UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w [***], w dniu [***] r., pomiędzy:
Miastem Poznań, w imieniu którego działa Zarząd Transportu Miejskiego, xx. Xxxxxxx 00; 00-000 Xxxxxx, NIP: 000-00-00-000, REGON 631257822,
reprezentowanym przez […] - Dyrektora Zarządu Transportu Miejskiego w Poznaniu, działającego na podstawie pełnomocnictwa z dnia […] nr […] udzielonego przez Prezydenta Miasta Poznania, zwanego dalej „Zamawiającym”
a
z siedzibą w , ul. , - , wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy , Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS
, NIP , REGON , o kapitale zakładowym , reprezentowana przez:
1. -
2. -
prowadzącą/cym działalność gospodarczą pod firmą:
pod adresem , ul. , - , NIP
, REGON , zwanym dalej „Wykonawcą”, Niniejsza umowa jest w dalszej jej części zwana „Umową”.
Zamawiający i Wykonawca są również w dalszej części Umowy zwani łącznie „Stronami”, a każdy z osobna „Stroną”.
Dnia [***] Strony zawarły umowę nr [***], zwaną dalej „umową główną”, której przedmiotem jest [***]. Do realizacji umowy głównej niezbędne jest przetwarzanie przez Wykonawcę danych osobowych.
Strony postanawiają na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako
„Rozporządzenie”, zawrzeć Umowę następującej treści:
§ 1.
OŚWIADCZENIA STRON
1. Zamawiający oświadcza, że jest Administratorem danych osobowych, które powierza Wykonawcy do przetwarzania. Zamawiający oświadcza, że powierzone Wykonawcy do przetwarzania dane osobowe zgromadził zgodnie z obowiązującymi przepisami prawa oraz jest uprawniony do powierzenia przetwarzania danych osobowych.
2. Wykonanie Umowy głównej wiąże się z powierzeniem przetwarzania Wykonawcy danych osobowych administrowanych przez Zamawiającego.
3. Wykonawca oświadcza, że:
1) wdrożył odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, tak aby by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą;
2) opracował i wdrożył środki, zapewniające ochronę powierzonych do przetwarzania danych osobowych przed dostępem osób nieuprawnionych, prowadzi ewidencję osób zatrudnionych przy ich przetwarzaniu oraz dokumentację opisującą sposób przetwarzania danych, w tym rejestr kategorii czynności przetwarzania;
3) Powierzone dane osobowe będą przetwarzane wyłącznie w celu określonym w Umowie.
§ 2.
PRZEDMIOT UMOWY
1. Zamawiający na mocy Umowy powierza do przetwarzania, a Wykonawca przyjmuje do przetwarzania, dane osobowe w zakresie wskazanym poniżej:
1) Przedmiot przetwarzania: wykonanie Umowy głównej,
2) Charakter przetwarzania: zgodny z przedmiotem Umowy głównej,
3) Cel przetwarzania: przeprowadzenie audytu bezpieczeństwa informacji ( w tym danych osobowych) oraz bezpieczeństwa IT,
4) Rodzaj danych osobowych: dane osobowe, które są przetwarzane w audytowanych zasobach ZTM, w tym w systemach teleinformatycznych np.
5) Kategorie osób, których dane dotyczą: Klienci ZTM, Kontrahenci ZTM, Pracownicy ZTM.
2. Zmiana zakresu danych osobowych podlegających przetwarzaniu, zmiana celu, środków i sposobu przetwarzania danych osobowych może zostać dokonana jedynie w drodze zmiany Umowy.
§ 3.
ZASADY WYKONANIA UMOWY
1. Wykonawca jest uprawniony do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Zamawiającego.
2. Za polecenie zgodne z powyższym uznaje się Umowę oraz każde kolejne polecenie przekazane przez Xxxxxxxxxxxxx w formie pisemnej lub elektronicznej.
3. Wykonawca jest uprawniony do przetwarzania danych osobowych bez udokumentowanego polecenia Zamawiającego tylko w sytuacji gdy obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Wykonawca.
4. W sytuacji wskazanej w ust. poprzedzającym, przed rozpoczęciem przetwarzania Wykonawca informuje Xxxxxxxxxxxxx o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 4.
DALSZE POWIERZENIE PRZETWARZANIA
1. Wykonawca może zlecić wykonywanie określonych działań z zakresu będącego przedmiotem Umowy innym podmiotom (dalsze powierzenie przetwarzania) wyłącznie po uzyskaniu uprzedniej pisemnej zgody Zamawiającego.
2. W wypadku uzyskania zgody, Wykonawca zobowiązany jest dokonać dalszego powierzenia przetwarzania danych osobowych na warunkach co najmniej tak restrykcyjnych jak te, określone w niniejszej Umowie.
3. Wykonawca ponosi odpowiedzialność za działania i zaniechania wszystkich osób i podmiotów, którymi posługiwał się przy wykonaniu Umowy jak za swoje własne działania lub zaniechania.
§ 5.
ZOBOWIĄZANIA WYKONAWCY
1. Wykonawca jest zobowiązany, by wszystkie osoby upoważnione do przetwarzania powierzonych przez Zamawiającego danych osobowych pisemnie zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
2. Wykonawca oświadcza, że pracownicy, którymi będzie się posługiwał przy wykonywaniu czynności stanowiących przedmiot Umowy głównej zostaną przeszkoleni w zakresie:
1) przepisów prawa i procedur dotyczących postępowania przy przetwarzaniu danych osobowych,
2) przepisów prawa i procedur dotyczących postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych.
3. Wykonawca zobowiązuje się do poinformowania Zamawiającego o każdym przypadku naruszenia danych osobowych w terminie do 12 godzin od chwili jego stwierdzenia.
4. W zakresie wynikającym z przedmiotu Xxxxx, Wykonawca zobowiązuje się niezwłocznie zawiadomić Zamawiającego o:
1) każdym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa,
2) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na to żądanie.
5. Wykonawca zobowiązuje się do wdrożenia, na podstawie przeprowadzonej analizy ryzyka, odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie adekwatnego poziomu bezpieczeństwa przetwarzania powierzonych przez Zamawiającego danych osobowych zgodnie z art. 32 Rozporządzenia.
6. Wykonawca, uwzględniając charakter przetwarzania oraz dostępne informacje, pomaga Zamawiającemu wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia tj. zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takich naruszeniach, a także udziału w prowadzonej przez Zamawiającego ocenie skutków dla przetwarzania danych osobowych i ewentualnych konsultacjach z organem nadzorczym
7. Wykonawca w miarę możliwości, biorąc pod uwagę charakter przetwarzania, pomaga Zamawiającemu, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
UZYSKIWANIE DOSTĘPU DO SYSTEMÓW TELEINFORMATYCZNYCH ZAMAWIAJĄCEGO
1. W przypadku, gdy przedmiot Umowy głównej wymaga zapewnienia zdalnego dostępu do systemów teleinformatycznych Zamawiającego, Wykonawca jest zobowiązany stosować się do regulacji wewnętrznych Zamawiającego oraz otrzymanych od Zamawiającego instrukcji.
2. Za nadzorowanie procesu nadawania uprawnień odpowiadają osoby odpowiedzialne za realizację umowy i doręczenia wskazane w §9 niniejszej Umowy.
3. Przed uzyskaniem dostępu, Koordynator Zamawiającego jest zobowiązany do dostarczenia Koordynatorowi Wykonawcy wzoru wniosku o nadanie uprawnień do systemów teleinformatycznych.
4. Koordynator Wykonawcy jest zobowiązany do dostarczenia Koordynatorowi Zamawiającego wypełnionych indywidualnie wniosków dla wszystkich osób, które mają uzyskać dostęp do systemów teleinformatycznych w ramach realizacji Umowy głównej. Wniosek ten może zostać dostarczony w formie papierowej lub elektronicznej jako skan dokumentu.
5. Koordynator Zamawiającego lub inna upoważniona osoba, dostarcza przedstawicielom Wykonawcy wymienionym we wnioskach, dane uwierzytelniające niezbędne do uzyskania dostępu do systemów teleinformatycznych Zamawiającego. Dane uwierzytelniające przekazywane są indywidualnie każdemu użytkownikowi z zachowaniem ich poufności, z wykorzystaniem dwóch niezależnych kanałów komunikacji lub osobiście.
6. Koordynator Wykonawcy jest zobligowany do każdorazowego i niezwłocznego poinformowania Koordynatora Zamawiającego o konieczności odebrania nadanych wcześniej uprawnień.
7. W przypadku konieczności nadania uprawnień dla kolejnych osób lub modyfikacji dotychczasowych uprawnień, postępuje się w sposób opisany powyżej.
§ 7.
AUDYTY I INSPEKCJE
1. Wykonawca jest zobowiązany przy wykonywaniu czynności zleconych w Umowie stosować się do wskazówek i wytycznych Zamawiającego, natomiast Zamawiający jest zobowiązany dostarczyć wszelkie materiały i informacje niezbędne do wykonania zleconych czynności.
2. Wykonawca udostępnia Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia ciążących na nim obowiązków oraz umożliwia Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzenie audytów lub inspekcji o których mowa poniżej.
3. Zamawiający ma prawo do kontroli, czy przetwarzanie powierzonych danych osobowych jest zgodne z postanowieniami Umowy i mającymi zastosowanie regulacjami prawnymi w obszarze ochrony osobowych poprzez przeprowadzenie doraźnych audytów lub inspekcji dotyczących przetwarzania danych osobowych oraz żądania od Wykonawcy składania pisemnych wyjaśnień.
4. Na zakończenie audytu lub inspekcji audytor upoważniony przez Zamawiającego sporządza protokół, który podpisują przedstawiciele obu Stron. Wykonawca może wnieść zastrzeżenia do protokołu w terminie 7 dni od dnia jego podpisania przez Xxxxxx.
5. Wykonawca zobowiązuje się niezwłocznie dostosować do zaleceń Zamawiającego mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
6. Wykonawca zobowiązuje się odpowiedzieć niezwłocznie na każde pytanie Zamawiającego dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych, nie później jednak niż w terminie 3 dni roboczych od dnia przekazania takiego pytania.
§ 8.
POSTĘPOWANIA SĄDOWE LUB ADMINISTRACYJNE
1. Wykonawca zobowiązuje się do niezwłocznego poinformowania Zamawiającego o jakimkolwiek prowadzonym w stosunku do niego postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym incydentów bezpieczeństwa informacji lub przetwarzania przez Wykonawcę danych, w tym danych osobowych.
2. Wykonawca jest zobowiązany powiadomić Zamawiającego o każdej kontroli organu nadzorczego w obszarze ochrony danych osobowych, która ma chociażby pośredni związek z Umową.
3. W sytuacji wskazanej w ust. poprzedzającym, Zamawiający, zarówno w czasie obowiązywania Umowy, a także po jej wygaśnięciu lub rozwiązaniu, ma prawo do:
1) uczestniczenia w kontroli organu nadzorczego w zakresie dopuszczalnym przez przepisy prawa powszechnie obowiązującego;
2) wnoszenia uwag do treści sprawozdania pokontrolnego przed jego zaakceptowaniem przez Wykonawcę;
3) wnoszenia uwag do treści odpowiedzi na pismo organu nadzorczego dotyczącego chociażby pośrednio przetwarzania powierzonych danych osobowych.
§ 9.
ODPOWIEDZIALNOŚĆ WYKONAWCY
1. Wykonawca jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Wykonawca odpowiada za szkody poniesione przez osobę, której dotyczą przetwarzane dane osobowe, Administratora oraz osoby trzecie, spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada Umowa, gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom jak i za te szkody, które powstały na skutek działań niezgodnych z przepisami Rozporządzenia.
3. Wykonawca ponosi odpowiedzialność za działania i zaniechania swoich pracowników oraz podmiotów, którymi posługuje się przy wykonywaniu niniejszej umowy, jak za własne działania i zaniechania.
4. W przypadku naruszenia przepisów Ustawy lub Rozporządzenia w ramach realizacji Umowy z przyczyn leżących po stronie Wykonawcy, w następstwie którego Administrator zostanie zobowiązany do wypłaty odszkodowania lub ukarany grzywną, prawomocnym wyrokiem lub decyzją właściwego organu, Wykonawca zobowiązuje się do zwrócenia równowartości odszkodowania lub grzywny poniesionych przez Administratora.
§ 10.
OSOBY ODPOWIEDZIALNE ZA REALIZACJĘ UMOWY I DORĘCZENIA
1. Każda ze Stron powołuje swojego przedstawiciela do bieżących kontaktów, który będzie nadzorować sprawną realizację Umowy, zwanego dalej Koordynatorem:
1) Koordynatorem ze strony Zamawiającego jest [***], tel. [***], e-mail [***],
2) Koordynatorem ze strony Wykonawcy jest [***], tel. [***], e-mail [***].
2. Zmiana osoby Koordynatora jest skuteczna dla drugiej Strony z chwilą jej powiadomienia.
§ 11.
CZAS TRWANIA UMOWY
1. Umowa zostaje zawarta na czas trwania Umowy głównej.
2. Umowa zostanie wypowiedziana przez którąkolwiek ze Stron z zachowaniem miesięcznego okresu wypowiedzenia, jeżeli do dalszego wykonania Umowy głównej nie będzie niezbędne przetwarzanie danych osobowych przez Wykonawcę.
§ 12.
ROZWIĄZANIE UMOWY
3. Zamawiający jest uprawniony do wypowiedzenia Umowy bez zachowania okresu wypowiedzenia jeżeli Wykonawca naruszy postanowienia Umowy, Rozporządzenia lub innych obowiązujących przepisów prawa.
4. Wykonawca, po zakończeniu wykonywania czynności stanowiących przedmiot Umowy, zgodnie z wytycznymi Zamawiającego, zwróci Zamawiającemu powierzone dane osobowe oraz usunie wszelkie ich istniejące kopie albo usunie powierzone dane osobowe ze wszystkich nośników, na których zostały utrwalone, chyba, że mające zastosowanie wymagania prawne stanowią inaczej.
5. Wykonawca zobowiązuje się niezwłocznie przesłać Zamawiającemu protokół z dokonania powyższych czynności, nie później jednak niż w terminie 7 dni od dnia zakończenia Umowy.
§13.
KARY UMOWNE
1. W przypadku odstąpienia od Umowy przez którąkolwiek ze Stron z przyczyn leżących po stornie Podmiotu przetwarzającego, Administratorowi przysługuje kara umowna w wysokości 10 % wynagrodzenia brutto Podmiotu przetwarzającego określonego w § 4 ust.1 Umowy Głównej.
2. W przypadku niezrealizowania lub nienależytego wykonania przez Podmiot przetwarzający obowiązków objętych Umową, Podmiot przetwarzający zapłaci karę umowną w wysokości 10 % wynagrodzenia brutto określonego w § 4 ust 1 Umowy Głównej.
3. Administrator zastrzega sobie możliwość dochodzenia odszkodowania przewyższającego wysokość określonych w Umowie kar umownych, na zasadach ogólnych.
4. Administrator ma możliwość potrącenia naliczonych kar umownych z należności przysługujących Podmiotowi przetwarzającemu z tytułu realizacji Umowy Głównej.
§14.
POSTANOWIENIA KOŃCOWE
1. Wykonawca zobowiązuje się pokryć w całości poniesioną przez Zamawiającego szkodę w przypadku gdy jej powstanie będzie związane z naruszeniem przepisów Rozporządzenia lub Umowy z przyczyn leżących po stronie Wykonawcy.
2. Wszelkie zmiany Umowy, jak również jej rozwiązanie, wypowiedzenie i odstąpienie, wymagają formy pisemnej pod rygorem nieważności.
3. W kwestiach nieuregulowanych postanowieniami Umowy zastosowanie mają przepisy prawa powszechnie obowiązującego, w tym przepisy Kodeksu cywilnego.
4. Wszelkie spory mogące wyniknąć na tle wykonywania postanowień Umowy będą rozstrzygane przez sąd powszechny właściwy dla miejsca siedziby Zamawiającego.
5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.