UMOWA
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu w Warszawie (zwana dalej: „Umową”) pomiędzy:
1) Ośrodkiem/Centrum Pomocy Społecznej Dzielnicy ……….. x.xx. Warszawy – zwanym dalej
„Ośrodkiem Pomocy Społecznej”, z siedzibą w Warszawie (…-…….), przy …………………..
reprezentowanym przez: dyrektora/p.o. dyrektora Ośrodka Pomocy Społecznej i
2) Centrum Usług Społecznych „Społeczna Warszawa” - zwanym dalej „Organizatorem usług” – z siedzibą przy xx. X. Xxxxxxxxxxx 00, 00-000 Xxxxxxxx, reprezentowanym przez: Xxxxx Xxxxxxxx – dyrektora Centrum Usług Społecznych „Społeczna Warszawa”,
zwanych łącznie dalej „Powierzającym” lub „Współadministratorami”, a
3)........................................... z siedzibą w …………… (………-……….), ul , wpisanym do rejestru przedsiębiorców KRS pod nr ………………………,/wpisanym do CEiDG/ wpisanym do rejestru stowarzyszeń KRS nr ………, zwanym w dalszej części niniejszej Umowy
„Przetwarzającym”, NIP: ……………………; REGON: ,
reprezentowanym przez: …………………………….. - ………………………
zwanymi łącznie dalej Stronami
o następującej treści:
Z uwagi na zmianę przepisów dotyczących ochrony danych osobowych, w związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – zwanego dalej „RODO”, Strony postanawiają zawrzeć nową Umowę powierzenia przetwarzania danych osobowych w celu takiego uregulowania zasad przetwarzania danych osobowych powierzonych Przetwarzającemu w związku z zawarciem w dniu ………………… umowy Nr ……………………………………………., pomiędzy Wykonawcą ……………………………………………, a Organizatorem usług, której przedmiotem jest realizacja świadczeń w formie usług opiekuńczych/ specjalistycznych usług opiekuńczych/ specjalistycznych usług opiekuńczych dla osób z zaburzeniami psychicznymi na rzecz osób, w stosunku do których Ośrodek Pomocy Społecznej wydał decyzję administracyjną przyznającą usługi, aby odpowiadały one w pełni postanowieniom RODO.
§ 1
Definicje
1. Dane osobowe w ramach niniejszej Umowy przetwarzane są w celu realizacji świadczeń
usługowych na rzecz odbiorców, o których mowa w ust. 2 pkt 7.
2. Dla potrzeb niniejszej Umowy, o ile z kontekstu nie wynika inaczej, przyjmuje się następujące znaczenie dla poniżej wymienionych określeń:
1) „Umowa” – niniejsza umowa powierzenia przetwarzania danych osobowych;
2) „Dane osobowe” – dane osobowe w rozumieniu art. 4 pkt. 1 RODO;
3) „Dane szczególnych kategorii” – dane wymienione w art. 9 ust. 1 RODO;
4) „Przetwarzanie danych osobowych” – przetwarzanie w rozumieniu art. 4 pkt 2 RODO, czyli operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób automatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
5) „Powierzający” – Administrator / Współadministratorzy danych osobowych w rozumieniu w rozumieniu art. 4 pkt 7 RODO;
6) „Podmiot przetwarzający” – podmiot w rozumieniu art. 4 pkt 8 RODO;
7) „odbiorca usług” – osoba uprawniona do usług opiekuńczych/ specjalistycznych usług opiekuńczych/ specjalistycznych usług opiekuńczych dla osób z zaburzeniami psychicznymi, której przyznano prawo do ich świadczenia na podstawie decyzji administracyjnej wydanej przez Ośrodek Pomocy Społecznej;
8) „ustawa o pomocy społecznej” – ustawa z dnia 12 marca 2004 r. – o pomocy społecznej (tekst jedn. Dz.U. z 2018 r. poz. 1508, z późn. zm.).
9) „Współadministratorzy” – działający wspólnie w sposób określony w art. 26 RODO – Organizator Usług i Ośrodek Pomocy Społecznej.
10) Zlecenie usługi - zlecenie wykonania usług przesyłane przez Ośrodek Pomocy Społecznej do Przetwarzającego i do wiadomości Organizatora usług.
§ 2
Powierzenie przetwarzania danych osobowych
1. Powierzający, w trybie art. 28 RODO, powierza Przetwarzającemu dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dotyczą przekazywane dane.
3. Przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi bezpieczeństwa przetwarzania, o których mowa w art. 32 ust. 1 i 2 RODO oraz przestrzega innych przepisów, o których mowa w ust. 2.
§ 3
Zakres i cel przetwarzania danych
1. Przetwarzający będzie przetwarzał powierzone na podstawie Umowy następujące rodzaje danych osobowych Odbiorców usług, o których mowa w § 1 ust. 2 pkt 7:
1) dane zwykłe: imię, nazwisko, dane kontaktowe wskazane w Zleceniu usługi, dane członków rodziny, wiek;
2) dane szczególnych kategorii: informacje o stanie zdrowia, informacje o rodzaju przyznanej pomocy.
2. Zakres przetwarzania obejmuje następujące operacje:
1) przechowywanie;
2) przeglądanie;
3) wykorzystywanie;
4) usuwanie lub niszczenie.
3. Powierzone dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji umowy Nr ……………………………… z dnia ……………………………, o której mowa w preambule niniejszej Umowy.
§ 4
Sposób wykonania Umowy w zakresie przetwarzania danych osobowych
1. Przetwarzający zobowiązuje się przy przetwarzaniu powierzonych danych, wskazanych w § 3, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o którym mowa w art. 32 ust. 1 RODO.
2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Przetwarzający zobowiązuje się do nadania stosownych upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy oraz będzie prowadził i aktualizował ich rejestr.
4. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, poprzez zapewnienie przetwarzania danych osobowych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Przetwarzającego, jak i po jego ustaniu.
5. Przetwarzający po zakończeniu Umowy będzie przetwarzał dane osobowe wyłącznie w zakresie niezbędnym do spełnienia obowiązków prawnych spoczywających na Przetwarzającym, tj. dla celów rozliczeniowych, przez okres 5 lat, z zastrzeżeniem ust. 6.
6. Przetwarzający po zakończeniu świadczenia usług stanowiących przedmiot umowy, usunie wszelkie pozostałe dane osobowe, niewymienione w ust. 5, uzyskane na podstawie regulacji Umowy, oraz usunie wszelkie ich istniejące kopie w ciągu 7 dni.
Po wykonaniu zobowiązania, o którym mowa w zdaniu poprzedzającym, Przetwarzający złoży Powierzającemu pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych. Przetwarzający zobowiązuje się pomagać, w miarę możliwości, Powierzającemu w niezbędnym zakresie w wywiązywaniu się przez niego z:
a) obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO;
b) obowiązków określonych w art. 32 - 36 RODO.
7. Przetwarzający powiadamia Powierzającego o każdym podejrzeniu naruszenia ochrony danych osobowych, powierzonych Umową, niezwłocznie, nie później niż w ciągu 1 dnia roboczego od chwili uzyskania informacji o potencjalnym naruszeniu, oraz umożliwia Powierzającemu uczestnictwo w czynnościach wyjaśniających i informuje Powierzającego o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu faktycznego naruszenia.
8. Planując dokonanie zmian w sposobie przetwarzania powierzonych danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Powierzającego o planowanych zmianach w taki sposób i terminach, aby zapewnić Powierzającemu realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Powierzającego grożą bezpieczeństwu danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Przetwarzającego.
9. Przetwarzający może powierzyć dane osobowe, wskazane w § 3 ust. 1 Umowy, do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy oraz po uzyskaniu uprzedniej zgody Powierzającego. Zgoda Powierzającego musi mieć formę pisemną pod rygorem nieważności.
10. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Powierzającego, chyba, że obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Powierzającego o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
11. Podwykonawca, o którym mowa w ust. 9, winien spełniać te same wymogi i obowiązki, jakie zostały nałożone na Przetwarzającego w niniejszej Umowie, w szczególności w zakresie gwarancji ochrony powierzonych danych osobowych.
12. Przetwarzający ponosi wobec Powierzającego pełną odpowiedzialność za niewywiązywanie przez podwykonawcę ze spoczywających na nim obowiązków ochrony danych.
§ 5
Odpowiedzialność za szkody
1. Przetwarzający jest odpowiedzialny za przetwarzanie danych osobowych niezgodnie z treścią Umowy, przepisami RODO lub innymi przepisami powszechnie obowiązującego prawa, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Powierzającego o wszelkich wiadomych mu:
a) postępowaniach, w szczególności sądowych lub administracyjnych,
b) decyzjach administracyjnych i orzeczeniach sądowych,
c) planowanych lub realizowanych kontrolach i inspekcjach, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych dotyczących danych, o których mowa w § 2 Umowy, powierzonych przez Współadministratorów.
§ 6
Kontrola przetwarzania danych
1. Zgodnie z art. 28 ust. 3 lit. h RODO Współadministratorzy działając wspólnie mają prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy i RODO.
2. Współadministratorzy realizować będą prawo kontroli poprzez prawo:
1) wstępu do pomieszczeń, w których przetwarzane są dane osobowe objęte przedmiotem Umowy i przeprowadzenia niezbędnych czynności kontrolnych,
2) żądania złożenia pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego,
3) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych w godzinach pracy Przetwarzającego i z minimum 3 dniowym jego uprzedzeniem.
3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, o której mowa w ust. 1, w terminie wskazanym przez Organizatora Usług, nie dłuższym niż 48 godzin.
4. Przetwarzający zobowiązuje się do udostępnienia Współadministratorom wszelkich informacji niezbędnych do kontroli spełnienia przez siebie obowiązków określonych w art. 28 RODO.
§ 7
Zasady współpracy
1. Strony zobowiązują się, że podczas realizacji Umowy będą ze sobą ściśle współpracować w zakresie dotyczącym przetwarzania danych osobowych, w szczególności zobowiązują się niezwłocznie poinformować o wszelkich okolicznościach mających lub mogących mieć wpływ na zgodność z przepisami prawa dot. przetwarzania danych osobowych.
2. Wszelkie decyzje dotyczące przetwarzania danych osobowych odbiegające od ustaleń zawartych w niniejszej Umowie, powinny być przekazywane Stronom w formie pisemnej pod rygorem nieważności.
3. Do koordynowania spraw związanych z Umową Strony wyznaczają przedstawicieli:
1) Ośrodek / Centrum Pomocy Społecznej wyznacza:
- …………………………………………..
- …………………………………………..
2) Organizator usług wyznacza:
- …………………………………………..
- …………………………………………..
3) Przetwarzający wyznacza:
- …………………………………………..
- …………………………………………..
4. Zastąpienie osób wymienionych w ust. 3 innymi osobami nie wymaga zmiany Umowy w sposób określony w § 10 ust. 3.
5. Przekazywanie danych osobowych stanowiących przedmiot niniejszego Porozumienia następuje drogą elektroniczną w zaszyfrowanej formie na adresy email wskazane w ust. 3. Hasło do zaszyfrowanego pliku przekazywane jest telefonicznie wyznaczonemu przedstawicielowi pod wskazanym w ust. 3 numerem telefonu.
6. W związku z art. 26 ust. 1 i 2 RODO Współadministratorzy oświadczają, że:
1) Ośrodek Pomocy Społecznej i Organizator Usług wspólnie administrują danymi osobowymi, o których mowa w § 3 ust. 1 w następujących celach:
a) w celu przyznania pomocy w formie usług opiekuńczych (w tym specjalistycznych usług opiekuńczych oraz specjalistycznych usług opiekuńczych dla osób z zaburzeniami psychicznymi),
b) w celach archiwalnych i statystycznych,
c) w celu ustalenia, dochodzenia lub obrony roszczeń pomiędzy odbiorcami usług a Ośrodkiem Pomocy Społecznej i Organizatorem Usług, co jest prawnie uzasadnionym interesem Współadministratorów.
2) Ośrodek Pomocy Społecznej i Organizator Usług:
a) przetwarzają dane osobowe odbiorców usług zgodnie z zasadami dotyczącymi przetwarzania danych osobowych określonymi w art. 5 RODO.
b) przechowują wszelką dokumentację dotyczącą współadministrowania, dla potrzeb spełnienia wymogu rozliczalności, przy czym każdy ze Współadministratorów przechowuje dokumentację ograniczoną do jego zakresu działalności.
c) nie przekazują danych osobowych odbiorców usług poza Europejski Obszar Gospodarczy.
d) zobowiązują się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych osobowych jest potrzebny dla realizacji wyżej celów
wymienionych w punkcie 1. Dodatkowo Współadministratorzy zapewniają, że do przetwarzania danych osobowych dopuszczają wyłącznie osoby, które mają imienne upoważnienie nadane przez Ośrodek Pomocy Społecznej i/lub Organizatora Usług oraz, że osoby dopuszczone do przetwarzania danych osobowych zaciągnęły zobowiązanie do zachowania danych osobowych w tajemnicy, a także osoby zostały uprzednio przeszkolone z zasad i przepisów o ochronie danych osobowych.
e) zapewniają odpowiedni poziom bezpieczeństwa danych osobowych, zgodnie z art. 32 ust. 1-2 RODO.
7. Współadministratorzy realizują obowiązki określone w ust. 6 na podstawie zawartego porozumienia o współadministrowaniu, zgodnie z art. 26 RODO.
§ 8
1. Strony oświadczają, że zawierają Umowę na czas określony od dnia ……………… do dnia
…………………., – w związku z obowiązywaniem umowy Nr …………………………………………… z dnia …………………….. zawartej między Wykonawcą a Organizatorem usług, o której mowa w preambule, z zastrzeżeniem ust. 2.
2. Umowa może wygasnąć przed terminem określonym w ust. 1, w przypadku rozwiązania lub wygaśnięcia umowy, o której mowa w preambule.
3. Każdy ze Współadministratorów może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, w sytuacji, gdy Przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z Umową, RODO lub innymi obowiązującymi przepisami;
3) powierzył przetwarzanie danych osobowych innemu podmiotowi, bez pisemnej zgody Powierzającego.
4. Oświadczenie Strony o wypowiedzeniu Umowy powinno być złożone w formie pisemnej pod rygorem nieważności.
5. Wypowiedzenie Umowy z przyczyn, o których mowa w ust. 3 będzie stanowiło okoliczność uzasadniającą rozwiązanie umowy Nr ………………………………………. z dnia
……………………………………. zawartej między Wykonawcą a Organizatorem usług, z winy Przetwarzającego.
§ 9
Postanowienia końcowe
Strony oświadczają, iż znany jest im fakt, że treść niniejszego Umowy, a w szczególności dotyczące ich dane identyfikujące i przedmiot Umowy, stanowią informację publiczną w rozumieniu art. 1 ust. 1 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (tekst jedn. Dz.U. z 2018 r. poz. 1330, z późn. zm.), która podlega udostępnianiu w trybie przedmiotowej ustawy.
§ 10
1. Wszelka korespondencja związana z wykonaniem Umowy doręczana będzie na adresy wskazane w komparycji Umowy. Doręczenia będą uważane za skuteczne z chwilą potwierdzenia otrzymania korespondencji przez osoby wymienione w § 7 ust. 3 Umowy.
2. W przypadku zmiany danych kontaktowych wskazanych w komparycji Umowy, w tym siedziby i adresu, każda ze Stron zobowiązana jest poinformować o tym drugą Stronę pod rygorem uznania dotychczasowych danych za aktualne. Zmiana danych, o których mowa w ust. 1 wymaga jednostronnego oświadczenia Strony, która dokonuje zmiany danych, złożonego na piśmie pod rygorem nieważności.
3. Zmiana Umowy może nastąpić tylko w formie pisemnej pod rygorem nieważności.
§ 11
1. Z dniem zawarcia niniejszej umowy Strony uchylają obowiązywanie umowy powierzenia przetwarzania danych osobowych zawartej w dniu 2018 r.
2. W sprawach nieuregulowanych w Umowie zastosowanie mają przepisy powszechnie obowiązującego prawa, a w szczególności: RODO, Ustawy z dnia 10 maja 2018 r. - o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000, z późn. zm.) oraz kodeksu cywilnego.
3. Wszelkie spory związane z zawarciem i wykonaniem Umowy będą rozstrzygane przez Sąd właściwy miejscowo dla siedziby x.xx. Warszawy.
§ 12
Umowę sporządzono w trzech jednobrzmiących egzemplarzach – jeden dla Przetwarzającego, jeden dla Organizatora usług i jeden dla Ośrodka Pomocy Społecznej.
Organizator usług Ośrodek Pomocy Społecznej Przetwarzający
……………...…….… ………………………….….. ..………………………