Powierzenie przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych Nr ............................
zawarta w dniu 2021 r. w Warszawie pomiędzy: Zamkiem Królewskim w Warszawie –
Muzeum, Plac Zamkowy 4 w Warszawie
zwaną dalej ”Zamkiem” lub „Administratorem”, którą reprezentuje Pierwszy Zastępca Dyrektora ds.
Zarządzania Zamku Królewskiego w Warszawie Xxxxxxxx Xxxxxxxxx a
………………………….., zwaną dalej lub „Podmiotem przetwarzającym”, którą
reprezentuje ……………………………..
o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe, zgodnie z art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. L 119 z 04.05.2016, str. 1 ze zm., zwanego dalej RODO, w związku z umową nr ………………. z dn. 2019
r. na wykonanie prac w zakresie Umowy.
2. Przetwarzanie danych osobowych przez Strony będzie odbywać się na zasadach i w celu określonym w niniejszej Umowie. Podmiot przetwarzający będzie przetwarzał dane osobowe zgodnie z niniejszą umową powierzenia, przepisami RODO oraz powszechnie obowiązującymi przepisami odnoszącymi się do ochrony danych osobowych. Podmiot przetwarzający dane osobowe zobowiązuje się do stosowania środków bezpieczeństwa odpowiadających wymogom RODO.
3. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych wyłącznie w zakresie określonym w § 2 niniejszej umowy.
§ 2
Zakres i cel przetwarzania danych
1. Administrator powierza Podmiotowi przetwarzającemu dane osobowe następujących kategorii osób:
1) Pracownicy, współpracownicy
2) Kontrahenci, pracownicy/współpracownicy kontrahentów
3) Uczestnicy wydarzeń,
4) Klienci sklepu internetowego,
5) Inne osoby, których dane osobowe są przetwarzane w systemach informatycznych administratora podlegających migracji.
2. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie następujących kategorii danych osobowych: imię, nazwisko, adres zamieszkania, numer PESEL i inne dane osobowe
przetwarzane w systemach informatycznych podlegających migracji, a następnie administrowaniu zlokalizowanych w ramach:
1) dwóch serwerów Active Directory,
2) piętnastu serwerów wirtualnych, w tym: serwer poczty elektronicznej, serwer systemu Xpertis, serwer systemu Iksoris, serwer systemu Prolib, serwer systemu X’Chronos, serwer systemu Delegacje, serwer strony internetowej Zamku.
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonywania umowy głównej oraz w zakresie w niej wskazanym i w sposób zgodny z niniejszą Umową.
4. Podmiot przetwarzający będzie wykonywał następujące czynności przetwarzania: podgląd, pobieranie, przeglądanie, przenoszenie (w tym migracja), przechowywanie, porządkowanie, wykonywanie kopii zapasowych zasobów plikowych i serwerów i zarządzanie nimi, administrowanie serwerami, usuwanie lub niszczenie.
§ 3
Sposób wykonania Umowy w zakresie przetwarzania danych osobowych
1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Dotyczy to także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2. W przypadku, gdy Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydawanych przez Administratora poleceń, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości, pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu. Podmiot przetwarzający dokumentuje okoliczność poinformowania Administratora o powziętych wątpliwościach.
3. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu danych osobowych, wymienionych w § 2 ust 2, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
4. Przy wykonywaniu czynności przetwarzania Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności.
5. Podmiot przetwarzający zobowiązuje się do prowadzenia rejestru czynności przetwarzania danych osobowych, zgodnie z art. 30 ust. 2 RODO, w zakresie przetwarzania dokonywanego w imieniu Administratora.
6. Podmiot przetwarzający zobowiązuje się do dopuszczenia do przetwarzania danych osobowych osób, których dostęp jest niezbędny do realizacji celu umowy głównej oraz do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
7. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do
przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
8. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe i ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
§ 4
Obowiązki Podmiotu przetwarzającego związane z realizacją praw podmiotów danych
1. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
2. Podmiot przetwarzający zobowiązuje się do współpracy w zakresie wykonywania żądań podmiotów danych związanych z przetwarzanymi danymi osobowymi.
3. Podmiot przetwarzający oświadcza, że wdrożył lub wdroży odpowiednie środki techniczne i organizacyjne, adekwatne do sposobu przetwarzania i zakresu danych osobowych, umożliwiających wsparcie Administratora w wykonanie obowiązku odpowiadania na żądania osób fizycznych dotyczące praw przysługujących im na podstawie RODO.
4. Podmiot przetwarzający informuje Administratora, w terminie nie dłuższym niż 5 dni roboczych od otrzymania żądania osoby fizycznej, której dane osobowe powierzono, o każdym takim żądaniu, powstrzymując się jednocześnie od odpowiedzi na żądanie. Jednocześnie podmiot przetwarzający przekazuje wszystkie informacje, którymi dysponuje, dotyczącymi przedmiotu żądania.
§ 5
Obowiązki Podmiotu przetwarzającego związane z naruszeniami ochrony danych osobowych
1. Podmiot przetwarzający informuje Administratora o wszelkich zdarzeniach mogących stanowić naruszenie ochrony danych, a także o wszelkich zdarzeniach mogących skutkować odpowiedzialnością Administratora na podstawie przepisów o ochronie danych osobowych, bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia zaistnienia takiego zdarzenia. Podmiot przetwarzający przekazuje informacje o takich zdarzeniach na adres: iod@zamek- xxxxxxxxx.xx
2. W przypadku stwierdzenia zaistnienia zdarzenia mogącego stanowić naruszenie ochrony danych osobowych, Podmiot przetwarzający przekazuje Administratorowi wszelkie niezbędne informacje, w tym dotyczące: charakteru naruszenia ochrony danych osobowych (podając kategorie i przybliżoną liczbę osób, których może dotyczyć naruszenie, kategorie i przybliżoną liczbę wpisów danych, których dotyczy naruszenie), możliwe konsekwencje naruszenia, działania podjęte w celu usunięcia naruszenia i zabezpieczenie danych osobowych, wdrożone procedury i działania eliminujące takie zdarzenia w przyszłości.
3. Podmiot przetwarzający odpowiada za szkody wyrządzone na skutek niewykonania lub nienależytego wykonania obowiązków wynikających z niniejszej Umowy oraz z obowiązujących przepisów prawa, w tym za szkody wynikające z udostępnienia danych osobowych osobom nieupoważnionym, ich zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem obowiązujących przepisów, nieuprawnioną zmianą danych, uszkodzeniem lub zniszczeniem, które nastąpiło z winy Podmiotu przetwarzającego.
4. Podmiot przetwarzający zwolni Administratora z odpowiedzialności wobec osób, których dane są przetwarzane w związku z Umową z tytułu jakiejkolwiek szkody poniesionej przez te osoby, a wynikającej lub związanej z naruszeniem przez Przetwarzającego przepisów dotyczących ochrony danych osobowych lub postanowień niniejszej Umowy.
§ 6
Obowiązki Podmiotu przetwarzającego związane z udostępnianiem danych osobowych
Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia,
2) każdym nieupoważnionym dostępie do danych osobowych.
§7
Prawo kontroli
1. Administrator zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
2. Administrator będzie realizował prawo kontroli uprzedzając Podmiot przetwarzający o zamiarze jej przeprowadzenia na 21 dni kalendarzowych wcześniej.
3. Podmiot przetwarzający zobowiązuje się odpowiedzieć na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.
4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 21 dni. Naruszenie ochrony danych Podmiot przetwarzający usuwa niezwłocznie.
5. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§8
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający jest zobowiązany do niekorzystania z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Administratora.
2. W przypadku wyrażenia przez Administratora zgody, o której mowa w ust. 1, Podmiot przetwarzający przedstawi listę innych podmiotów przetwarzających, z których usług korzysta (Załącznik nr 1 do Umowy).
3. Niezależnie od obowiązku uzyskania zgody, o której mowa w ust. 1, przed rozpoczęciem korzystania z usług innego podmiotu przetwarzającego Przetwarzający przeprowadzi
odpowiednią weryfikację, aby zapewnić, że inny podmiot przetwarzający jest w stanie zapewnić odpowiedni poziom ochrony danych osobowych.
4. Przetwarzający zapewnia, iż w przypadku gdy Przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w Umowie, w tym obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
5. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się obowiązków ochrony danych przez inny podmiot przetwarzający, z którego usług korzysta.
6. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
7. Dalszy podmiot przetwarzający winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
§ 9
Odpowiedzialność
1. W przypadku skierowania wobec Administratora jakichkolwiek roszczeń cywilnoprawnych przez osoby trzecie, lub wszczęcia wobec Administratora jakichkolwiek postępowań przez organy publiczne - w szczególności organy nadzorcze, o których mowa w Rozdziale VI RODO
- z powodu naruszenia przez Przetwarzającego obowiązków wynikających z Umowy, RODO lub innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych, Przetwarzający zwolni Administratora z ponoszenia jakiejkolwiek odpowiedzialności cywilnoprawnej lub naprawi szkodę poniesioną z powyższego tytułu przez Administratora, w tym zwróci koszty wypłaconego odszkodowania oraz uzasadnione koszty pomocy prawnej, poniesione przez Administratora w związku z roszczeniem.
2. Podmiot przetwarzający jest odpowiedzialny ponadto za szkody powstałe na skutek udostępnienia lub wykorzystania danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienia powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
3. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przetwarzającego tych danych osobowych, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych.
§ 10
Czas trwania umowy
Niniejsza umowa obowiązuje od dnia jej zawarcia przez okres niezbędny do realizacji celu, o którym mowa w § 2 Umowy, o ile nie zostanie wcześniej rozwiązana zgodnie z § 11 niniejszej Umowy.
§ 11
Rozwiązanie umowy
1. Niniejsza Umowa rozwiązuje się z dniem rozwiązania umowy głównej.
2. Administrator może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia przez Podmiot przetwarzający jej postanowień.
3. W przypadku rozwiązania niniejszej Umowy lub ustania celu powierzenia przetwarzania danych osobowych, o którym mowa w § 2, a w szczególności zakończenia świadczenia usług związanych z przetwarzaniem danych osobowych i zakończenia realizacji umowy, Przetwarzający zobowiązany jest do niezwłocznego usunięcia wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że obowiązek dalszego przechowywania tych danych osobowych wynika z powszechnie obowiązujących przepisów prawa].
4. W terminie 14 dni od powstania obowiązku usunięcia danych zgodnie z ust. 3 Przetwarzający przekaże Administratorowi kopię protokołu potwierdzającego zniszczenie danych lub informację o obowiązku dalszego przechowywania danych ze wskazaniem okresu przechowywania i podstawy prawnej.
§ 12
Postanowienia końcowe
1. Umowa wchodzi w życie z dniem podpisania przez obie Strony i ma zastosowanie w odniesieniu do wszystkich danych osobowych powierzonych Podmiotowi przetwarzającemu do przetwarzania w zakresie i celu wskazanym w § 2 Umowy. W zakresie powierzenia przetwarzania danych osobowych, o których mowa w § 2 niniejsza Umowa zastępuje wszelkie wcześniejsze umowy i porozumienia zawarte pomiędzy Stronami.
2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. Strony postanawiają, że we wszelkich sprawach nie objętych Umową stosuje się przepisy prawa polskiego.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora.
5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.
Administrator danych Podmiot przetwarzający