POROZUMIENIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
POROZUMIENIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarte w Warszawie w dniu lutego 2020 r. pomiędzy:
Województwem Mazowieckim z siedzibą w Warszawie (03-719) przy xx. Xxxxxxxxxxxxxx 00, XXX 0000000000, REGON 015528910, reprezentowanym przez:
Xxxxxxxx Xxxxxxxx – Dyrektora Mazowieckiego Zarządu Nieruchomości w Warszawie (00-024) Al. Jerozolimskie 28, działającego na podstawie uchwały nr 2099/209/16 Zarządu Województwa Mazowieckiego z dnia 27 grudnia 2016 r. w sprawie udzielenia pełnomocnictwa Dyrektorowi Mazowieckiego Zarządu Nieruchomości w Warszawie,
zwanym dalej Zamawiającym, a
firmą:
………………………………………………………………………………………………………
………………………………………. KRS , NIP
………………………, REGON reprezentowaną przez:
………………………………………………………………………, zwaną dalej Wykonawcą,
zwanymi dalej wspólnie Stronami. Zważywszy, że:
1. Zamawiający jest Administratorem Danych Osobowych i przetwarza dane osób fizycznych,
w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanym RODO);
2. Strony łączy Umowa nr ………….. z dnia w zakresie
…………………………………………………………………… (dalej Umowa);
3. Niniejsze Porozumienie ma charakter akcesoryjny wobec Umowy i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikającego z Umowy.
Strony wspólnie postanowiły podpisać niniejsze Porozumienie powierzenia przetwarzania danych osobowych (dalej: Porozumienie) dla dostosowania współpracy Stron do postanowień ww. regulacji prawnych o następującej treści:
§ 1
Zakres i cel powierzenia przetwarzania danych osobowych
1. Zamawiający oświadcza, że przetwarza dane osobowe osób fizycznych (dalej: Dane Osobowe):
1) pracowników w związku z wykonywaniem zadań administratora danych osobowych odnoszących się do ich zatrudnienia,
2) mieszkańców biorących w najem lokale mieszkalne administrowane przez Zamawiającego,
3) najemców, dzierżawców – w celu realizacji umów najmu i dzierżawy,
4) pracowników Urzędu Marszałkowskiego Województwa Mazowieckiego w Warszawie (dotyczy: Warszawa, ul. Chrobrego 29) w zakresie:
a) imię;
b) nazwisko;
c) numer telefonu;
d) numer pokoju;
e) nazwa departamentu;
f) nazwa wydziału;
g) miejsce zatrudnienia.
2. Dane osobowe, o których mowa w ust. 1 pkt. 4), powierzone przez Urząd Marszałkowski Województwa Mazowieckiego będą przetwarzane przez MZN i Wykonawcę, w okresie obowiązywania niniejszej umowy, wyłącznie w celu właściwej realizacji następujących zadań:
1) wydawanie kluczy;
2) zapewnienie bezpieczeństwa obiektu (użytkowanej powierzchni) i osób z niego korzystających.
3. Zamawiający oświadcza, że jest Administratorem Danych Osobowych osób wskazanych w ust.1 w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – zwanym dalej „Rozporządzeniem” – oraz w rozumieniu Ustawy o ochronie danych osobowych z 10 maja 2018 r. (Dz. U. z 2018 roku, poz. 1000)
– zwanej dalej „Ustawą” – a Wykonawca przyjmuje do wiadomości, że Zamawiający jest Administratorem Danych Osobowych.
4. W związku ze współpracą Stron przy realizacji Umowy Zamawiający w trybie art. 28 Rozporządzenia, powierza niniejszym Wykonawcy w celu i zakresie niezbędnym do realizacji współpracy Xxxx Xxxxxxx:
a) pracowników Zamawiającego w zakresie danych zwykłych i szczególnych kategorii,
b) pracowników Urzędu Marszałkowskiego Województwa Mazowieckiego w Warszawie, w zakresie określonym w ust. 1 pkt 4).
5. Zakres Danych Osobowych wymienionych w ust. 4 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane, do których będzie miał dostęp Wykonawca mogą być przekazywane przez Zamawiającego
w mniejszym zakresie bez uszczerbku dla postanowień współpracy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
6. Zamawiający zapewnia, że osoby, których Dane Osobowe dotyczą i o których mowa wyżej w ust. 4 otrzymały wystarczające informacje na temat przetwarzania swoich danych osobowych zgodnie z zapisami art. 12 – 14 Rozporządzenia.
§ 2
Obowiązki Wykonawcy
1. Wykonawca zobowiązany jest do przestrzegania niniejszego Porozumienia, w tym do przetwarzania Danych Osobowych odpowiednio do zakresu swoich obowiązków i kompetencji, zgodnie z Umową, o której mowa wyżej, przestrzegając:
− postanowień Umowy,
− obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Ustawy oraz Rozporządzenia.
2. Wykonawca zobowiązuje się:
a) przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzykom związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,
b) dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych,
c) udzielić upoważnień do przetwarzania danych osobowych wszystkim pracownikom i współpracownikom Wykonawcy, tj. osobom, które będą przetwarzały powierzone dane w celu realizacji współpracy, o której mowa w § 1 niniejszej Umowy,
d) prowadzić ewidencję osób upoważnionych do przetwarzania powierzonych Danych Osobowych,
e) zapewnić zachowanie w tajemnicy (o której mowa w art.28 ust.3 pkt b Rozporządzenia) przetwarzanych danych oraz sposobów ich zabezpieczenia, zarówno w trakcie współpracy, jak i po ustaniu współpracy z Zamawiającym.
3. Wykonawca zobowiązuje się:
a) w miarę swoich możliwości, pomóc Zamawiającemu poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą)
b) wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych, zgłaszać je Zamawiającemu niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia.
4. Informacja stwierdzająca naruszenia zasad ochrony danych winna zawierać co najmniej:
a) opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy,
b) opis możliwych konsekwencji naruszenia,
c) opis zastosowanych lub proponowanych do zastosowania przez Wykonawcę środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.
5. Wykonawca po zakończeniu trwania współpracy w terminie 15 dni jest zobowiązany do usunięcia lub/i zwrotu Zamawiającemu powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.
§ 3
Prawo do kontroli
1. Zamawiający, zgodnie z art. 28 ust.3 pkt h) Rozporządzenia, ma prawo kontroli, czy środki zastosowane przez Wykonawcę przy przetwarzaniu danych spełniają postanowienia Umowy i Rozporządzenia.
2. Wykonawca, na każdy pisemny wniosek Zamawiającego, zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu danych osobowych - w terminie 14 dni od dnia otrzymania takiego wniosku.
3. Zamawiający ma prawo do faktycznej weryfikacji sposobu przetwarzania powierzonych Wykonawcy Danych Osobowych – po zgłoszeniu zamiaru takiej weryfikacji przez Zamawiającego z wyprzedzeniem minimum 7 dni.
4. Wykonawca udostępni Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
5. Po stwierdzeniu przez Zamawiającego naruszeń ochrony powierzonych Danych Osobowych, Wykonawca jest zobowiązany do ich usunięcia w terminie wskazanym przez Zamawiającego, nie dłuższym niż 7 dni.
§ 4
Podpowierzenie
1. Zamawiający może upoważnić Wykonawcę do powierzania przetwarzania Danych Osobowych wskazanych w § 1 ust. 3 powyżej podwykonawcy - jedynie w celu niezbędnym do realizacji współpracy, o której mowa w § 1 niniejszego Porozumienia. Wykonawca jest zobowiązany do uzyskania pisemnej zgody Zamawiającego na powierzenie podwykonawcy przetwarzania Danych Osobowych wskazanych w § 1 ust. 4 powyżej.
2. Wykonawca zobowiązany jest do przekazania Zamawiającemu listy podwykonawców, którym w celu realizacji Umowy powierza Dane Osobowe do przetwarzania, w terminie 7 dni od daty podpisania niniejszego Porozumienia.
3. Wykonawca jest zobowiązany do zapewnienia, że podwykonawcy, o których mowa w ust.1 i 2 powyżej spełniają lub spełnią takie same wymagania i obowiązki ochrony danych osobowych, jak Wykonawca, w szczególności obowiązek zapewnienia wystarczających
gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie Danych Osobowych odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ich ochrony.
4. Wykonawca ponosi pełną odpowiedzialność wobec Zamawiającego za naruszenie niniejszego Porozumienia przez podwykonawców, o których mowa w ust. 1 i 2 powyżej
§ 5
Odpowiedzialność
1. Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie Danych Osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Wykonawca ponosi pełną odpowiedzialność wobec Zamawiającego za naruszenie postanowień ochrony Danych Osobowych przez podwykonawców, o których mowa w § 4 powyżej.
3. Wykonawca jest zobowiązany do niezwłocznego poinformowania Zamawiającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Wykonawcę powierzonych Danych Osobowych wskazanych w § 1, ust.3 powyżej oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Wykonawcy, a także wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Wykonawcę tych danych.
§ 6
Poufność
1. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”), zarówno w trakcie realizacji współpracy, o której mowa w § 1 niniejszego Porozumienia jak i po jego zakończeniu.
2. Wykonawca oświadcza, że z zastrzeżeniem § 4 niniejszego Porozumienia, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zamawiającego w innym celu niż realizacja współpracy, o której mowa w § 1 niniejszego Porozumienia lub wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności Danych
Osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 7
Kary i zwrot kosztów
1. Wykonawca zobowiązany jest do naprawienia szkody powstałej w wyniku nienależytego przetwarzania powierzonych jej przez Zamawiającego Danych Osobowych.
2. Warunkiem poniesienia przez Wykonawcę odpowiedzialności za nienależyte przetwarzanie Danych Osobowych jest pisemne lub mailowe powiadomienie Wykonawcy przez Zamawiającego o każdym rzekomym naruszeniu ochrony Danych Osobowych, o zgłoszonych roszczeniach, czy wszczętych postępowaniach mogących skutkować odszkodowaniami lub nałożeniem kar finansowych – niezwłocznie po dowiedzeniu się przez Zamawiającego o takich zdarzeniach, w terminie umożliwiającym Wykonawcy wsparcie Zamawiającego w podjęciu obrony i działań zaradczych, przy czym termin zgłoszenia nigdy nie będzie dłuższy niż 7 dni roboczych.
§ 8
Postanowienia końcowe
1. Wszelkie zmiany niniejszego Porozumienia wymagają formy pisemnej pod rygorem nieważności.
2. Porozumienie obowiązuje przez czas trwania Umowy i przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
3. Zamawiający może rozwiązać niniejsze Porozumienie ze skutkiem natychmiastowym, gdy Wykonawca:
a/ pomimo zobowiązania do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
b/ przetwarza dane osobowe w sposób niezgodny z Umową,
c/ powierzył przetwarzanie powierzonych sobie danych osobowych innemu podmiotowi bez zgody Zamawiającego.
4. Strony zgodnie uznają, że naruszenia Porozumienia, wskazane wyżej w ust. 3, stanowić będą również naruszenia Umowy i mogą stanowić przesłankę do jej wypowiedzenia przez Zamawiającego bez wypowiedzenia ze skutkiem natychmiastowym.
5. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
6. W sprawach nieuregulowanych zastosowanie mają przepisy Kodeksu cywilnego, Rozporządzenia oraz Ustawy.