Umowa powierzenia przetwarzania danych osobowych
ZTM-przetarg nieograniczony nr 33/2019 Załącznik nr 5 do SIWZ
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu w
pomiędzy:
1) Miastem Stołecznym Warszawa w imieniu i na rzecz którego działa Zarząd Transportu Miejskiego, xx. Xxxxxxx 00, 00-000 Xxxxxxxx, reprezentowane na podstawie pełnomocnictwa nr GP-OR.0052.5237.2013 z dnia 16 grudnia 2013 r. udzielonego
Xxxx Xxxxxxxxxx Xxxxxxx – Dyrektorowi Zarządu Transportu Miejskiego, zwanym dalej „Zleceniodawcą lub Administratorem”
a
1) [imię nazwisko/firma], [adres], [w przypadku podmiotów zarejestrowanych w KRS: zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy w , Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS ], nr PESEL , nr NIP , nr REGON ,
zwanym dalej „Podmiotem przetwarzającym”
zwanymi dalej łącznie „Stronami”, zaś oddzielnie „Stroną”.
Zważywszy, że:
PREAMBUŁA
1) Strony zawarły umowę („Umowa główna”), w związku
z wykonywaniem której Zleceniodawca powierzy Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową;
2) Celem Umowy powierzenia jest ustalenie warunków, na jakich Podmiot przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Zleceniodawcy;
3) Strony, zawierając Umowę powierzenia dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1);
Strony zgodnie postanowiły, co następuje.
§ 1.
DEFINICJE
O ile niniejsza Umowa powierzenia nie stanowi inaczej, zastosowane definicje będą miały następujące znaczenie:
Umowa powierzenia niniejsza Umowa
Umowa główna umowa z dnia
pomiędzy
, której przedmiotem jest
Dane osobowe dane osobowe w rozumieniu art. 4 pkt 1 RODO
RODO rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1)
Ustawa Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000)
§ 2.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Zleceniodawca jest Administratorem, w rozumieniu art. 4 pkt 7 RODO, w zakresie danych osobowych wskazanych w § 3 niniejszej umowy.
2. W związku z zawarciem Umowy głównej Administrator powierza i poleca Podmiotowi przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania w imieniu Administratora, na zasadach i w celu określonym w niniejszej umowie.
3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
4. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO.
§ 3
CHARAKTER I CEL PRZETWARZANIA DANYCH
1. Przetwarzanie obejmować będzie wyłącznie takie dane, które są niezbędne do realizacji przedmiotu Umowy głównej.
2. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie niniejszej umowy następujące rodzaje danych:
Dane zwykłe osób pełnoletnich i niepełnoletnich:
a) imię i nazwisko,
b) numer ewidencyjny PESEL,
c) adres zamieszkania,
d) adres zameldowania,
e) data urodzenia,
f) seria i numer dokumentu tożsamości,
g) imiona rodziców – w przypadku osób niepełnoletnich,
h) nazwisko matki - w przypadku osób niepełnoletnich,
i) seria i numer dokumentu przewozu.
Dane szczególnych kategorii i dane karne:
a) dokumentacja medyczna do okazania w zakresie potwierdzania uprawnień do przejazdów ulgowych/bezpłatnych.
Dane nieustrukturyzowane:
a) nagrania z monitoringu miejskiego oraz monitoringu wizyjnego zamieszczonego w pojazdach lokalnego transportu zbiorowego oraz na stacjach metra wyłącznie do wglądu w celu ustosunkowania się do składanych reklamacji, odwołań i skarg.
3. Przetwarzanie danych będzie dotyczyć następujących kategorii osób:
a) osoby korzystające z usług przewozowych środkami lokalnego transportu zbiorowego w x.xx Warszawie
4. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu kontroli dokumentów przewozu oraz windykacji należności z tytułu korzystania bez ważnego dokumentu przewozu lub dokumentu uprawniającego do ulgowego/bezpłatnego przejazdu z usług przewozowych środkami lokalnego transportu zbiorowego w x.xx. Warszawie.
5. Realizacja Umowy głównej wiąże się z przetwarzaniem, które będzie miało charakter stały, elektroniczny i papierowy.
§ 4.
OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
1. Podmiot przetwarzający oświadcza, że dysponuje doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającym mu prawidłowe wykonanie usług objętych niniejszą umową w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z aktualnymi przepisami o ochronie danych osobowych. Jednocześnie oświadcza, że zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odpowiadało wymogom RODO.
2. W szczególności, Podmiot przetwarzający oświadcza i gwarantuje, że:
1) spełnia wymagania określone w aktualnych przepisach o ochronie danych osobowych, tzn. spełnia wymagania określone w RODO, w szczególności zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO, by przetwarzanie spełniało wymogi RODO, w tym art. 25 i 32 i chroniło prawa osób, których dane dotyczą;
2) osoby wyznaczone przez niego do realizacji Umowy powierzenia, spełniają wymagania aktualnych przepisów o ochronie danych osobowych, w szczególności w zakresie znajomości tych przepisów i są upoważnione przez Administratora do przetwarzania danych osobowych, zgodnie z tymi przepisami w celu realizacji niniejszej umowy;
3) osoby wyznaczone przez niego do realizacji Umowy powierzenia zapoznały się z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych obowiązującymi u Administratora;
4) osoby wyznaczone przez niego do realizacji Umowy powierzenia zobowiązały się do zachowania tajemnicy (o której mowa w art. 28 ust. 3 lit b RODO) w związku z przetwarzaniem danych osobowych w celu realizacji Umowy powierzenia, tzn. zachowania w tajemnicy danych osobowych oraz informacji dotyczących sposobów ich zabezpieczeń, zarówno w czasie trwania Umowy powierzenia, jak i po jej zakończeniu, bez względu na czas trwania ich stosunku pracy lub stosunku cywilno- prawnego z Podmiotem przetwarzającym.
3. Podmiot przetwarzający oświadcza, że nie posiada / posiada Inspektora Ochrony Danych w osobie: ….., o którym mowa w aktualnych przepisach o ochronie danych osobowych;
i gwarantuje, że w przypadku jakiejkolwiek zmiany w powyższym zakresie w trakcie okresu trwania Umowy powierzenia, powiadomi Administratora w formie pisemnej, bez zbędnej zwłoki.
4. Podmiot przetwarzający zobowiązuje się w szczególności, do:
1) podjęcia, przed rozpoczęciem przetwarzania powierzonych danych, o których mowa w
§ 3 ust. 2, środków zabezpieczających dane osobowe oraz spełnienia wymagań, o których mowa w ust. 1 i 2;
2) przetwarzania powierzonych danych osobowych:
a) wyłącznie w celu i zakresie określonym w § 3 ust. 2, 3, 4 niniejszej umowy,
b) nie dłużej, niż jest to konieczne do realizacji Umowy głównej,
c) z zapewnieniem wymagań, o których mowa w ust. 1 i 2.
3) wspomagania Administratora, przy uwzględnieniu charakteru przetwarzania danych osobowych:
a) w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w RODO, poprzez odpowiednie środki techniczne i organizacyjne;
b) w wywiązywaniu się z obowiązków określonych w art. 32 - 36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym), w zakresie posiadanych informacji.
4) wypełnienia obowiązku informacyjnego wobec osób, których dane będzie przetwarzać, a który to obowiązek wynika z aktualnych przepisów o ochronie danych osobowych, tzn. RODO.
5. Podmiot przetwarzający zobowiązuje się niezwłocznie, a najpóźniej w terminie do 72 godzin od wystąpienia zdarzenia, zawiadamiać Administratora o każdym, związanym z realizacją Umowy powierzenia:
1) żądaniu udostępnienia danych osobowych;
2) udostępnieniu danych osobowych uprawnionemu podmiotowi;
3) żądaniu osoby, której dane dotyczą, związanym z wypełnianiem jej praw wynikających z RODO.
6. Podmiot przetwarzający powiadamia Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż do 24 godzin od stwierdzenia naruszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane na formularzu, którego wzór stanowi Załącznik nr 1 do niniejszej umowy wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
7. Podmiot przetwarzający przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. Jeżeli Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
8. Planując dokonanie zmian w sposobie przetwarzania danych, Podmiot przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Podmiot przetwarzający zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Podmiot przetwarzający.
9. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych (wymóg art. 30 ust. 2 RODO). Podmiot przetwarzający udostępniania na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych
Podmiotu przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Podmiotu przetwarzającego.
10. Jeżeli Podmiot przetwarzający wykorzystuje w celu realizacji Umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Podmiot przetwarzający informuje o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.
§ 5.
ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO
1. Jako podmiot, któremu Administrator powierza i poleca przetwarzanie danych osobowych, Podmiot przetwarzający ponosi odpowiedzialność w zakresie przestrzegania aktualnych przepisów o ochronie danych osobowych, w zakresie obowiązków, jakie RODO nakłada wprost na podmiot przetwarzający oraz przez cały okres trwania Umowy powierzenia - w zakresie przestrzegania postanowień Umowy głównej i Umowy powierzenia.
2. Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Podmiot przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
3. Podmiot przetwarzający, odpowiednio do okresu trwania Umowy powierzenia - zgodnie z art. 28 ust. 10 i art. 82 ust. 2 RODO ponosi odpowiedzialność za szkody, jakie z jego winy powstaną po stronie Administratora w wyniku przetwarzania danych osobowych, niezgodnego z Umową główną – w zakresie ochrony danych osobowych, Umową powierzenia lub aktualnymi przepisami prawa o ochronie danych osobowych.
4. Podmiot przetwarzający jest zobowiązany do niezwłocznego informowania Administratora o wszelkich zapytaniach kierowanych do Podmiotu przetwarzającego ze strony uprawnionych organów kontrolnych w sprawie realizacji Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia oraz o zapowiedzianych lub rozpoczynających się u niego kontrolach w tym zakresie, jak również o stwierdzonych nieprawidłowościach.
5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, o których mowa w niniejszej umowie, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podwykonawcę spoczywa na Podmiocie przetwarzającym.
6. Administrator danych upoważnia i zobowiązuje Podmiot przetwarzający do zapoznania osób upoważnionych do przetwarzania danych osobowych z aktualnymi przepisami o ochronie danych osobowych.
7. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu
dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.
§ 6
OBOWIĄZKI I PRAWA ADMINISTRATORA
1. Administratorowi przysługuje prawo do:
1) kontroli, zgodnie z art. 28 ust. 3 lit. h RODO, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy, w tym żądania przedłożenia dokumentów, których posiadanie i prowadzenie przez podmiot przetwarzający wynika wprost z RODO;
2) żądania wstrzymania przetwarzania danych osobowych w przypadku przetwarzania ich niezgodnie z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia;
3) żądania natychmiastowego zwrotu Administratorowi powierzonych danych, w przypadku, o którym mowa w pkt 2.
2. Kontrola będzie przeprowadzona po uprzednim zawiadomieniu Podmiotu przetwarzającego o terminie kontroli. Kontrola przeprowadzona będzie w godzinach pracy Podmiotu przetwarzającego.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji. Podmiot przetwarzający zobowiązuje się przyczyniać się do tych czynności.
5. Podmiot przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie w ramach działań, o którym mowa w ust. 3 stanowić będzie naruszenie aktualnych przepisów o ochronie danych osobowych
§ 7
TRANSFER I DALSZE POWIERZENIE PRZETWARZANIA DANYCH
1. Podmiot przetwarzający nie ma zgody Administratora na transfer danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (państwa trzeciego) lub organizacji międzynarodowej w rozumieniu aktualnych przepisów o ochronie danych osobowych.
2. Podmiot przetwarzający nie ma zgody Administratora na powierzanie danych osobowych objętych niniejszą umową do dalszego przetwarzania kolejnemu podmiotowi
– Podwykonawcy.
§ 8
CZAS TRWANIA UMOWY
1. Umowę zawarto na czas obowiązywania umowy głównej.
2. Każda ze stron jest uprawniona do rozwiązania niniejszej umowy z zachowaniem jednomiesięcznego okresu wypowiedzenia, ze skutkiem na koniec miesiąca.
3. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z umową;
3) powierzył przetwarzanie danych osobowych Podwykonawcy bez zgody Administratora.
§ 9
ZASADY ZACHOWANIA POUFNOŚCI
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej umowy, chyba, że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym szczególnych kategorii danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 10
KARY UMOWNE
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą umową. W takim przypadku Administrator jest uprawniony do nałożenia na Podmiot przetwarzający kary umownej w wysokości 2500zł. (słownie: dwa tysiące pięćset złotych, 00/100) za każdy stwierdzony przypadek przetwarzania danych niezgodnie z umową, bez konieczności wykazywania wysokości poniesionej szkody przez Administratora.
2. Podmiot przetwarzający w przypadku niedopełnienia obowiązków określonych w § 4 ust. 5 i 6 będzie zobowiązany do zapłaty na rzecz Administratora kary umownej w wysokości 100,00 zł (słownie: sto zł) za każdy stwierdzony przypadek.
3. Podmiot przetwarzający jest zobowiązany do zapłaty kar umownych, o których mowa powyżej w terminie 14 dni od dnia otrzymania od Administratora wezwania do zapłaty kary umownej.
4. Administrator jest uprawniony do dochodzenia odszkodowania przewyższającego wysokość kar umownych.
§ 11
POSTANOWIENIA KOŃCOWE
1. Do kontaktów wyznaczono:
1) po stronie Administratora:
imię i nazwisko ,
nr tel ,
e-mail ,
2) po stronie Podmiotu przetwarzającego: imię i nazwisko ,
nr tel ,
e-mail: …………………….…..
2. Wszelkie zmiany i uzupełnienia postanowień Umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.
3. Prawem właściwym dla niniejszej Umowy powierzenia jest prawo polskie.
4. Strony zobowiązują się dołożyć należytych starań w celu polubownego rozwiązywania wszelkich sporów wynikających z Umowy powierzenia.
5. Spory, których Stronom nie uda się rozwiązać polubownie w terminie 30 dni od daty ich powstania (tj. od daty powiadomienia drugiej Strony o możliwości poddania sporu pod rozstrzygnięcie sądu) będą rozstrzygane przez sąd właściwy dla Administratora.
6. Niniejsza Umowa powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
………………………………. ……………………………………….
Administrator Podmiot przetwarzający
Załącznik nr 1
…………………………,dn r.
FORMULARZ
ZGŁOSZENIA NARUSZENIA DLA PODMIOTU PRZETWARZAJĄCEGO
Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze- pływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz zgodnie z umową z dnia niniejszym zgłaszam
zajście incydentu naruszenia ochrony danych osobowych.
Dane Podmiotu przetwarzającego | |
Dane kontaktowe IOD Podmiotu przetwarzającego lub inny punkt kontaktowy Podmiotu przetwarzającego | |
Miejsce i dzień naruszenia | |
Kategoria i przybliżona liczba osób, których dane dotyczą | |
Kategorie i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie | |
Opis charakteru naruszenia ochrony danych | |
Możliwe konsekwencje naruszenia ochrony danych | |
Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych |
[podpis osoby uprawnionej
do reprezentowania Podmiotu przetwarzającego]