UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Nr ODO.201.14.2/2022, z dnia 2022 r.
Załącznik nr 9a do zapytania ofertowego
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Nr ODO.201.14.2/2022, z dnia 2022 r.
Zawarta pomiędzy:
Wielkopolskim Biurem Planowania Przestrzennego w Poznaniu, ul. Xxxxxxxxxxxxx 00X, 00-000 Xxxxxx, NIP 7781353552, reprezentowaną przez:
Dyrektora – Xxxxxx Xxxxxxxxx
zwanym dalej Administratorem Danych Osobowych (także Administratorem lub ADO), a
…………………………………………, ……………………………………………………………………..., NIP: …………………….., reprezentowanym przez:
…………………………………………………………… zwanym dalej Przetwarzającym (także Procesorem), zwanymi dalej Stronami.
Zważywszy, że:
1) Strony, w dniu 2022 r, podpisały Umowę Główną nr DAP.201.14.2/2022 na
zakup i wdrożenie sprzętu komputerowego,
2) ADO zobowiązany jest do ustalenia warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu XXX, w zw. z pkt 1),
3) Strony zobowiązane są do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1),
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
§ 1
Słownik pojęć
Ilekroć w niniejszej Umowie zostaną wykorzystane poniższe definicje i zwroty, należy nadawać im następujące znaczenie:
1. RODO – oznacza rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1).
2. Umowa Główna – oznacza Umowę nr DAP.201.14.1/2022 z dnia, o której mowa w pkt 1 Preambuły.
3. Strony – oznaczają łącznie ADO i Przetwarzającego. Odwołanie do Strony w liczbie pojedynczej oznacza którąkolwiek ze Stron.
4. Umowa – oznacza niniejszą Umowę powierzenia przetwarzania danych osobowych ze wszystkimi ewentualnymi załącznikami.
5. Dane osobowe – oznaczają dane osobowe w rozumieniu art. 4 pkt 1 RODO, które XXX powierzył do przetwarzania Przetwarzającemu, w celu realizacji Umowy Głównej.
6. Przetwarzanie – oznacza przetwarzanie Danych Osobowych w rozumieniu art. 4 pkt 2 RODO.
7. Dane zwykłe – oznaczają Dane Osobowe podstawowe, inne niż Dane Wrażliwe.
8. Dane wrażliwe – oznaczają Dane Osobowe podlegające szczególnej ochronie, o których mowa w art. 9 ust. 1 oraz art. 10 RODO,
9. Podprzetwarzający – oznacza podwykonawcę lub kontrahenta Przetwarzającego, na rzecz którego Przetwarzający podpowierza Przetwarzanie Danych Osobowych ADO, objętych Umową.
10. Podmiot danych – osoba, której dane są przetwarzane i której dotyczą prawa ochrony danych.
§ 2
Przedmiot Umowy i oświadczenia Stron
1. Umowa określa zasady oraz podstawy powierzenia Przetwarzającemu przetwarzania danych osobowych w związku z realizacją Umowy Głównej, w celu wykonania obowiązków, o których mowa w art. 28 RODO.
2. Na warunkach określonych niniejszą Umową oraz Umowa Główną, ADO powierza Przetwarzającemu przetwarzanie danych osobowych w swoim imieniu, a Przetwarzający przyjmuje do przetwarzania powierzone dane osobowe, zgodnie z prawem i postanowieniami Umowy oraz Procedury.
3. ADO oświadcza, że jest Administratorem danych osobowych powierzanych Przetwarzającemu na podstawie Umowy, który samodzielnie ustala cele i sposoby przetwarzania danych osobowych.
4. Przetwarzający oświadcza, że dysponuje środkami, doświadczeniem i wiedzą, umożliwiającą mu prawidłowe wykonanie niniejszych postanowień, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, spełniających wymogi RODO.
5. Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO w ramach Procedury, co oznacza, że Przetwarzający przetwarza dane osobowe w imieniu XXX oraz wyłącznie na udokumentowane polecenie ADO chyba, że obowiązek taki nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający.
§ 3
Przetwarzanie danych osobowych
1. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w §2 Umowy oraz zgodnie z udokumentowanymi poleceniami Krajowej Administracji Skarbowej, ZUS lub innych organów państwowych, jeśli zachodzi ku temu przesłanka prawna z art. 6 ust. 1 lit. e RODO.
2. Z zastrzeżeniem ust. 1, przetwarzanie danych osobowych będzie wykonywane w okresie trwania Umowy Głównej.
3. Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób, odpowiadający roli Przetwarzającego jako podmiotu świadczącego usługę wdrożenia środków ochrony danych osobowych. Przetwarzający zobowiązuje się w szczególności, do wykonywania operacji w zakresie przetwarzania danych osobowych określonych w Załączniku nr 1 do Umowy.
4. Celem przetwarzania jest umożliwienie ADO wywiązywania się z prawnych obowiązków, związanych z ochroną administrowanych przez niego danych osobowych.
5. Przetwarzający pozostaje uprawniony do przetwarzania danych osobowych, wskazanych w Załączniku nr 2 do Umowy.
6. ADO powierzy Przetwarzającemu przetwarzanie danych osobowych kategorii osób wskazanych w Załączniku nr 3 do Umowy.
7. Przetwarzający nie będzie ujawniał powierzonych danych podmiotom trzecim, o ile taki obowiązek nie wynika z przepisów prawa.
§ 4
Zasady powierzenia przetwarzania
1. Przetwarzający zobowiązany jest do podjęcia środków zabezpieczających dane osobowe zgodnie z wymogami art. 32 RODO, w szczególności zaś, zgodnie z art. 25 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych.
2. Przetwarzający zobowiązany współpracować z ADO przy wykonywaniu przez niego obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 33−36 RODO.
3. Przetwarzający zobowiązuje się umożliwiać ADO, na każde jego żądanie, dokonanie przeglądu stosowanych środków technicznych i organizacyjnych oraz dokumentacji, dotyczącej tych środków, a także uaktualniać te środki w porozumieniu z nim, z zastrzeżeniem zapisów, zawartych w § 6.
4. Przetwarzający zobowiązany jest dopilnować, by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie ADO, w celach i zakresie przewidzianym w Umowie oraz Procedurze.
5. Niezależnie od postanowień ust. 4 Przetwarzający zobowiązany jest do zapewnienia, aby osoby mające dostęp do przetwarzania danych osobowych, zachowały te dane oraz sposoby ich zabezpieczeń w tajemnicy, zarówno w trakcie trwania Umowy Głównej, jak i po jej rozwiązaniu,
wygaśnięciu lub ustaniu. Na tej samej podstawie Przetwarzający zobowiązuje się do zapewnienia, aby osoby mające dostęp do przetwarzania danych osobowych zachowały te dane oraz sposoby ich zabezpieczeń w tajemnicy, również po ustaniu współpracy z Przetwarzającym. W tym celu Przetwarzający dopuści do przetwarzania danych tylko osoby, które podpisały zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
6. Przetwarzający zobowiązany jest do ograniczenia dostępu do danych osobowych wyłącznie tym osobom, których dostęp do danych osobowych jest potrzebny dla realizacji Umowy.
7. Przetwarzający zobowiązany jest do niezwłocznego poinformowania ADO o wszelkich wątpliwościach co do zgodności z prawem wydanych przez niego poleceń lub instrukcji, w szczególności jeśli w ocenie Przetwarzającego wydane przez ADO polecenia lub instrukcje stanowią naruszenie postanowień RODO, innych przepisów Unii Europejskiej lub bezwzględnie obowiązujących przepisów prawa polskiego.
8. ADO zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać mu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
§ 5
Inne obowiązki przetwarzającego
1. W zakresie zobowiązań Przetwarzającego, o których mowa w § 4 ust. 2, Przetwarzający zobowiązuje się do:
1) przekazania ADO informacji, dotyczących naruszenia ochrony danych osobowych, w ciągu dwudziestu czterech (24) godzin od wykrycia zdarzenia, stanowiącego naruszenie,
2) przygotowania w ciągu dwudziestu czterech (24) godzin od wykrycia zdarzenia, stanowiącego naruszenie ochrony danych osobowych, informacji wymaganych w zgłoszeniu naruszenia ochrony danych do organu nadzorczego, o których mowa w art. 33 ust. 2 RODO,
3) prowadzenia rejestru naruszeń ochrony danych osobowych.
2. Przetwarzający zobowiązuje się nadto pomagać ADO, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania podmiotów danych, zakresie wykonywania ich praw, określonych w Rozdziale III RODO. W szczególności Przetwarzający zobowiązuje się:
1) w razie zgłoszenia przez osobę, której dane dotyczą, żądania prawa dostępu, o którym mowa w art. 15 RODO - do przygotowania dla ADO raportu, umożliwiającego przedstawienia podmiotowi danych informacji, o których mowa w art. 15 ust. 1 RODO,
2) w razie zgłoszenia przez podmiot danych prawa do sprostowania danych, o którym mowa w art. 16 RODO – do odnotowania żądania osoby, której dane dotyczą poprzez aktualizację danych,
3) w razie zgłoszenia przez podmiot danych prawa do bycia zapomnianym, o którym mowa w art. 17 RODO – do przekazania tego żądania ADO,
4) w razie zgłoszenia przez podmiot danych prawa do ograniczenia przetwarzania, o którym mowa w art. 18 RODO – do przekazania tego żądania ADO,
5) w razie zgłoszenia przez podmiot danych prawa do sprzeciwu, o którym mowa w art. 21 RODO – do przekazania informacji ADO.
3. Przetwarzający zobowiązuje się do współpracy z organem nadzorczym w zakresie wykonywanych przez niego zadań. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
4. Przetwarzający zobowiązuje się do udostępnienia ADO wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia ADO lub audytorowi, upoważnionemu przez ADO, przeprowadzanie stosownego audytu.
5. Przetwarzający nie jest uprawniony do przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej poza Europejski Obszar Gospodarczy. Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane osobowe poza Europejski Obszar Gospodarczy.
§ 6
Kontrola przetwarzania. Audyt
1. ADO uprawniony jest do audytu sposobu przetwarzania powierzonych danych osobowych przez Przetwarzającego, w tym do przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych, służących do przetwarzania powierzonych danych osobowych, a także do uzyskania pisemnych lub ustnych wyjaśnień w tym zakresie.
2. O terminie audytu oraz sposobie jego wykonania, ADO powiadomi pisemnie Przetwarzającego w terminie 14 dni przed planowaną datą kontroli.
3. Realizacja przez ADO uprawnień w zakresie audytu nie może prowadzić do naruszenia tajemnicy zawodowej Przetwarzającego, ani zakłócać bieżącego toku pracy Przetwarzającego.
4. Przetwarzający zobowiązany jest do współpracy z ADO w celu umożliwienia mu prawidłowego wykonania audytu.
5. Po zakończeniu audytu, XXX lub upoważniony przez niego audytor przedstawia Przetwarzającemu wyniki audytu. Przetwarzający jest uprawniony do zgłoszenia ADO zastrzeżeń do wyników audytu w terminie siedmiu (7) dni roboczych od dnia otrzymania wyników audytu.
6. W przypadku negatywnych wyników audytu, ADO i Przetwarzający zobowiązują się do podjęcia wspólnych działań, w dobrej wierze, celem usunięcia nieprawidłowości i zapewnienia prawidłowości dalszego przetwarzania danych osobowych przez Przetwarzającego.
7. Przetwarzający uprawniony jest do wykonania dwóch audytów, w ciągu jednego roku kalendarzowego.
§ 7
Odpowiedzialność
Przetwarzający odpowiada względem Administratora za szkody spowodowane swoim działaniem lub zaniechaniem przy realizacji Umowy Głównej, w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
§ 8
Okres obowiązywania Umowy. Zakończenie przetwarzania
1. Umowa została zawarta na czas trwania Umowy Głównej.
2. W przypadku wygaśnięcia lub rozwiązania Umowy Głównej przez którąś ze Stron, Umowę również uznaje się za rozwiązaną lub wypowiedzianą.
3. Strony zgodnie uznają i akceptują, że powierzenie Przetwarzającemu przetwarzania danych osobowych objętych Umową jest dobrowolne, ale niezbędne do prawidłowego wykonania przez Przetwarzającego zapisów Umowy Głównej.
4. W okresie trwania Umowy Głównej Strony zgodnie wyłączają możliwość rozwiązania lub wypowiedzenia Umowy, bez jednoczesnego rozwiązania Umowy Głównej.
5. Przetwarzający zobowiązuje się, po zakończeniu realizacji Umowy Głównej, zależnie od decyzji XXX, do zwrócenia mu wszelkich danych osobowych w formie kopii statycznej i do usunięcia wszelkich ich istniejących kopii (o ile jest w posiadaniu takich danych i/lub kopii), chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
6. Z chwilą rozwiązania/wygaśnięcia Umowy, Przetwarzający nie ma prawa do dalszego Przetwarzania powierzonych danych osobowych.
7. W przypadku zlecenia Przetwarzającemu przez ADO usunięcia danych po rozwiązaniu/wygaśnięciu Umowy, Strony uzgodnią sposób usunięcia danych osobowych na mocy odrębnego porozumienia, w terminie trzydziestu (30) dni od rozwiązania Umowy.
8. Z zastrzeżeniem ust. 6, Przetwarzający dokona usunięcia danych osobowych niezwłocznie, nie później jednak niż w terminie 7 dni od wygaśnięcia Umowy. Za zgodą ADO i tylko w uzasadnionym przypadku, termin ten może ulec wydłużeniu.
9. Po wykonaniu zobowiązania, o którym mowa w ust. 4, Przetwarzający złoży ADO pisemne oświadczenie potwierdzające zwrot wszystkich danych osobowych oraz trwałe usunięcie ich kopii.
§ 9
Klauzula salwatoryjna
1. Jeżeli jakiekolwiek postanowienie Umowy okaże się lub stanie się nieważne albo niewykonalne, pozostaje to bez wpływu na ważność pozostałych postanowień Umowy, chyba, że bez tych postanowień Strony Umowy by nie zawarły, a nie jest możliwa zmiana lub uzupełnienie Umowy w sposób określony w ust. 2.
2. W przypadku, gdy jakiekolwiek postanowienie Umowy okaże się lub stanie nieważne albo niewykonalne, Strony zobowiązane będą do niezwłocznej zmiany lub uzupełnienia Umowy, w sposób oddający możliwie najwierniej zamiar Stron, wyrażony w postanowieniu, które uznane zostało za nieważne albo niewykonalne.
§ 10
Postanowienia końcowe
1. Wszelkie zmiany lub uzupełnienia do Umowy wymagają formy pisemnego aneksu, pod rygorem nieważności.
2. W sprawach nieuregulowanych postanowieniami Umowy, odpowiednie zastosowanie znajdują postanowienia RODO oraz powszechnie obowiązującego prawa polskiego.
3. Umowa została sporządzona w dwóch (2) jednobrzmiących egzemplarzach, po jednym dla każdej Strony.
4. Do Umowy dołączono następujące Załączniki:
1) Załącznik nr 1 – Operacje w zakresie przetwarzania danych osobowych;
2) Załącznik nr 2 – Zakres przetwarzanych danych osobowych;
3) Załącznik nr 3 – Kategorie osób objętych przetwarzaniem.
5. Umowa wchodzi w życie z dniem podpisania.
Administrator Danych Osobowych Przetwarzający
Załącznik nr 1
do Umowy Powierzenie przetwarzania danych osobowych
Operacje w zakresie przetwarzania danych osobowych
Przetwarzający pozostaje uprawniony i zobowiązany do wykonywania poniższych czynności przetwarzania danych osobowych:
1) przeglądanie,
2) przywracanie,
3) usuwanie – tylko na żądanie Administratora, z zastrzeżeniem postanowień § 8 ust. 5-7 Umowy.
Załącznik nr 2
do Umowy Powierzenie przetwarzania danych osobowych
Zakres przetwarzanych danych osobowych
W ramach wykonania Umowy Przetwarzający będzie przetwarzał następujące kategorie danych osobowych:
1) dane zwykłe:
a) imię i nazwisko,
b) Pesel,
c) adres zamieszkania,
d) adres mailowy,
e) nr telefonu,
f) NIP.
Załącznik nr 3
do Umowy Powierzenie przetwarzania danych osobowych
Kategorie osób objętych przetwarzaniem
Przetwarzający pozostaje uprawniony do Przetwarzania danych osobowych następujących podmiotów:
1) pracownicy ADO,
2) klienci ADO,
3) kontrahenci ADO.