Umowa nr /_____/2019/WB o wykonywanie zadań Inspektora Ochrony Danych oraz świadczenia usług w zakresie doradztwa informatycznego

Umowa nr /_____/2019/WB

o wykonywanie zadań Inspektora Ochrony Danych oraz świadczenia usług w zakresie doradztwa informatycznego



Zawarta w dniu ______ w _______pomiędzy:

______________________, z siedzibą przy ______________________NIP _______________

reprezentowaną przez:_________________

przy kontrasygnacie:_________________

zwaną w dalszej części umowy „Zleceniodawcą

a

…………………………….prowadzącym działalność gospodarczą pod firmą ……………………………………….. z siedzibą w …………………………………………………………, NIP: 

zwanym w dalszej części umowy „Zleceniobiorcą”,

a łącznie ze Zleceniodawcą – „Stronami”.

§ 1

Przedmiot umowy

  1. W ramach niniejszej Umowy Zleceniobiorca zobowiązuje się do wykonywania u Zleceniodawcy zadań Inspektora Ochrony Danych (zwanego w dalszej części niniejszej Umowy również jako: „Inspektor”), o którym mowa w art. 37-39 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w dalszej części niniejszej Umowy zwanego również jako: „Rozporządzenie” lub „RODO”) osobiście lub przez wyznaczoną osobę oraz doradztwa informatycznego w zakresie ochrony danych osobowych, zaś Zleceniodawca zobowiązany będzie do zapłaty z tego tytułu wynagrodzenia.

  2. Zleceniobiorca na wniosek Zleceniodawcy oraz po udzieleniu mu stosownego pełnomocnictwa zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu Inspektora Ochrony Danych. Wszelkie koszty z tego tytułu (w szczególności koszty opłaty skarbowej od pełnomocnictwa) ponosi Zleceniodawca.

  3. Zleceniobiorca zobowiązuje się do wypełniania następujących zadań Inspektora:

  1. informowania Zleceniodawcy jako Administratora, o którym mowa w art. 4 pkt 7 RODO, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz przepisów o ochronie danych osobowych i doradzanie im w tej sprawie;

  2. monitorowania przestrzegania przepisów Rozporządzenia, innych przepisów Unii lub polskich przepisów prawa o ochronie danych osobowych oraz polityk Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

  3. udzielaniu na żądanie Zleceniodawcy zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania zaleceń pokontrolnych po takiej ocenie zgodnie z art. 35 Rozporządzenia;

  4. współpracy z krajowym organem nadzorczym powołanym w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych oraz ułatwianiu swobodnego przepływu danych osobowych – Prezesem Urzędu Ochrony Danych Osobowych (zwanym dalej jako „organ nadzorczy”);

  5. pełnieniu funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 Rozporządzenia, oraz w stosownych przypadkach – prowadzeniu z nim konsultacji we wszelkich innych sprawach.

  1. W ramach świadczonych usług, o których mowa w ust. 3 pkt a) Zleceniobiorca zobowiązuje się wydawać opinie w sprawach dotyczących problemów prawnych Administratora danych osobowych związanych z ochroną danych osobowych w terminie 14 dni od daty wpłynięcia zapytania na adres poczty elektronicznej Inspektora Ochrony Danych lub adres……………... W przypadku wpływu do Zleceniobiorcy korespondencji e- mail po godzinie 15:30 danego dnia, termin wpływu będzie liczony od godziny 7:30 następnego dnia roboczego.

  2. Zleceniobiorca wytworzy i przekaże Zleceniodawcy wzory dokumentów wg. załącznika nr 1 do Umowy, które zobowiązuje się aktualizować, w szczególności w przypadku zmiany stanu prawnego. Inspektor Ochrony Danych opracowuje projekty dokumentów wymienionych w zdaniu poprzednim, które będą dostosowywane do stanu faktycznego jednostki we współpracy z Administratorem. Po zaakceptowaniu treści ww. dokumentów Administrator wdraża je zarządzeniem lub innym wewnętrznie wiążącym aktem prawnym.

§ 2

Zasady wykonywania umowy

  1. Zleceniobiorca będzie wykonywał swoje obowiązki z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych osobowych występującymi u Zleceniodawcy, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Obie strony zgodnie oświadczają, że działalność Zleceniobiorcy ma charakter pomocniczo-doradczy i nie zwalnia Zleceniodawcy z obowiązku stosowania adekwatnych środków technicznych i organizacyjnych (w tym właściwych procedur i dobrych praktyk) w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych.

  2. Zleceniodawca oświadcza dodatkowo, że w celu uczynienia zadość obowiązkowi, o którym mowa w ust. 1, wymagana jest ścisła współpraca z Inspektorem.

  3. Zleceniobiorca wyznacza osobę do wykonywania zadań Inspektora, o czym informuje Zleceniodawcę. Inspektor, w zgodzie z art. 38 ust. 3 zd. 3 Rozporządzenia, podlega w zakresie wykonywania czynności, o których mowa w § 1 ust. 3 Umowy, bezpośrednio najwyższemu kierownictwu Zleceniodawcy – Administratora.

  4. W przypadku usprawiedliwionej nieobecności Inspektora lub wykonania czynności wynikających z Umowy do których konieczna jest wyspecjalizowana i fachowa wiedza, Zleceniobiorca zobowiązuje się do zapewnienia ciągłości obsługi Zleceniodawcy w zakresie Umowy przez pozostałych pracowników Zleceniobiorcy posiadających odpowiednie kompetencje, na co Zleceniodawca wyraża zgodę.

  5. Zleceniodawca wyraża zgodę na przeprowadzenie przez Zleceniobiorcę czynności w zakresie objętym wszelkimi audytami, w tym udziela Zleceniobiorcy zgody na przetwarzanie danych zgromadzonych podczas audytu danych osobowych, przy czym Zleceniobiorca zobowiązany jest do:

  1. przetwarzania danych jedynie w zakresie i celu wykonania Umowy, co obejmuje również uprawnienie do przetwarzania danych w okresie po zakończeniu obowiązywania niniejszej Umowy w celu ewentualnego wykonywania roszczeń z tytułu niewykonania lub niewłaściwego wykonania Umowy;

  2. dopuszczania do przetwarzania danych jedynie osoby posiadające stosowne upoważnienie Zleceniobiorcy;

  3. stosowania adekwatnych środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych.

  1. Zleceniobiorca zobowiązany jest zapewnić poufność informacji oraz wszelkiego rodzaju danych (w tym danych osobowych), które uzyskał od Zleceniodawcy w związku z realizacją niniejszej Umowy. Zleceniobiorca nie będzie ujawniać tych informacji bez uprzedniej pisemnej zgody Zleceniodawcy, za wyjątkiem sytuacji, w których do ich ujawnienia zobowiązują go przepisy powszechnie obowiązującego prawa. Zobowiązanie, o którym mowa w zdaniu poprzedzającym, zachowuje moc również bezterminowo po zakończeniu obowiązywania niniejszej Umowy.

  2. Zleceniodawca przyjmuje do wiadomości, że w celu prawidłowego wykonywania obowiązków wynikających z niniejszej Umowy, Zleceniobiorca powinien mieć uprawnienie do przetwarzania danych osobowych przetwarzanych w siedzibie Zleceniodawcy, uprawnienie do wstępu do wskazanych pomieszczeń, uprawnienie do dostępu do urządzeń, komputerów oraz systemów informatycznych znajdujących się w siedzibie Zleceniodawcy oraz wykonywania wszelkich innych niezbędnych czynności faktycznych, przy czym zgodę na ww. czynności wyraża.





§ 3

Szczególny obowiązek zawarcia umowy ubezpieczenia

Zleceniobiorca oświadcza, że posiada umowę ubezpieczenia od odpowiedzialności cywilnej z tytułu prowadzenia działalności gospodarczej.

§ 4

Wynagrodzenie umowne

  1. Z tytułu realizacji niniejszej Umowy Zleceniobiorcy przysługiwać będzie ryczałtowe wynagrodzenie miesięczne, płatne z góry, w wysokości … zł netto (słownie: …. netto) plus należny podatek VAT wedle stawki obowiązującej w danym miesiącu (w dalszej części niniejszej Umowy zwane również jako: „Wynagrodzenie”).

  2. Okres rozliczeniowy wynosi jeden miesiąc, z wyjątkiem pierwszego, który obejmuje okres od daty rozpoczęcia obowiązywania Umowy do ostatniego kalendarzowego dnia miesiąca, w którym Zleceniobiorca otrzymał egzemplarz podpisanej Umowy.

  3. W przypadku, o którym mowa w ust. 2 pierwsza wystawiona przez Zleceniobiorcę faktura obejmować będzie okres od dnia rozpoczęcia obowiązywania Umowy do ostatniego kalendarzowego dnia miesiąca, w którym Zleceniobiorca otrzymał egzemplarz podpisanej Umowy.

  4. Wynagrodzenie będzie płatne w terminie 7 dni od daty dostarczenia Zleceniodawcy prawidłowo wystawionej faktury VAT, przelewem na rachunek Zleceniobiorcy podany na fakturze. W przypadku opóźnienia w zapłacie Wynagrodzenia Zleceniodawca zobowiązany będzie do zapłaty odsetek ustawowych za opóźnienie na rzecz Zleceniobiorcy. Faktura VAT wystawiona zostanie najpóźniej do 7-go dnia każdego miesiąca obowiązywania Umowy.

  5. W tym miejscu Strony określają dane potrzebne do wystawienia faktury VAT:

  1. NABYWCA: ________________________

  2. ODBIORCA: ________________________

§ 5

Okres obowiązywania Umowy oraz możliwość jej wypowiedzenia

      1. Niniejsza Xxxxx zostaje zawarta na czas określony od dnia 1styczeń 2020 r. do dnia 31 grudnia 2020 r.

      2. Każdej ze Stron przysługuje uprawnienie do wypowiedzenia niniejszej Umowy z zachowaniem trzymiesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca, następującego po miesiącu, w którym oświadczenie o wypowiedzeniu zostało złożone drugiej Stronie.





§ 6

Kary umowne

Zleceniodawca uprawniony będzie do dochodzenia od Zleceniobiorcy kary umownej w wysokości do 10% rocznej wartości Wynagrodzenia, o którym mowa w § 4 ust. 1 Umowy, za każde udowodnione naruszenie obowiązków związanych z wykonywaniem zadań Inspektora. Łączny wymiar kar umownych nie może jednak przekroczyć kwoty 30% rocznej wartości Wynagrodzenia wskazanego w § 4 ust. 1 Umowy.

§ 7

Powierzenie danych do przetwarzania

  1. Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych w związku z wykonaniem niniejszej Umowy i w celu jej wykonania.

  2. Przetwarzanie dotyczyć będzie danych osobowych osób wykonujących pracę na rzecz Zleceniodawcy (niezależnie od podstawy prawnej świadczenia pracy), które są przetwarzane w związku z niniejszą Umową.

  3. Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie Zleceniodawcy oraz:

  1. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  2. podejmuje odpowiednie środki techniczne oraz organizacyjne, mające na celu zapewnienia przetwarzanych bezpieczeństwa danych osobowych;

  3. w miarę możliwości pomaga Zleceniodawcy, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 12-23 Rozporządzenia;

  4. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Zleceniodawcy wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia;

  5. po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Zleceniodawcy, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, w tym również te, zawarte na nośnikach danych, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  6. udostępnia Zleceniodawcy wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwia Zleceniodawcy (lub upoważnionemu przez niego audytorowi) przeprowadzanie audytów, w tym inspekcji.

  1. Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Zleceniobiorcy, te serwery i nośniki nie mogą znajdować się poza obszarem Unii Europejskiej i Europejskiego Obszaru Gospodarczego.

  2. Zleceniobiorca zobowiązuje się do każdorazowego i niezwłocznego informowania Zleceniodawcy o przypadkach naruszenia przepisów prawa dotyczących ochrony powierzonych danych osobowych, w tym w szczególności przepisów RODO, zaistniałych w okresie obowiązywania niniejszej Umowy. Zleceniobiorca współdziała ze Zleceniodawcą przy ustalaniu szczegółów związanych ze zgłoszonym Zleceniodawcy naruszeniem, w szczególności przyczyn i skutków jego wystąpienia oraz wdraża zalecane przez Zleceniodawcę środki, mające na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych oraz środki naprawcze.

  3. W przypadku stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 Rozporządzenia, Zleceniobiorca zgłasza je Zleceniodawcy bez zbędnej zwłoki. Zgłoszenie naruszenia ochrony danych osobowych do Zleceniodawcy powinno nastąpić w formie pisemnej lub elektronicznej i powinno obejmować co najmniej:

  1. charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane osobowe dotyczą, oraz kategorie i przybliżoną liczbę wpisów, których dotyczy naruszenie;

  2. możliwe konsekwencje naruszenia ochrony danych osobowych;

  3. środki zastosowane lub proponowane przez Zleceniobiorcę w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. Na wypadek naruszenia przez Zleceniobiorcę zasad przetwarzania danych osobowych (określonych w przepisach powszechnie obowiązującego prawa, Rozporządzenia oraz niniejszej Umowy), skutkującego zobowiązaniem Zleceniodawcy (w szczególności na mocy prawomocnego orzeczenia sądu, ugody sądowej bądź porozumienia mediacyjnego, lub też decyzji/postanowienia) do wypłaty odszkodowania, zadośćuczynienia, grzywny lub kary pieniężnej lub też w przypadku poniesienia przez Zleceniodawcę innej szkody, Zleceniobiorca zobowiązuje się zrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy.

  2. Zleceniobiorca zapewnia, że dane osobowe nie będą udostępniane osobom wykonującym pracę na jego rzecz, przed podpisaniem przez nich oświadczeń lub umów o zachowaniu poufności. Zachowanie poufności nie ustaje po rozwiązaniu lub wygaśnięciu stosunku pracy lub umowy cywilnoprawnej, niezależnie od przyczyny tego rozwiązania lub wygaśnięcia.

  3. Zleceniobiorca zobowiązuje się do monitorowania i stosowania przepisów prawa, powszechnie dostępnych wskazówek i zaleceń organu nadzorczego oraz unijnych organów doradczych, zajmujących się ochroną danych osobowych, w zakresie przetwarzania powierzonych mu danych, po uprzednim uzgodnieniu wpływu tych regulacji na przetwarzanie danych z Zleceniodawcą.

  4. Zleceniodawca przez cały okres obowiązywania Umowy jest uprawniony do kontroli poprawności zabezpieczenia i przetwarzania danych powierzonych Zleceniobiorcy. Kontrola może zostać przeprowadzona x.xx. w formie bezpośredniej inspekcji polegającej na dopuszczeniu przedstawicieli Zleceniodawcy do wszystkich obszarów przetwarzania danych osobowych objętych niniejszą Umową we wszystkich lokalizacjach Zleceniobiorcy, w sposób nieutrudniający nadmiernie jego bieżącej działalności, z co najmniej 14-dniowym uprzedzeniem. Zleceniobiorca zobowiązany jest do przedstawienia odpowiednich dokumentów do kontroli oraz wyjaśnień na piśmie na każde wezwanie Zleceniodawcy w terminie do 30 dni od otrzymania wezwania.

  5. W przypadku, gdy kontrola, o której mowa w ust. 10, wykaże jakiekolwiek nieprawidłowości Zleceniodawca ma prawo żądać od Zleceniobiorcy niezwłocznego wdrożenia zgodnych z prawem zaleceń Zleceniodawcy wynikających z ustaleń pokontrolnych. Zalecenia te przedstawiane będą w formie ustnej, pisemnej lub elektronicznej.

  6. Zleceniobiorca zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych, informacji i materiałów przekazanych lub udostępnionych mu lub o których wiedzę powziął w związku z realizacją Umowy, a także powstałych w wyniku jej wykonania informacji i materiałów w formie pisemnej, graficznej lub jakiejkolwiek innej formie. Informacje i materiały są objęte tajemnicą i nie mogą być bez uprzedniej pisemnej zgody Zleceniodawcy udostępniane jakiejkolwiek osobie trzeciej, ani też ujawnione w inny sposób, chyba że w dniu ich ujawnienia były powszechnie znane albo muszą być ujawnione zgodnie z powszechnie obowiązującymi przepisami prawa, orzeczeniem sądu lub organu państwowego.

  7. Zleceniobiorca zapewnia, że osoby upoważnione do przetwarzania danych osobowych będą obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Obowiązek zachowania tajemnicy nie ustaje po zaprzestaniu przetwarzania danych z jakiejkolwiek podstawy.

§ 8

Postanowienia końcowe

  1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.

  2. Osoby upoważnione do kontaktu ze strony Zleceniodawcy:

    1. __________________________ , tel.: __________________________ , fax: __________________________; e-mail: __________________________ .

    2. __________________________ , tel.: __________________________ , fax: __________________________; e-mail: __________________________ .

  1. Dane do kontaktu ze strony Zleceniobiorcy upoważnione do kontaktu:

    1. ........................................................................

    2. ........................................................................

  2. Wszelkie zmiany i uzupełnienia niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

  3. W przypadku sporu pozostającego w związku z niniejszą Umową sądem właściwym dla rozpatrzenia sprawy będzie sąd miejscowo właściwy według siedziby Zleceniobiorcy.

  4. Strony zgodnie oświadczają, iż poza niniejszą Umową i w zakresie objętym jej treścią nie istnieją dokonane między nimi jakiekolwiek dodatkowe ważne pisemne lub ustne ustalenia i porozumienia.



Załączniki:

              1. Wykaz dokumentów,







___________________________________

___________________________________

(Zleceniodawca)

(Zleceniobiorca)





































Załącznik nr 1


Wykaz dokumentów, które Inspektor Danych Osobowych opracuje we współpracy ze Zleceniodawcą w ramach Umowy:

  1. Rejestr czynności przetwarzania danych;

  2. Analiza ryzyka systemu informatycznego oraz danych osobowych;

  3. Polityka ochrony danych z załącznikami tj.:

      1. Procedura zgłaszania naruszeń ochrony danych osobowych;

      2. Procedura realizacji uprawnień wynikających z RODO;

      3. Wykaz osób zapoznanych z Polityką Ochrony Danych;

      4. Wzór oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych;

      5. Wzór odwołania zgody na przetwarzanie danych osobowych;

      6. Wzór klauzuli informacyjnej;

      7. Realizacja prawa dostępu do danych osobowych;

      8. Wzór wniosku o nadanie upoważnienia do przetwarzania danych osobowych/ uprawnienia do pracy w systemie informatycznym;

      9. Wzór upoważnienia do przetwarzania danych osobowych;

      10. Wzór ewidencji osób upoważnionych do przetwarzania danych;

      11. Opis środków technicznych i organizacyjnych;

      12. Wzór oświadczenia o zachowaniu w poufności danych;

      13. Wzór umowy powierzenia;

      14. Wzór rejestru umów powierzenia przetwarzania danych osobowych;

      15. Wzór rejestru naruszeń ochrony danych;

      16. Wzór zgłoszenia naruszenia ochrony danych organowi nadzorczemu;

      17. Wzór zawiadomienia o naruszeniu danych osobowych;

      18. Wzór notatki z kontroli uprawnień;

      19. Oświadczenie o monitorowaniu komputerów służbowych.





















10

Document Metadata

Filed: January 4th, 2019