UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik Nr 7 do SWZ
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu. w Wiśniewie pomiędzy:
Gminą Wiśniewo, Xxxxxxxx 00, 00-000 Xxxxxxxx, zwaną dalej „Administratorem”, reprezentowaną przez Wójta Gminy Wiśniewo – mgr. Xxxxxxxxx Xxxxxxxx
a
……………………….., z siedzibą w ………………………., NIP ,
zwanym dalej „Procesorem”, w imieniu którego działa:
………………………………………….
zwane dalej łącznie „Stronami”, a każda z osobną „Stroną”.
PREAMBUŁA
1. Niniejsza Umowa Powierzenia zawarta jest w związku z umową Nr ZP.271.7.2022 z dnia
….……2022 r. na Dowóz i odwóz dzieci do szkół w roku szkolnym 2022/2023 oraz w celu wykonywania Umowy.
2. W celu wykonania Umowy niezbędne jest przetwarzanie danych osobowych Użytkowników przez Procesora. W związku z tym konieczne jest zawarcie niniejszej Umowy Powierzenia.
§1
DEFINICJE
1. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. nr 119, str. 1);
2. Umowa – umowa Nr. ZP.271.7.2022 z dnia ………… 2022 r., do której została załączona niniejsza Umowa Powierzenia;
3. Umowa Powierzenia – niniejsza umowa powierzenia przetwarzania danych osobowych Użytkowników;
4. Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781).
§ 2
PRZEDMIOT UMOWY ORAZ ZAKRES, CEL I CHARAKTER PRZETWARZANIA DANYCH OSOBOWYCH
1. W trybie art. 28 ust. 3 RODO, Administrator powierza Procesorowi do przetwarzania dane osobowe wskazane w § 2 ust. 2-3 Umowy Powierzenia, a Procesor zobowiązuje się do ich przetwarzania zgodnie z Umową Powierzenia.
2. Procesor zobowiązuje się do przetwarzania danych osobowych następujących kategorii osób, których dane dotyczą: właściciela, pracowników, podwykonawców.
3. Zakres powierzonych Procesorowi do przetwarzania danych osobowych obejmuje w odniesieniu do: imienia i nazwiska.
4. Celem przetwarzania danych osobowych wskazanych w ust. 2-3 powyżej jest wykonanie Umowy.
5. Procesor zobowiązuje się do przetwarzania danych osobowych w sposób stały. Procesor będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych: zbieranie, utrwalanie, porządkowanie, przechowywanie, wykorzystywanie (do celów wskazanych w ust. 4 powyżej), ujawnianie innym podmiotom zgodnie z przepisami prawa, postanowieniami Umowy lub na polecenie Administratora, usuwanie. Dane osobowe będą przez Procesora przetwarzane w formie elektronicznej lub papierowej.
§ 3
ZASADY PRZETWARZANIA DANYCH OSOBOWYCH I REALIZACJI UMOWY POWIERZENIA
1. Procesor może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie
Powierzenia.
2. Przy przetwarzaniu danych osobowych, Procesor zobowiązuje się do przestrzegania przepisów o ochronie danych osobowych, w szczególności Ustawy oraz przepisów wykonawczych do tej ustawy, a także RODO.
3. Procesor oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową
i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie Umowy Powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Ustawy oraz RODO.
4. Procesor zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanymi poleceniami
Administratora, przy czym za takie udokumentowane polecenia uważa się polecenia przekazywane drogą elektroniczną lub na piśmie.
5. Procesor oświadcza, że podjął skuteczne środki techniczne i organizacyjne zabezpieczające dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz uszkodzeniem, zniszczeniem, utratą lub nieuzasadnioną modyfikacją. Procesor zobowiązuje się:
1) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych osobowych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne
i organizacyjne zapewniające bezpieczeństwo przetwarzania, o których mowa w art. 32 RODO;
2) uwzględniając charakter przetwarzania oraz dostępne mu informacje pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO;
1.1.0. szczególności, Xxxxxxxx zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczania powierzonych danych osobowych, przypadków naruszenia ochrony danych osobowych będących przedmiotem Umowy Powierzenia oraz zawiadamiania o tym organu nadzorczego lub osób,
których dane osobowe dotyczą, przeprowadzenia oceny skutków dla ochrony danych, oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu;
3) przekazywać Administratorowi, w ciągu 24 godzin od wykrycia zdarzenia, informacje o naruszeniu ochrony powierzonych Procesorowi danych osobowych, w tym informacje niezbędne Administratorowi do zgłoszenia naruszenia ochrony danych organowi nadzorczemu, o których mowa w art. 33 ust. 3 RODO;
- w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne oraz na podstawie odrębnych ustaleń, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
- niezwłocznie informować Administratora, jeżeli zdaniem Xxxxxxxxx wydane mu polecenie stanowi naruszenie RODO lub innych przepisów dotyczących ochrony danych;
- stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
6. Procesor zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy Powierzenia, oraz zobowiązuje się zapewnić, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych danych osobowych, zobowiązały się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy Powierzenia.
7. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie o:
1) wszczęciu kontroli przez Prezesa Urzędu Ochrony Danych Osobowych lub przez inny organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z powyższym;
2) wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym;
3) wszelkich incydentach dotyczących powierzonych do przetwarzania danych osobowych przez Administratora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych Procesora danych osobowych.
8. Procesor nie może przekazywać powierzonych mu do przetwarzania danych osobowych do podmiotów znajdujących się w państwach spoza Europejskiego Obszaru Gospodarczego.
§ 4
DALSZE POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
Administrator nie wyraża zgody na dalsze powierzenie (tzw. podpowierzenie) przetwarzania danych osobowych będących przedmiotem Umowy Powierzenia przez Procesora podwykonawcom.
§ 5
UPRAWNIENIA KONTROLNE ADMINISTRATORA
1. Administrator ma prawo do przeprowadzenia kontroli przestrzegania przez Procesora zasad przetwarzania danych osobowych, o których mowa w Umowie Powierzenia oraz w obowiązujących przepisach prawa. Kontrola obejmuje uprawnienie do żądania udzielenia
informacji dotyczących przetwarzania przez Procesora danych osobowych, stosowanych środków technicznych i
organizacyjnych, aby przetwarzanie toczyło się zgodnie z prawem lub dokonywanie kontroli w miejscach, w których są przetwarzane powierzone dane osobowe, po wcześniejszym uzgodnieniu terminu przez Strony na 10 dni przed planowaną kontrolą. Procesor dokona niezbędnych czynności w celu umożliwienia wykonania tego uprawnienia przez Administratora.
2. Procesor jest zobowiązany do zastosowania się do zaleceń Administratora dotyczących zasad przetwarzania powierzonych danych osobowych oraz dotyczących poprawy zabezpieczenia danych osobowych, sporządzonych w wyniku kontroli przeprowadzonych przez Administratora lub upoważnionego przez niego audytora.
...................................... ........................................