UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 5
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Zawarta dnia 2021 r. w Białymstoku, pomiędzy:
Skarbem Państwa, w imieniu którego działa Regionalny Dyrektor Ochrony Środowiska w Białymstoku, z siedzibą w Białymstoku, przy ul. Dojlidy Fabryczne 23, reprezentowanym przez : Panią Xxxxx Xxxxxxx – Regionalnego Dyrektora Ochrony Środowiska w Białymstoku, zwanym w dalszej części Umowy: „Administratorem”
a
reprezentowanym przez:
Zwanym dalej „Podmiotem przetwarzającym”
Łącznie zwanymi jako „Strony” o następującej treści:
§1. Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanych dalej „Rozporządzeniem”, dane osobowe do przetwarzania, na zasadach i w celu określonym w Umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
§2. Przedmiot, cel i sposób przetwarzania
1. Administrator zawiera niniejszą umowę z Podmiotem przetwarzającym gdyż gwarantuje on niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania Umowy, by przetwarzanie spełniło wymogi obowiązujące prawa, w tym wymogi bezpieczeństwa przetwarzania, i by przetwarzanie chroniło prawa osób,
których dane dotyczą. Powierzenie następuje w celu wykonania zawartej między Stronami umowy nr z dnia .2021 r. dotyczącej ……………………
2. Dane osobowe będą przetwarzane:
1) w formie papierowej,
2) w formie elektronicznej za pomocą dedykowanych skrzynek e-mail.
3. Wszelkie informacje zawierające dane osobowe, a przesyłane drogą elektroniczną będą szyfrowane.
4. Dane osobowe objęte przedmiotem Umowy mogą być przez Podmiot przetwarzający przetwarzane wyłącznie w taki sposób by nie naruszać Umowy oraz załącznika.
§3. Zakres, rodzaje i kategorie danych
1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w celu wskazanym w § 1 oraz § 2 ust. 1 Umowy, na potrzeby świadczenia usług i wykonania czynności przetwarzania, o których mowa w załączniku do Umowy.
2. Przetwarzający nie będzie przetwarzał danych szczególnych kategorii.
§4. Obowiązki podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie tajemnicy, (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Podmiot przetwarzający po zakończeniu świadczenia usług wynikających z umowy, o której mowa w § 2 ust. 1 Umowy, usuwa wszelkie istniejące ich nośniki, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32 – 36 Rozporządzenia.
7. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w ciągu 24 godzin.
§5. Podpowierzenie
Administrator nie wyraża zgody na podpowierzenie danych osobowych objętych przedmiotem Umowy.
§6. Prawo kontroli
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7 dniowym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
§7. Komunikacja
1. Strony określają następujący sposób komunikacji przy użyciu systemu teleinformatycznego, pomiędzy sobą, w celu realizacji postanowień Umowy.
1) Po stronie Administratora: adres e-mail:
2) Po stronie Podmiotu przetwarzającego:
2. Postęp prac oraz komunikacja szczegółowa nad wykonywaniem Umowy odbywać się będzie za pomocą e-maila, telefonu lub osobiście pomiędzy Stronami.
3. W przypadku zmiany danych kontaktowych, o których mowa powyżej, przez którąkolwiek ze Stron jest on obowiązana do niezwłocznego poinformowania drugiej strony o tym fakcie oraz wskazania nowych danych kontaktowych. Zmiany takiej nie uważa się za konieczną sporządzenia pisemnego aneksu do Umowy.
4. Strony zobowiązują się do bieżących konsultacji we wszystkich istotnych sprawach, służących realizacji Umowy.
§8. Bezpieczeństwo
1. Podmiot przetwarzający dołoży starań, aby podjąć środki techniczne i organizacyjne przeciwko utracie lub jakiejkolwiek formie bezprawnego przetwarzania, w tym naruszenia ochrony danych – przypadkowe lub niezgodnie z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
– w związku z wykonywaniem przetwarzania danych osobowych na mocy Umowy.
2. Podmiot przetwarzający z zachowaniem należytej staranności zobowiązuje się, że dołoży wszelkich starań, aby środki bezpieczeństwa były na rozsądnym poziomie, z uwzględnieniem aktualnego stanu wiedzy, wrażliwości danych osobowych i kosztów związanych ze środkami bezpieczeństwa.
§9. Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejsze postanowienie dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
3. Żadna ze stron Umowy nie jest odpowiedzialna za niewykonanie lub nienależyte wykonanie swoich zobowiązań wynikających z umowy z powodu siły wyższej albo działanie lub zaniechanie osoby trzeciej, na która nie miała wpływu dana Strona. Jeżeli siła wyższa albo działanie/zaniechanie osoby trzeciej, na której wystąpienie nie miała wpływu Strona spowoduje niewykonanie lub/i nienależyte wykonanie przez Stronę zobowiązań wynikających z Umowy Strona ta niezwłocznie zawiadomi druga Stronę o powstaniu i ustaniu przyczyny przedstawiając dokumentację w tym zakresie oraz niezwłocznie rozpocznie usuwanie skutków tego zdarzenia o ile będzie to możliwe.
§10. Rozwiązanie umowy
Administrator danych może rozwiązać Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający;
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z Umową;
3) powierzył przetwarzanie danych osobowych innemu podmiotowi.
§11. Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawnione ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§12. Postanowienia Końcowe
1. W sprawach nieuregulowanych mają zastosowanie właściwe przepisy dotyczące ochrony danych osobowych.
2. Podmiot przetwarzający nie otrzymuje wynagrodzenia z tytułu powierzenia.
3. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
4. W czasie trwania Umowy strony obowiązane są wzajemnie informować się o wszelkich istotnych informacjach.
5. Strony zobowiązują się dołożyć wszelkich starań przy rozwiazywaniu wszelkich sporów mogących wystąpić w przyszłości w związku z wykonaniem przedmiotu Umowy, w drodze obustronnych uzgodnień i porozumień. W przypadku, gdy powstałego sporu nie da się rozstrzygnąć w sposób określony powyżej, spór będzie rozstrzygany przez sąd właściwy dla siedziby Administratora.
6. Umowa została sporządzona w trzech jednobrzmiących egzemplarzach, jednym dla Podmiotu przetwarzającego, dwóch dla Administratora.
Administrator | Przetwarzający |
Załącznik do Umowy powierzenia przetwarzania danych osobowych
Czynności przetwarzania danych osobowych
Administrator Danych | Regionalna Dyrekcja Ochrony Środowiska w Białymstoku, ul. Dojlidy Fabryczne 23, 15- 554 Białystok |
Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej | NIE |
Kategorie odbiorców danych, którym dane osobowe zostaną ujawnione | Nie dotyczy – zakaz podpowierzania |
Planowany termin usunięcia danych przez podmiot przetwarzający | Niezwłocznie po zakończeniu świadczenia usług |
Zasoby wykorzystywane do przetwarzania danych | Komputer, poczta elektroniczna, e-mail, protokół z szacowania. |
Czynności przetwarzania danych | Dokonywanie oględzin i szacowanie szkód |
Kategorie danych osobowych powierzonych do przetwarzania | Poszkodowany: imię, nazwisko, adres zamieszkania, nr ew. działki, nr PESEL, nr dokumentu potwierdzającego tożsamość, numer rachunku bankowego, adres e-mail. Pełnomocnik poszkodowanego: imię, nazwisko, adres zamieszkania, numer telefonu, adres e- mail |