UMOWA
UMOWA
O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …………………… w (dalej – „Umowa o powierzenie”)
pomiędzy:
Generalnym Dyrektorem Dróg Krajowych i Autostrad, reprezentowanym przez:
………………………………………………………………………………………………………………………………………………… na podstawie pełnomocnictwa nr …………………………………………………………………………………………,
zwanym dalej „Administratorem Danych”
a
……………………………………………., wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd ………………………………………………….., nr KRS …………………….. REGON ,
NIP , reprezentowanym przez:
……….., zwaną dalej „Wykonawcą”, łącznie zwane „Stronami”
§ 1
Powierzenie przetwarzania danych osobowych
1. W celu wykonania umowy nr……….. z dnia …………………………………… (dalej – „Umowa”) zawartej pomiędzy Zamawiającym a Wykonawcą, Administrator Danych powierza Wykonawcy przetwarzanie danych osobowych w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”, dalej
„rozporządzenie”,
2. Przetwarzanie danych przez Wykonawcę obejmuje dane osobowe:
a) właściciele nieruchomości w zakresie: imię i nazwisko, adres zamieszkania lub adres do korespondencji, nr telefonu, adres e-mail, oznaczenie posiadanych nieruchomości, adres położenia nieruchomości;
b) wykonawcy, podwykonawcy, dalsi podwykonawcy, usługodawcy, dostawcy i ich przedstawiciele/pracownicy, projektanci w zakresie: imię i nazwisko, stanowisko służbowe/pełniona funkcja, nr dowodu osobistego, nr NIP, adres zamieszkania, korespondencyjny, nr telefonu, adres e-mail, nr uprawnień, nr xxxxxxxxxxx XXXX, XXX, przebieg pracy/doświadczenie zawodowe, nr rachunku bankowego;
c) przedstawiciele/pracownicy GDDKiA, inspektor nadzoru inwestorskiego w zakresie: imię i nazwisko, stanowisko służbowe/pełniona funkcja, nr telefonu, adres e-mail, nr uprawnień, nr członkowski XXXX, OII,
d) osoby kierujące korespondencję do GDDKiA i osoby, do których kierowana jest korespondencja przez GDDKiA, korespondencja wewnętrzna w zakresie: imię, nazwisko, adres zamieszkania lub korespondencji, nr telefonu, adres e-mail, inne dane zawarte w korespondencji.
3. Wykonawca jest uprawniony do wykonywania, w szczególności takich operacji na powyższych danych osobowych jak: zbieranie, utrwalanie, opracowywanie, przechowywanie, usuwanie.
4. Przetwarzanie przez Wykonawcę powierzonych danych osobowych będzie trwało w okresie realizacji Umowy.
5. Wykonawca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celu i zakresie oraz w sposób i przez czas określony w ust. 1 – 4 powyżej.
6. Wykonawca oświadcza, że nie będzie przetwarzał powierzonych danych osobowych w państwie trzecim, tj. w państwie nienależącym do Europejskiego Obszaru Gospodarczego.
§ 2
Zasady przetwarzania powierzonych danych osobowych
1. Wykonawca zobowiązuje się wykonać wszelkie czynności wynikające z Umowy o powierzenie i przepisów o ochronie danych osobowych z najwyższą starannością.
2. W przypadku wystąpienia zagrożeń mogących mieć wpływ na odpowiedzialność Administratora Danych za przetwarzanie powierzonych danych osobowych, Wykonawca zobowiązuje się niezwłocznie podjąć działania w celu ich usunięcia oraz natychmiast zawiadomić o nich Administratora Danych.
3. Administrator Danych wyraża zgodę na ewentualne dalsze powierzenie przez Wykonawcę innemu podmiotowi przetwarzającemu dane osobowe, których Administratorem jest Generalny Dyrektor Dróg Krajowych i Autostrad. Może to nastąpić na podstawie pisemnej umowy, na mocy której zostaną nałożone te same obowiązki jak w niniejszej Umowie o powierzenie. O zamiarze dalszego powierzenia Wykonawca każdorazowo poinformuje Administratora Danych. W przypadku niewyrażenia przez Administratora Danych sprzeciwu w terminie 14 dni od dnia otrzymania informacji przez Administratora Danych umowa może zostać zawarta. Po zawarciu umowy Wykonawca jest zobowiązany poinformować o tym fakcie Administratora Danych podając dane podmiotu, któremu powierzył przetwarzanie danych. W przypadku nie wywiązania się przez inny podmiot przetwarzający ze spoczywających na nim obowiązków ochrony danych osobowych, pełną odpowiedzialność wobec Administratora Danych za ich wypełnienie ponosi Wykonawca.
4. Strony zobowiązują się do przekazania osobom wyznaczonym do kontaktu informację na temat przetwarzania ich danych osobowych, zgodnie z przepisami RODO.
§ 3
Zabezpieczenie powierzonych danych osobowych
1. Wykonawca zapewnia, że wdroży odpowiednie środki techniczne i organizacyjne by przetwarzanie spełniało wymogi określone w obowiązujących przepisach prawa i chroniło prawa osób, których dane dotyczą.
2. Wykonawca zobowiązuje się w szczególności do:
1) przetwarzania danych wyłącznie na udokumentowane polecenie Administratora Danych; za udokumentowane polecenie uznaje się zadania nałożone na Wykonawcę w Umowie,
2) podjęcia wszelkich środków aby zapewnić bezpieczeństwo przetwarzania danych osobowych zgodnie z wymogami nałożonymi na mocy art. 32 rozporządzenia,
3) dopuszczenia do przetwarzania danych osobowych wyłącznie osób posiadających wydane przez niego upoważnienie i zapoznanych przez niego z przepisami o ochronie danych osobowych.
4) zapewnienia aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania danych osobowych w tajemnicy,
5) pomagania Administratorowi Danych poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III a także z obowiązków określonych w art. 32-36 rozporządzenia,
6) udostępniania Administratorowi Danych wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia,
7) prowadzenia rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 rozporządzenia, jeżeli jest wymagane na mocy rozporządzenia.
3. Wykonawca zobowiązuje się bez zbędnej zwłoki zgłosić Administratorowi Danych:
1) stwierdzenie naruszenia ochrony danych osobowych, zawierające co najmniej informacje, o których mowa w art. 33 ust. 3 rozporządzenia,
2) otrzymanie żądania od osoby, której dane przetwarza, w zakresie przetwarzania dotyczących jej danych osobowych,
3) wszczęcie u Wykonawcy, przez organ właściwy ds. ochrony danych osobowych, kontroli sposobu przetwarzania powierzonych danych osobowych.
§ 4
Nadzór nad wykonaniem Umowy o powierzenie
1. Administrator Danych jest uprawniony do audytu wykonywania przez Wykonawcę obowiązków określonych w niniejszej Umowie o powierzenie.
2. Wykonawca umożliwia Administratorowi Danych lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów, w tym inspekcji. W szczególności Wykonawca:
1) zapewni wstęp do pomieszczeń, w których Wykonawca przetwarza powierzone dane osobowe,
2) przekaże pisemne lub ustne wyjaśnienia w celu ustalenia stanu faktycznego,
3) umożliwi przeprowadzenie oględzin dokumentów a także urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych.
3. Z czynności sporządza się protokół, którego jeden egzemplarz doręcza się kontrolowanemu.
4. W przypadku stwierdzenia uchybień w zakresie wykonywania Umowy o powierzenie lub przepisów o ochronie danych osobowych, Administratorowi Danych przysługuje prawo do żądania natychmiastowego wstrzymania przetwarzania danych osobowych i wyznaczenia Wykonawcy terminu na usunięcie uchybień.
§ 5
Odpowiedzialność Wykonawcy
Wykonawca zobowiązuje się do naprawienia szkody wyrządzonej Administratorowi Danych w wyniku naruszenia danych osobowych z winy Wykonawcy. W szczególności zobowiązuje się do pokrycia kar zapłaconych przez Administratora Danych, poniesionych przez Administratora Danych, kosztów procesu i zastępstwa procesowego, a także odszkodowania na rzecz osoby, której naruszenie dotyczyło.
§ 6
Wygaśnięcie Umowy
1. Umowa o powierzenie zostaje zawarta na okres od dnia ………………. do dnia ……………. .
2. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych Wykonawca zobowiązuje się niezwłocznie, nie później niż w terminie 5 dni usunąć lub zwrócić Administratorowi Danych wszelkie dane osobowe oraz skutecznie usunąć wszelkie istniejące kopie, chyba że przepisy prawa nakazują przechowywanie danych. Z czynności usunięcia lub zwrotu należy sporządzić pisemny protokół. Powierzenie trwa do czasu wykonania tych czynności.
§ 7
Postanowienia końcowe
1. Wszelkie zmiany i uzupełnienia Umowy o powierzenie dokonywane będą w formie pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych zastosowanie znajdują przepisy o ochronie danych osobowych.
3. W przypadku sporów wynikających z realizacji Umowy o powierzenie Strony poddają jej rozstrzygnięciu przez sąd właściwy ze względu na siedzibę Administratora Danych.
4. Umowę o powierzenie sporządzono w ………. jednobrzmiących egzemplarzach - …………
dla Administratora Danych i dla Wykonawcy.
ADMINISTRATOR DANYCH WYKONAWCA
..…………................ …………………………….