./20, której przedmiotem jest zaprojektowanie, budowa i wdrożenie w infrastrukturze teleinformatycznej wskazanej przez Zamawiającego, systemu teleinformatycznego elektronicznego dziennika budowy, a niniejsza umowa powierzenia przetwarzania danych osobowych, jako umowa akcesoryjna do umowy głównej, reguluje prawa i obowiązki Stron w zakresie przetwarzania danych osobowych w związku z wykonywaniem umowy głównej. Wykonywanie umowy głównej wiąże się z przetwarzaniem danych osobowych, których administratorem jest Główny Inspektor Nadzoru Budowlanego.

  2. Podmiot przetwarzający oświadcza, że dysponuje doświadczeniem, wiedzą
    i wykwalifikowanym personelem, umożliwiającym mu prawidłowe wykonanie usług objętych niniejszą umową, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych, zgodnie z przepisami obowiązującego prawa oraz że zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odpowiadało wymogom rozporządzenia ogólnego.


§ 3

  1. Przedmiotem umowy jest powierzenie Podmiotowi przetwarzającemu przez Administratora przetwarzania wszystkich kategorii danych osobowych, uzyskanych w związku z wykonywaniem umowy głównej, na warunkach opisanych w niniejszej umowie.

  2. Przetwarzanie powierzonych danych osobowych obejmuje wyłącznie następujące dane osobowe:

  1. imiona;

  2. nazwisko;

  3. adres zamieszkania;

  4. PESEL;

  5. numer i specjalność uprawnień budowlanych;

  6. informację o przynależności do właściwej okręgowej izby samorządu zawodowego.

  1. Powierzone dane osobowe będą przetwarzane wyłącznie w celu realizacji umowy głównej w okresie jej obowiązywania.

  2. Wszelkie koszty przetwarzania powierzonych danych osobowych w ramach niniejszej umowy zawierają się w wynagrodzeniu określonym w umowie głównej.



§ 4

    1. Podmiot przetwarzający zapewnia, że powierzone dane osobowe będą przetwarzane za pomocą odpowiednich środków technicznych i organizacyjnych w sposób zapewniający adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 ogólnego rozporządzenia.

    2. Podmiot przetwarzający przetwarza powierzone dane osobowe wyłącznie na podstawie umowy oraz na udokumentowane polecenie Administratora.

    3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, jest zobowiązany pomagać administratorowi wywiązać się z obowiązków określonych w art. 32–36 ogólnego rozporządzenia.

    4. Podmiot przetwarzający oświadcza, że nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej, czyli poza Europejski Obszar Gospodarczy (dalej „EOG”). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane osobowe poza EOG.

    5. Jeżeli Podmiot przetwarzający ma zamiar lub obowiązek przekazywać dane osobowe poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania danych osobowych.

    6. Podmiot przetwarzający dopuści do przetwarzania powierzonych danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wykonania usług określonych w danej umowie głównej.

    7. Podmiot przetwarzający zapewni, że osoby mające dostęp do powierzonych danych osobowych zobowiązane będą do zachowania tajemnicy w zakresie przetwarzania danych osobowych zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po ustaniu stosunku pracy.

    8. Podmiot przetwarzający zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub zebraniem.

    9. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w Rozdziale III ogólnego rozporządzenia.

    10. W przypadku stwierdzenia naruszenia ochrony powierzonych danych osobowych, Podmiot przetwarzający poinformuje o tym Administratora niezwłocznie, nie później niż w terminie 24 godzin od stwierdzenia naruszenia. Powiadomienie nastąpi przez przesłanie wiadomości za pośrednictwem poczty elektronicznej na adres Administratora xxx@xxxx.xxx.xx. Zgłoszenie musi zawierać elementy wskazane w art. 33 ust. 3 ogólnego rozporządzenia.

    11. W przypadku rozwiązania umowy głównej Podmiot przetwarzający zobowiązany jest zaprzestać przetwarzania powierzonych danych osobowych oraz zobowiązany jest wykonać obowiązki określone w art. 28 ust 3 lit. g ogólnego rozporządzenia zgodnie z decyzją Administratora.



§ 5

Podmiot przetwarzający zobowiązuje się powiadamiać Administratora niezwłocznie, nie później niż w ciągu 24 godzin od wystąpienia zdarzenia, o:

    1. wszelkich żądaniach ujawnienia powierzonych danych osobowych, zgłaszanych przez organy władzy publicznej, przed ich ujawnieniem, chyba że jest to z innych względów zabronione;

    2. wszczęciu kontroli przez organ nadzorczy w związku z powierzeniem przez Administratora Podmiotowi przetwarzającemu przetwarzania danych osobowych, a także o wszelkich ostatecznych decyzjach lub postanowieniach administracyjnych wydanych wobec Podmiotu przetwarzającego w związku z powyższym;

    3. wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem przez Administratora Podmiotowi przetwarzającemu przetwarzania danych osobowych, a także o wszelkich ostatecznych decyzjach, postanowieniach lub prawomocnych orzeczeniach wydanych wobec Podmiotu przetwarzającego w związku z powyższym;

    4. wszelkich incydentach dotyczących przetwarzania przez Podmiot przetwarzający powierzonych danych osobowych, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych.



§ 6

    1. Podmiot przetwarzający ma obowiązek udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia ogólnego, a także umożliwić Administratorowi przeprowadzanie w każdym czasie kontroli działań Podmiotu przetwarzającego w zakresie obiektywnie niezbędnym dla wykazania zgodności przetwarzania powierzonych danych osobowych z umową oraz obowiązującymi przepisami prawa, dotyczącymi przetwarzania danych osobowych.

    2. Administrator jest zobowiązany zawiadomić Podmiot przetwarzający o zamiarze przeprowadzania kontroli z odpowiednim wyprzedzeniem, tj. na co najmniej 5 dni roboczych przed planowaną datą rozpoczęcia kontroli, wskazując dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli.

    3. Czynności kontrolne mogą być wykonywane w dni robocze w godzinach od 8:00 do 16:00.

    4. Podmiot przetwarzający zobowiązany jest umożliwić przeprowadzenie kontroli, a w szczególności udostępnić dokumentację, pomieszczenia i infrastrukturę techniczną w zakresie niezbędnym do przeprowadzenia takiej kontroli. Ponadto Podmiot przetwarzający jest obowiązany udzielić Administratorowi niezbędnych informacji, dotyczących wykonywania umowy.

    5. Administrator dostarczy Podmiotowi przetwarzającemu raport z przeprowadzonej kontroli. Raport zawierał będzie wnioski z kontroli oraz – jeśli okaże się to konieczne –zakres i warunki ewentualnych zmian w zakresie przetwarzania danych osobowych przez Podmiot przetwarzający. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.



§ 7

        1. Podmiot przetwarzający może powierzyć przetwarzanie danych osobowych objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy, po uzyskaniu uprzedniej pisemnej zgody Administratora danych.

        2. Podmiot przetwarzający gwarantuje, że Podwykonawca, o którym mowa powyżej, spełnia te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej umowie.

        3. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na Podwykonawcy obowiązków ochrony danych osobowych.




§ 8

Administrator danych może wypowiedzieć niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:

    1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,

    2. przetwarza powierzone dane osobowe w sposób niezgodny z umową,

    3. powierzył przetwarzane dane osobowe innemu podmiotowi bez zgody Administratora danych.


§ 9

  1. W terminie do 14 dni po zakończeniu współpracy na gruncie umowy głównej, Podmiot przetwarzający – zależnie od decyzji Administratora – protokolarnie usuwa (w tym anonimizuje) lub zwraca mu wszelkie dane osobowe oraz usuwa (w tym anonimizuje) wszelkie ich istniejące kopie, a jeden z podpisanych egzemplarzy protokołu przekazuje Administratorowi, chyba że powszechnie obowiązujące przepisy nakazują dalsze przechowywanie danych osobowych.

  2. Jeżeli Podmiot przetwarzający nie może usunąć danych osobowych w wyznaczonym przez Administratora terminie, ze względu na przepisy prawa, które nakazują przechowywanie tych danych osobowych, informuje o tym Administratora. Informacja powinna zawierać zakres, rodzaj i podstawę prawną dalszego przetwarzania danych osobowych. Jednocześnie Podmiot przetwarzający oświadcza, że zapewnia należytą ochronę danych osobowych, w tym podejmuje środki ochrony danych osobowych, o których mowa w art. 32 ogólnego rozporządzenia.

  3. Podmiot przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z umową przetwarzania przez Podmiot przetwarzający danych osobowych lub nieprzestrzegania przepisów obowiązującego prawa w zakresie ochrony danych osobowych.

  4. W przypadkach, o których mowa w ust. 3 powyżej, Podmiot przetwarzający zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.



§ 10

  1. Niniejsza umowa wchodzi w życie z dniem podpisania przez obie Strony.

  2. Wszelkie spory mogące wyniknąć na tle niniejszej umowy będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Administratora.

  3. Jeżeli umowa została zawarta w formie pisemnej, to sporządzono ją w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron. W przypadku zawarcia umowy w formie elektronicznej, opatrzono ją kwalifikowanymi podpisami elektronicznymi.

  4. Wszelkie zmiany treści umowy, pod rygorem nieważności, wymagają formy pisemnej lub elektronicznej z użyciem kwalifikowanych podpisów elektronicznych, z wyjątkiem zmiany nazwy, adresu lub siedziby Podmiotu przetwarzającego, które odbywać się będą poprzez zgłoszenie takiej zmiany w formie pisemnej lub elektronicznej z użyciem kwalifikowanych podpisów elektronicznych i nie wymagają formy aneksu.

  5. Zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności,



ADMINISTRATOR PODMIOT PRZETWARZAJACY

6


Document Metadata

Filed: September 7th, 2020