zawarta w Gdańsku w dniu pomiędzy:
Załącznik nr 2 Wzór umowy powierzenia przetwarzania danych osobowych
UMOWA powierzenia przetwarzania danych osobowych
zawarta w Gdańsku w dniu pomiędzy:
Gdańską Fundacją Przedsiębiorczości z siedzibą w Gdańsku, xx. Xxxxxxxx 0x, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Gdańsk – Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem: 0000234045, NIP 000-000-00-00, reprezentowaną przez:
1) Xxxxx Xxxxxx – Prezesa Zarządu,
2) Xxxxxxxxx Xxxxxxxxx – Wiceprezesa Zarządu, zwaną dalej „Zamawiającym”
a
…………………………………………………………………………………………………………..
Zwanym/zwaną w dalszej części Umowy Wykonawcą
zwaną dalej „Wykonawcą”
Zważywszy, że w dniu ……………… Strony zawarły Umowę nr 2022/…../……./ /PBE,
realizowaną w ramach projektu Pomorski Broker Eksportowy. Kompleksowy system wspierania eksportu w województwie pomorskim” realizowany w ramach Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata 2014-2020, Osi Priorytetowej 2 Przedsiębiorstwa, Działanie 2.3. Aktywność eksportowa, współfinansowany ze środków Unii Europejskiej (Europejskiego Funduszu Rozwoju Regionalnego), (zwaną dalej: Umową) oraz że wykonanie Umowy wiąże się z ujawnieniem Wykonawcy danych osobowych, których administratorem jest Zamawiającym, Xxxxxx postanowiły zawrzeć umowę powierzenia przetwarzania danych osobowych ( zwaną dalej: umową powierzenia) o następującej treści:
§ 1
Definicje
1. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
2. Państwo trzecie – Państwo poza Europejskim Obszarem Gospodarczym,
3. Podejrzenie naruszenia ochrony danych osobowych – przypuszczenie, że na skutek wystąpienia zdarzenia lub zdarzeń wpływających na bezpieczeństwo informacji mogło dojść do naruszenia ochrony danych osobowych powierzonych do przetwarzania,
Strona1
4. Podwykonawca przetwarzający - podmiot, któremu Wykonawca powierzył w całości lub częściowo przetwarzanie danych osobowych, jako konsekwencję realizowania swojej umowy powierzenia z Zamawiającym (podprocesor),
5. Przetwarzanie danych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany taką jak
zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
6. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
§ 2
Przedmiot umowy powierzenia, cel, zakres
1. Na warunkach określonych w niniejszej umowie powierzenia Zamawiający powierza Wykonawcy przetwarzanie danych osobowych Uczestników cyklu seminariów informacyjnych Export Gate, a Wykonawca zobowiązuje się do ich przetwarzania w sposób zgodny z prawem oraz postanowieniami niniejszej umowy powierzenia.
2. Wykonawca zobowiązuje się do przetwarzania powierzonych mu danych osobowych jedynie w celach, zakresie i czasie wskazanych w Załączniku nr 1 do umowy powierzenia.
§ 3
Oświadczenia i zobowiązania Stron
1. Zamawiający oświadcza, że jest administratorem danych osobowych powierzonych do przetwarzania Wykonawcy w rozumieniu art. 4 pkt. 7) RODO.
2. Wykonawca jest podmiotem przetwarzającym, w rozumieniu art. 4 pkt. 8) RODO względem danych o których mowa w ust. 1 niniejszego paragrafu.
3. Zamawiający zleca Wykonawcy przetwarzanie danych w kategoriach czynności wskazanych w Załączniku nr 1 do niniejszej umowy powierzenia.
4. Wykonawca zobowiązuje się do:
1) przed rozpoczęciem przetwarzania danych powierzonych wdrożenia środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa przetwarzanym danym osobowym odpowiadający zidentyfikowanemu ryzyku naruszenia praw lub wolności osób fizycznych, w szczególności ryzyku wynikającemu z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2) przeprowadzenia analizy ryzyka przed wdrożeniem środków, o których mowa w pkt. 1) niniejszego ustępu,
3) przy przetwarzaniu danych osobowych stosowania zasad wskazanych w art. 25 RODO,
4) przed rozpoczęciem przetwarzania zobowiązania do zachowania poufności wszystkich osób mających dostęp do danych osobowych.
5. Wykonawca oświadcza, że:
1) ustanowił i wdrożył procedurę postępowania z incydentami w tym z naruszeniami ochrony danych osobowych,
2) przekazuje danych osobowych powierzonych do przetwarzania do państwa trzeciego lub organizacji międzynarodowej, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
Strona2
3) wykonał ocenę skutków w zakresie przetwarzania danych osobowych powierzonych do przetwarzania, w przypadkach o których mowa w art. 35 RODO i wdrożył odpowiednie zabezpieczenia,
4) prowadzi rejestr czynności przetwarzania w stosunku do danych osobowych których jest administratorem oraz będzie prowadził rejestr kategorii czynności przetwarzania w stosunku do danych osobowych powierzonych na mocy niniejszej umowy powierzenia.
5) w przypadku przekazania danych osobowych odbiorcom w tym odbiorcom państwa trzeciego, Wykonawca zobowiązany ustalić czy odbiorcy przestrzegą zasad bezpieczeństwa przetwarzania danych osobowych i gwarantują poziom bezpieczeństwa zgodnie z warunkami Rozporządzenia i niniejszej umowy Postanowienia § 5 stosuje się odpowiednio.
§ 4
Prawa i obowiązki Stron
1. Wykonawca na polecenie Zamawiającego jest obowiązany do bezzwłocznego sprostowania, aktualizacji, ograniczenia przetwarzania lub usunięcia danych osobowych wskazanych przez Zamawiającego.
2. Wykonawca na polecenie Zamawiającego przekaże wszelkie informacje związane z procesem przetwarzania powierzonych danych osobowych potrzebnych do zrealizowania przez Zamawiającego żądania osoby, której dane dotyczą, wynikającego z rozdziału III RODO. Wykonawca przekaże informacje w ciągu 7 dni kalendarzowych od wpłynięcia żądania od Zamawiającego, a jeżeli nie zrealizuje polecenia w tym terminie wskaże przyczyny opóźnienia i zaproponuje ostateczny termin realizacji polecenia. Wykonawca przekazuje informacje w sposób wskazany przez Xxxxxxxxxxxxx w przekazanym poleceniu.
3. Wykonawca bezzwłocznie, nie później niż w ciągu 24 godzin od zaistnienia, powiadomi Zamawiającego o wszelkich podejrzeniach naruszenia ochrony danych osobowych, których administratorem jest Zamawiający. Powiadomienie zostanie wysłane na adres e-mail Zamawiającego wskazany w paragrafie 10 ust. 2 pkt. 1) umowy powierzenia. Wzór powiadomienia stanowi Załącznik nr 2 do niniejszej umowy powierzenia.
4. Jeżeli Zamawiający na podstawie informacji przekazanych przez Wykonawcę stwierdzi, że doszło do naruszenia ochrony danych osobowych, Wykonawca przekaże Zamawiającemu wszelkie informacje o naruszeniu, które są wymagane do skutecznego zrealizowania przez Zamawiającego obowiązków o których mowa w art. 33 i 34 RODO.
5. Wykonawca jest zobowiązany do niezwłocznego zawiadomienia Zamawiającego o jakimkolwiek incydencie, postępowaniu a także o wszelkich planowanych lub realizowanych kontrolach dotyczących przetwarzania danych osobowych u Wykonawcy, w szczególności prowadzonych przez Urząd Ochrony Danych Osobowych.
§ 5
Przetwarzanie danych przez Podwykonawcę przetwarzającego
1. Zamawiający wyraża zgodę na wtórne powierzenie przetwarzania danych osobowych Podwykonawcom przetwarzającym w celu realizacji niniejszej umowy powierzenia.
2. Wykonawca przed rozpoczęciem przetwarzania danych osobowych, których administratorem jest Zamawiający, przekazuje Zamawiającemu listę Podwykonawców przetwarzających, z których usług będzie korzystał przy przetwarzaniu danych. Wzór listy Podwykonawców przetwarzających stanowi Załącznik nr 3 do niniejszej umowy powierzenia.
Strona3
3. Wykonawca informuje Xxxxxxxxxxxxx o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Podmiotu przetwarzającego nie później niż 14 dni przed planowanym terminem zmiany. Zamawiający może wnieść sprzeciw wobec zmiany lub dodania Podwykonawcy przetwarzającego, a w razie nieuwzględnienia sprzeciwu – Zamawiający ma prawo rozwiązać umowę powierzenia oraz Umowę w trybie natychmiastowym.
4. Wykonawca przekazuje Zamawiającemu informację, o której mowa w ustępie poprzedzającym na adres e-mail wskazany w paragrafie 10 ust. 2 pkt. 1) umowy powierzenia.
5. Wykonawca oświadcza, że przed przekazaniem danych Podwykonawcy przetwarzającemu zweryfikował i stwierdził zgodność działania tego Podwykonawcy przetwarzającego z wymaganiami RODO.
6. Wykonawca zobowiązuje się powiadomić Podmioty przetwarzające o konieczności sprostowania, aktualizacji, ograniczenia przetwarzania lub usunięcia danych osobowych ujawnionych przez Zamawiającego.
§ 6
Odpowiedzialność Podmiotu przetwarzającego
1. Wykonawca zobowiązuje się do bezterminowego zachowania poufności wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego.
2. Wykonawca gwarantuje, że każda osoba realizująca Umowę zobowiązana jest do bezterminowego zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym. Jednocześnie każda osoba realizująca Umowę zobowiązana jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych.
3. Wykonawca odpowiada za działania i zaniechania Podwykonawców przetwarzających, swoich pracowników oraz wszelkich osób uczestniczących z ramienia Wykonawcy w procesie przetwarzania danych osobowych powierzonych do przetwarzania na mocy niniejszej umowy powierzenia jak za działania i zaniechania własne.
4. Wykonawca ponosi odpowiedzialność odszkodowawczą wobec osób, których dane przetwarza lub przetwarzał i wobec Zamawiającego, jeżeli szkoda powstała w wyniku naruszenia ochrony danych osobowych, jakie wystąpiło z przyczyn leżących po stronie Wykonawcy lub osób, przy pomocy których Wykonawca wykonywał Umowę.
5. Jeżeli Wykonawca przetwarza ujawnione przez Zamawiającego dane osobowe do innych celów i innymi sposobami niż wskazane przez Zamawiającego, uznaje się go za administratora danych osobowych w odniesieniu do tego przetwarzania.
6. Wykonawca deklaruje stosowanie środków technicznych i organizacyjnych określonych w art. 32 Rozporządzenia, jako adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych danych osobowych.
§ 7
Kontrola prawidłowości wykonania umowy powierzenia
1. Wykonawca wyraża zgodę na wykonywanie przez Zamawiającego lub przez upoważniony przez Zmawiającego podmiot kontroli prawidłowości przetwarzania danych osobowych przekazanych przez Zmawiającego z wymaganiami RODO oraz postanowieniami niniejszej umowy powierzenia.
2. Czynności kontrolne realizowane będą w sposób uzgodniony pomiędzy Stronami.
3. W trakcie przeprowadzenia kontroli i w granicach prawem dopuszczonych Wykonawca zobowiązany jest udzielić osobom kontrolującym niezbędnych wyjaśnień i informacji związanych z wykonaniem niniejszej umowy powierzenia.
§ 8
Czas trwania umowy powierzenia
Strona4
1. Niniejsza umowa powierzenia zostaje zawarta na czas do dnia 31.12.2034 r., chyba że Umowa wygaśnie lub zostanie rozwiązana przed tą datą, w takim wypadku do dnia wygaśnięcia lub rozwiązania Umowy.
2. Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania niniejszej umowy powierzenia lub Umowy.
3. Wykonawca nie później niż 30 dni po rozwiązaniu lub wygaśnięciu umowy powierzenia usunie lub zwróci dane osobowe powierzone do przetwarzania przez Zamawiającego z zastrzeżeniem postanowień ustępu 4 niniejszego paragrafu.
4. Jeżeli Wykonawca przetwarza dane osobowe powierzone do przetwarzania w celu wykonania kopii zapasowej, to te dane zostaną usunięte z kopii zapasowych nie później niż po 90 dniach od dnia rozwiązania lub wygaśnięcia umowy powierzenia.
5. Na żądanie Zamawiającego, Wykonawca po usunięciu danych osobowych z własnych zasobów przekaże Zamawiającego oświadczenie o usunięciu danych osobowych.
§ 9
Rozwiązanie umowy powierzenia
1. Zamawiający może rozwiązać niniejszą umowę powierzenia, gdy Wykonawca bądź osoby za których działania i zaniechania odpowiada jak za własne przetwarzają dane osobowe niezgodnie z RODO lub umową powierzenia.
2. W sytuacji, gdy Wykonawca podpowierzy przetwarzanie danych osobowych innemu podmiotowi bez zgody Zamawiającego, bądź dokona zmiany Podwykonawcy przetwarzającego niezgodnie z procedurą wskazaną w § 5 ust 3 niniejszej umowy powierzenia, Zamawiający może rozwiązać niniejszą umowę w trybie natychmiastowym.
3. Rozwiązanie umowy może nastąpić, gdy pomimo zobowiązania Wykonawca nie usunął uchybień wykazanych podczas przeprowadzonej przez Zamawiającego kontroli w zakresie zgodności z RODO i umową powierzenia.
§ 10
Doręczenia, bieżący kontakt Stron
1. Strony podają adresy do doręczeń jak w komparycji umowy powierzenia. Każda ze Stron zobowiązana jest do powiadomienia drugiej Strony o zmianie adresu do doręczeń pod rygorem uznania, że korespondencja skierowana pod ostatnio podany adres zostanie uznana za skutecznie doręczoną z dniem pierwszego awiza.
2. Strony wyznaczają następujące osoby do bieżących kontaktów w związku z realizacją niniejszej umowy powierzenia:
1) Zamawiający: ……………………..., tel. : .............................., e-mail: …...........................
2) Wykonawca: ……………..…, tel. : …………………….., e-mail: …………………….
§ 11
Postanowienia końcowe
1. Wszelkie zmiany niniejszej umowy powierzenia powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych umową powierzenia, zastosowanie znajdują przepisy Kodeksu cywilnego oraz RODO.
Strona5
3. Spory wynikłe na tle niniejszej umowy powierzenia będzie rozstrzygał Sąd właściwy ze względu na siedzibę Zamawiającego.
4. Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Załącznik nr 1 – Cel, zakres i czas przetwarzania danych osobowych.
Załącznik nr 2 – Wzór powiadomienia o podejrzeniu naruszenia ochrony danych osobowych. Załącznik nr 3 – Wzór listy Podwykonawców przetwarzających.
................................ .................................
Strona6
Podpis Zamawiającego Podpis Wykonawca
Załącznik nr 1 Cel, zakres i czas przetwarzania danych osobowych
1. Cel przetwarzania danych osobowych.
Przekazanie w celu przetwarzania danych osobowych Uczestników cyklu czterech dwudniowych seminariów informacyjnych dotyczących podejmowania działań eksportowych przez MŚP w wariancie tematycznym: „Export Gate” w formule online, w terminie 08.07.2022 r. - 30.07.2022 r.
2. Kategorie osób, których dane są powierzane do przetwarzania.
Osoby uczestniczące w cyklu seminariów Export Gate.
3. Kategorie danych osobowych, które mogą być powierzone do przetwarzania:
1) Imię i nazwisko,
2) Nazwa firmy,
3) NIP,
4) Kod PKD
5) Adres siedziby firmy,
6) Nr telefonu,
7) Adres e-mail,
8) Wielkość przedsiębiorstwa,
9) Branża, w której działa firma
4. Kategorie czynności przetwarzania danych osobowych:
• utrwalanie
• przechowywanie
• adaptowanie
• porządkowanie
• pobieranie
• przeglądanie
• wykorzystywanie
• usuwanie
5. Czas przetwarzania danych
Strona7
Dane osobowe przetwarzane będą przez okres niezbędny do realizacji w celu przetwarzania nie później jednak niż do 31.12.2034 r.
Załącznik nr 2 - Wzór powiadomienia o podejrzeniu naruszenia ochrony danych osobowych
1. Podmiot zgłaszający:
2. Podmiot którego dotyczy naruszenie:
3. Czas naruszenia:
4. Charakter naruszenia:
5. Środki bezpieczeństwa zastosowane przed naruszeniem:
6. Możliwe konsekwencje:
Strona8
7. Środki zaradcze:
Strona9
Załącznik nr 3 - Wzór listy podwykonawców przetwarzających
LP | Nazwa Podmiotu | Kontakt | Zakres przetwarzania DO |
1. | |||
2. | |||
3. | |||
4. | |||
5. |