0110-KLL2.261.11.2024.1 Załącznik nr 4 do Zaproszenia
0110-KLL2.261.11.2024.1 Załącznik nr 4 do Zaproszenia
Umowa powierzenia przetwarzania danych osobowych
zawarta w pomiędzy:
……………………………………………………………………………………...………….
……………………………………………………………………………………...………….
NIP …………………, REGON ……………………
zwanym: „Powierzającym” lub „Administratorem” reprezentowanym przez:
……………………………………………………………………………………...…………. a
……………………………………………………………………………………...…………. NIP/KRS ................................., REGON ..............................
reprezentowanym przez:
1. ........................................... -………………………………………..
imię i nazwisko stanowisko/funkcja
2. ........................................... -………………………………………..
imię i nazwisko stanowisko/funkcja zwanym: „Podmiotem przetwarzającym”,
(łącznie jako: „Strony”) Mając na uwadze, że:
I. Powierzający jest administratorem w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwanego „RODO”.
II. Umowa powierzenia przetwarzania danych osobowych, zwana „umową powierzenia”, ma charakter akcesoryjny względem umowy nr …...... /… rok,
której przedmiotem jest ,
zwanej „umową główną”. Celem umowy powierzenia jest regulacja wzajemnych relacji Stron w zakresie przetwarzania danych osobowych wynikających z zawartej umowy głównej oraz ustalenie warunków, na jakich Podmiot przetwarzający może wykonywać operacje przetwarzania danych osobowych w imieniu Administratora.
III. Dążeniem Stron zawierających umowę powierzenia, jest takie uregulowanie zasad przetwarzania danych osobowych, aby odpowiadały one w pełni przepisom z zakresu ochrony danych osobowych, w szczególności postanowieniom RODO.
IV. Umowa powierzenia uwzględnia klauzule określone decyzją Wykonawczą Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi, na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725, których celem jest zapewnienie przestrzegania art. 28 ust. 3 i 4 RODO.
Xxxxxx postanowiły zawrzeć umowę powierzenia następującej treści:
§ 1
Przedmiot umowy
1. Administrator, działając na podstawie przepisu art. 28 ust. 3 RODO, powierza Podmiotowi przetwarzającemu na warunkach określonych umową powierzenia, przetwarzanie danych osobowych w swoim imieniu.
2. Charakter, zakres i cel przetwarzania danych osobowych wynika bezpośrednio z zawartej umowy głównej, której przedmiotem jest i
ogranicza się wyłącznie do realizacji zadań z niej wynikających.
3. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w załączniku nr 1 do tej umowy, chyba że otrzyma dalsze polecenia od Administratora.
4. Jeżeli przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne do celów jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, bądź dane dotyczące wyroków skazujących i czynów zabronionych (dane wrażliwe), Podmiot przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia, o których mowa w załączniku nr 1 do tej umowy.
§ 2
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo krajowe. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia w formie pisemnej lub elektronicznej przez cały okres przetwarzania danych osobowych. Polecenia te zawsze są dokumentowane.
2. Za udokumentowane polecenie uznaje się zadanie zlecone do wykonania postanowieniami umowy głównej.
3. Podmiot przetwarzający bezzwłocznie (nie później niż następnego dnia roboczego po otrzymaniu polecenia) powiadamia Administratora (pisemnie lub elektronicznie wraz z uzasadnieniem), jeżeli w jego opinii polecenie wydane mu przez Administratora narusza przepisy RODO lub obowiązujące przepisy Unii lub prawa krajowego z zakresu ochrony danych.
4. W celu zapewnienia bezpieczeństwa danych osobowych Podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku nr 2 do tej umowy. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą.
5. Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania tej umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się (w drodze indywidualnych oświadczeń) do zachowania poufności przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia lub by podlegały odpowiedniemu ustawowemu
obowiązkowi zachowania poufności (także po ustaniu zatrudnienia lub ustaniu stosunku cywilnoprawnego albo odwołaniu upoważnienia), zgodnie z zasadami obowiązującymi w Podmiocie przetwarzającym.
6. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji (w formie pisemnej lub elektronicznej) opisującej sposób przetwarzania danych, w tym rejestru wszystkich kategorii czynności przetwarzania danych osobowych, dokonywanych w imieniu Administratora, jeżeli taki obowiązek spoczywa na Podmiocie przetwarzającym, zgodnie z przepisem art. 30 ust. 2 i 5 RODO.
7. Podmiot przetwarzający niezwłocznie (nie później niż następnego dnia roboczego od dnia wpływu) zawiadamia Administratora (drogą elektroniczną na adres: xxx@xx.xxx.xx) o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że Administrator wyraził na to zgodę.
8. Podmiot przetwarzający pomaga Administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Podmiot przetwarzający wypełniając swoje obowiązki, zgodnie z ust. 7 i 8, stosuje się do poleceń Administratora.
9. Podmiot przetwarzający pomaga Administratorowi w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje Podmiot przetwarzający:
1) przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych („ocena skutków dla ochrony danych”), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;
2) skonsultowania się z organem nadzorczym przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu jego ograniczenia;
3) zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie Administratora, jeżeli Podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne;
4) wdrożenia odpowiednich środków technicznych i organizacyjnych, zgodnie z art. 32 RODO.
10. Strony określają w załączniku nr 2 do tej umowy odpowiednie środki techniczne i organizacyjne, za pomocą których Podmiot przetwarzający jest zobowiązany pomagać Administratorowi, jak również zakres wymaganej pomocy.
11. W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający współpracuje z Administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 RODO, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje Podmiot przetwarzający.
12. W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Podmiot przetwarzający, Podmiot przetwarzający zgłasza naruszenie Administratorowi (drogą elektroniczną na adres: xxxx.xxx@xx.xxx.xx) niezwłocznie po tym, jak dowiedział się o naruszeniu, nie później niż w ciągu 24 godzin, od stwierdzenia incydentu. Zgłoszenie to powinno zawierać co najmniej:
1) opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);
2) dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych;
3) wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.
13. W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Administratora, Podmiot przetwarzający wspomaga Administratora:
1) przy zgłaszaniu naruszenia ochrony danych osobowych organowi nadzorczemu niezwłocznie po tym, jak Administrator dowiedział się o naruszeniu, w stosownych przypadkach (chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);
2) przy uzyskaniu informacji o charakterze danych osobowych, w tym w miarę możliwości kategorii i przybliżonej liczby osób, których dane dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;
3) przy uzyskiwaniu informacji o możliwych konsekwencjach naruszenia ochrony danych osobowych;
4) przy uzyskaniu informacji o środkach zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środkach w celu zminimalizowania jego ewentualnych negatywnych skutków;
5) przy wypełnianiu obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
14. Jeżeli przekazanie wszystkich informacji, o których mowa w ust. 12 i 13, równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki.
15. Podmiot przetwarzający zobowiązany jest do dokumentowania (w formie pisemnej lub elektronicznej) wszelkich incydentów oraz podejmowania wszelkich działań mających na celu ograniczenie oraz usunięcie skutków naruszeń ochrony danych osobowych.
16. Strony określają w załączniku nr 2 do tej umowy wszystkie inne elementy, które ma przedstawić Podmiot przetwarzający wspomagając Administratora w wypełnianiu jego obowiązków określonych w art. 33 i 34 RODO.
17. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową powierzenia, przepisami RODO, a w szczególności za bezpodstawne udostępnienie lub przekazywanie danych osobowych nieuprawnionym podmiotom lub osobom.
18. Jeżeli w związku z powierzeniem przetwarzania danych osobowych Powierzający zostanie prawomocnym orzeczeniem zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany grzywną, Podmiot przetwarzający zobowiązuje się zrekompensować Powierzającemu udokumentowane straty z tego tytułu do wysokości poniesionego odszkodowania, zadośćuczynienia lub grzywny.
19. Zobowiązanie Podmiotu przetwarzającego, o którym mowa w ust. 18, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia z roszczeniem wobec Powierzającego i jego podstawach prawnych i faktycznych,
w celu umożliwienia Podmiotowi przetwarzającemu zajęcie stanowiska, odniesienia się do podstaw takiej odpowiedzialności i ewentualnego udziału w sprawie na etapie sądowym.
20. Podmiot przetwarzający ponosi odpowiedzialność odszkodowawczą względem Powierzającego w zakresie strat rzeczywiście poniesionych przez Powierzającego.
21. Podmiot przetwarzający oświadcza, że:
1) przetwarzanie powierzonych mu danych osobowych będzie odbywało się wyłącznie na terenie Europejskiego Obszaru Gospodarczego oraz
2) nie korzysta z podwykonawców, którzy przekazują dane osobowe poza EOG.
22. W przypadku, gdy powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Podmiotu przetwarzającego, serwery i nośniki nie mogą znajdować się poza obszarem Europejskiego Obszaru Gospodarczego.
23. Podmiot przetwarzający przyjmuje do wiadomości, iż w zakresie przestrzegania przepisów RODO ponosi odpowiedzialność za swoje działania oraz działania osób, które wyznaczył do realizacji umowy, a także którym przekazał dalsze przetwarzanie danych osobowych.
§ 3
Obowiązki Administratora
Administrator zobowiązany jest współdziałać z Podmiotem przetwarzającym w wykonaniu umowy głównej i umowy powierzenia, udzielać Podmiotowi przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Powierzającego, jak też wywiązywać się terminowo ze swoich obowiązków.
§ 4
Okres przetwarzania danych osobowych
1. Z zastrzeżeniem postanowień ust. 2-4, czas trwania przetwarzania danych osobowych Strony ustalają na okres obowiązywania umowy głównej (określony w załączniku nr 1 do tej umowy).
2. W trakcie obowiązywania umowy powierzenia, Powierzający może zawiadomić w formie pisemnej lub elektronicznej Podmiot przetwarzający o obowiązku ograniczenia lub zaprzestania dalszego przetwarzania określonych kategorii lub rodzajów danych osobowych. Podmiot przetwarzający ponosi wyłączną
odpowiedzialność za dalsze przetwarzanie danych osobowych, co do których Powierzający wystosował zawiadomienie.
3. Po rozwiązaniu/wygaśnięciu umowy powierzenia Podmiot przetwarzający (zależnie od decyzji Administratora) niezwłocznie (nie później niż w terminie do 7 dni) trwale usuwa z własnych systemów informatycznych oraz z własnych nośników elektronicznych wszystkie powierzone mu dane osobowe, a także trwale niszczy wszelkie ich istniejące kopie pozostające w jego dyspozycji, w sposób uniemożliwiający ich odtworzenie i poświadcza Administratorowi, że tego dokonał, lub zwraca Administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Usunięcie dotyczy również wszelkich łączy oraz replikacji utworzonych przez Podmiot przetwarzający.
4. Podmiot przetwarzający zapewnia przestrzeganie umowy powierzenia, do czasu usunięcia lub zwrotu danych.
5. Podmiot przetwarzający przesyła (w formie pisemnej lub elektronicznej) protokół potwierdzający usunięcie danych osobowych, w terminie 3 dni od dnia wykonania obowiązku, o którym mowa w ust. 3.
§ 5
Prawo kontroli
1. Powierzający ma prawo do przeprowadzenia audytów, w tym kontroli Podmiotu przetwarzającego w zakresie zgodności tego przetwarzania z przepisami prawa oraz postanowieniami umowy powierzenia w formie audytu/kontroli realizowanej przez samego Powierzającego lub podmiot trzeci, upoważniony przez Powierzającego.
2. Podmiot przetwarzający niezwłocznie i odpowiednio rozpatruje zapytania Administratora dotyczące przetwarzania danych zgodnie z umową powierzenia.
3. Podmiot przetwarzający udostępnia Administratorowi na każde jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków, które są określone w umowie powierzenia i wynikają bezpośrednio z RODO. Na wniosek Administratora Podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych tą umową i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu,
Administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma Podmiot przetwarzający.
4. Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia inspektora ochrony danych lub niezależnego audytora. Audyty mogą również obejmować inspekcje w pomieszczeniach lub obiektach fizycznych Podmiotu przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem (co najmniej 7- dniowym).
5. W przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu przez Podmiot przetwarzający zobowiązań wynikających z umowy powierzenia, RODO oraz innych przepisów prawa powszechnie obowiązującego, Powierzający może przeprowadzić kontrolę, o której mowa w ust. 1, w każdym czasie - bez uprzedniego powiadomienia Podmiotu przetwarzającego.
6. Powierzający ma prawo do kontroli sposobu wykonywania umowy powierzenia przez Podmiot przetwarzający, poprzez przeprowadzenie niezapowiedzianych, doraźnych kontroli sposobu przetwarzania i ochrony danych osobowych przeprowadzanych przez Powierzającego w siedzibie Podmiotu przetwarzającego oraz we wszelkich innych miejscach stanowiących obszar przetwarzania powierzonych mu danych osobowych.
7. Administrator lub upoważnione przez niego osoby są uprawnione w trakcie audytu/kontroli do wglądu do dokumentacji związanej z przetwarzaniem danych, w zakresie objętym przedmiotem audytu, w tym kontroli. Powierzający ma prawo, w szczególności do:
1) wstępu do pomieszczeń, w których Podmiot przetwarzający przetwarza powierzone mu dane osobowe;
2) żądania złożenia przez Podmiot przetwarzający pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego w wyznaczonym przez Powierzającego terminie;
3) przeprowadzenia oględzin dokumentów a także urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych mu danych osobowych.
8. Na zakończenie audytu/kontroli osoba upoważniona przez Powierzającego sporządza protokół, który podpisują i otrzymują przedstawiciele obu stron.
Przedstawiciel Podmiotu przetwarzającego może wnieść jednostronnie umotywowane zastrzeżenia do protokołu.
9. Podmiot przetwarzający zobowiązuje się do niezwłocznego usunięcia uchybień stwierdzonych w trakcie audytu/kontroli, w terminie wskazanym przez Powierzającego, o ile są one zgodne z umową powierzenia i RODO.
10. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Powierzającego, w szczególności o:
1) jakimkolwiek postępowaniu administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie powierzenia;
2) jakiejkolwiek decyzji administracyjnej lub orzeczeniu sądowym dotyczącym przetwarzania danych osobowych, skierowanych do Podmiotu przetwarzającego;
3) wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach zewnętrznych, dotyczących przetwarzania u Podmiotu przetwarzającego danych osobowych, w szczególności prowadzonych przez kontrolerów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych.
11. Przepis ust. 10 dotyczy wyłącznie danych osobowych powierzonych przez Administratora.
12. Na wniosek organu nadzorczego, Strony udostępniają mu informacje, o których mowa w umowie powierzenia, w tym wyniki wszelkich audytów/kontroli.
§ 6
Podpowierzenie
1. Podmiot przetwarzający nie może podzlecać żadnych operacji przetwarzania dokonywanych w imieniu Administratora zgodnie z umową powierzenia podmiotowi podprzetwarzającemu, bez uprzedniej szczegółowej pisemnej zgody Administratora, z zastrzeżeniem ust. 2. Podmiot przetwarzający składa wniosek o udzielenie szczegółowej zgody co najmniej na 14 dni przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego wraz z informacjami niezbędnymi do tego, by Administrator mógł podjąć decyzję w sprawie zgody. Załącznik nr 3 do tej umowy zawiera wykaz podmiotów podprzetwarzających upoważnionych przez Administratora. Strony są obowiązane do jego aktualizacji.
2. Osoby fizyczne włącznie z osobami prowadzącymi jednoosobową działalność gospodarczą, współpracujące z Podmiotem przetwarzającym na podstawie umów cywilnoprawnych (w sposób zależny, korzystając z udostępnionych przez niego środków i narzędzi, np. biuro, sprzęt komputerowy, nośniki danych, systemy informatyczne) są traktowane jak jego personel i nie stanowią dalszych podprzetwarzających (podwykonawców) w rozumieniu RODO. Wówczas stosuje się przepisy § 2 ust. 5.
3. Jeżeli Podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu Administratora), dokonuje tego w drodze umowy, która nakłada na podmiot podprzetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na Podmiot przetwarzający, zgodnie z tą umową. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega Podmiot przetwarzający na mocy tej umowy oraz przepisów RODO.
4. Na wniosek Administratora, Podmiot przetwarzający przekazuje Administratorowi kopię umowy jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje Administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy przedsiębiorstwa lub innych informacji prawnie chronionych, w tym danych osobowych, Podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.
5. Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed Administratorem za wykonanie obowiązków podmiotu podprzetwarzającego, zgodnie z jego umową z Podmiotem przetwarzającym. Podmiot przetwarzający powiadamia Administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.
6. Podmiot przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą - jeżeli Podmiot przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny – Administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków przewidzianych postanowieniami tej umowy oraz przepisami powszechnie obowiązującego prawa, a w szczególności za:
1) udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy powierzenia lub powierzenie ich do przetwarzania osobom nieupoważnionym;
2) działanie poza poleceniami i instrukcjami Powierzającego lub wbrew tym instrukcjom i poleceniom;
3) niestosowanie środków bezpieczeństwa w zakresie ochrony danych osobowych przewidzianych w umowie powierzenia.
2. W przypadku naruszenia przez Xxxxxxx przetwarzający zobowiązań wynikających z tej umowy, Powierzający oprócz rozwiązania umowy powierzenia zgodnie z postanowieniami § 9, może żądać naprawienia szkody poniesionej na skutek takiego naruszenia na zasadach ogólnych.
§ 8
Współpraca Stron
1. Strony ustalają, że podczas realizacji umowy powierzenia będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie umowy powierzenia, w szczególności, Podmiot przetwarzający będzie informował Powierzającego o wszelkich przypadkach naruszenia zasad przetwarzania i ochrony danych osobowych lub o ich niewłaściwym użyciu oraz o wszelkich czynnościach w sprawach dotyczących ochrony danych osobowych podejmowanych w związku z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych oraz przed innymi organami i urzędami, w szczególności: policją, sądem, Najwyższą Izbą Kontroli, itp.
2. Podmiot przetwarzający jest obowiązany niezwłocznie informować Powierzającego o wszelkich zdarzeniach dotyczących bezpieczeństwa przetwarzania powierzonych danych osobowych, w szczególności w przypadkach: wystąpienia lub podejrzenia wystąpienia incydentu bezpieczeństwa informacji lub podjęcia próby dokonania czynności w celu wywołania incydentu bezpieczeństwa informacji. Przepis § 2 ust. 12 stosuje się odpowiednio.
3. Ponadto, Podmiot przetwarzający przekazuje Powierzającemu cyklicznie do 10 dnia każdego miesiąca zestawienie zdarzeń, o których mowa w ust. 2, wraz z
informacją o skutkach zdarzenia oraz sposobie przeciwdziałania naruszeniom albo też skutkom naruszeń/incydentów – o ile takie naruszenia/incydenty wystąpiły.
4. Strony wyznaczają następujące osoby do kontaktów w sprawach związanych z realizacją umowy głównej i umowy powierzenia:
1) ze strony Administratora:
……………………………………………………………………………………...…
/imię i nazwisko, stanowisko, adres e-mail służbowy lub numer telefonu służbowy/
2) ze strony Podmiotu przetwarzającego:
……………………………………………………………………………………...…
/imię i nazwisko, stanowisko, adres e-mail służbowy lub numer telefonu służbowy/
5. Zmiana osób lub danych, o których mowa w ust. 4, nie jest uważana za zmianę tej umowy powierzenia i nie wymaga zawarcia aneksu, jednakże dla swej skuteczności wymaga zachowania formy pisemnej, elektronicznej lub dokumentowej w rozumieniu przepisów ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny.
§ 9
Rozwiązanie i wygaśnięcie umowy powierzenia
1. W przypadku gdy Podmiot przetwarzający narusza swoje obowiązki wynikające z umowy powierzenia, Administrator może polecić mu, by zawiesił przetwarzanie danych osobowych do czasu, gdy Podmiot przetwarzający zapewni zgodność przetwarzania z tą umową, lub umowa powierzenia ulega rozwiązaniu. Podmiot przetwarzający niezwłocznie zawiadamia Administratora, jeżeli z jakiegokolwiek powodu nie jest w stanie zastosować się do postanowień umowy powierzenia.
2. Administrator jest uprawniony do rozwiązania tej umowy ze skutkiem natychmiastowym w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z umową powierzenia, jeżeli:
1) Administrator zawiesił przetwarzanie danych osobowych przez Podmiot przetwarzający zgodnie z ust. 1 i jeżeli zgodność przetwarzania z tą umową nie zostanie przywrócona w rozsądnym terminie, jednak nie później niż w terminie jednego miesiąca od zawieszenia;
2) Podmiot przetwarzający poważnie lub stale narusza umowę powierzenia lub swoje obowiązki wynikające z RODO;
3) Podmiot przetwarzający nie stosuje się do wiążącej decyzji właściwego sądu lub właściwego organu nadzorczego dotyczącej jego obowiązków wynikających z umowy powierzenia lub z RODO;
4) pomimo zobowiązania Podmiotu przetwarzającego do usunięcia uchybień stwierdzonych podczas audytu/kontroli, o której mowa w § 5, nie usunął ich w wyznaczonym terminie.
3. Rozwiązanie umowy powierzenia następuje w formie pisemnej lub elektronicznej, pod rygorem nieważności.
4. Podmiot przetwarzający ma prawo rozwiązać umowę powierzenia w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z tą umową, jeżeli po zawiadomieniu Administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne zgodnie z postanowieniem § 2 ust. 3, Administrator nalega na wypełnienie polecenia.
5. W przypadku rozwiązania tej umowy, Strony powinny dążyć do zawarcia nowej umowy powierzenia w terminie 14 dni od jej rozwiązania, w szczególności poprzez ustalenie nowych środków organizacyjnych i technicznych, które niezbędne są do ochrony powierzonych danych osobowych i które Podmiot przetwarzający zobowiąże się wdrożyć. Brak zawarcia nowej umowy powierzenia danych w powyższym terminie będzie skutkował odstąpieniem od umowy głównej przez Powierzającego z winy Podmiotu przetwarzającego, ze wszystkimi konsekwencjami przewidzianymi w tym zakresie w umowie głównej. Postanowienia § 4 ust. 3 i 4 stosuje się odpowiednio.
6. Umowa wygasa w przypadku rozwiązania lub ustania umowy głównej. Przepis § 4 ust. 3-5 stosuje się odpowiednio.
§ 10
Klauzula poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, materiałów, dokumentów i danych osobowych przekazanych przez Powierzającego lub przez współpracujące z nim osoby oraz danych uzyskanych w ramach realizowanej umowy głównej w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Powierzającego w innym celu niż wykonanie
umowy głównej, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub zawartej umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych gwarantowały zabezpieczenie danych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 11
Postanowienia końcowe
1. Wszelkie zmiany i uzupełnienia umowy powierzenia wymagają formy pisemnej lub elektronicznej, pod rygorem nieważności.
2. Spory mogące wyniknąć z umowy powierzenia rozstrzygane będą przez sąd powszechny właściwy dla siedziby Powierzającego.
3. W sprawach nieuregulowanych umową powierzenia zastosowanie mają przepisy ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny, RODO, a także innych powszechnie obowiązujących przepisów prawa, właściwych ze względu na przedmiot umowy głównej.
4. Umowę powierzenia sporządzono w trzech jednobrzmiących egzemplarzach, w tym jeden dla Podmiotu przetwarzającego, dwa dla Powierzającego.
5. Jako datę zawarcia umowy powierzenia przyjmuje się datę złożenia podpisu przez Stronę składającą podpis w drugiej kolejności.
6. Jeżeli którakolwiek ze Stron nie umieści daty złożenia podpisu, jako datę zawarcia umowy powierzenia przyjmuje się datę złożenia podpisu przez jedną ze Stron.
7. Załączniki nr 1 - 3 stanowią integralną część umowy powierzenia.
Data ……………………………… Data ……………………………
Podpis.......................................... Podpis.......................................
Administrator/Powierzający Podmiot przetwarzający
ZAŁĄCZNIK nr 1
Opis przetwarzania
1. Kategorie osób, których dane osobowe są przetwarzane:
……………………………………………………………………
2. Kategorie (rodzaj) przetwarzanych danych osobowych:
……………………………………………………………………
3. Przetwarzane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi zagrożenia, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który odbył specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa:
……………………………………………………………………………………………….
(proszę odpowiednio uzupełnić, gdy przetwarzanie dotyczy „danych wrażliwych”)
4. Charakter przetwarzania:
…………………………………………………………………………………………….
5. Cel(e), w którym(-ych) dane osobowe są przetwarzane w imieniu Administratora:
………………………………………………………………………………………………
6. Czas trwania przetwarzania
………………………………………………..
W przypadku przetwarzania przez podmioty podprzetwarzające należy również określić przedmiot, charakter i czas trwania przetwarzania.
ZAŁĄCZNIK nr 2
Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych
(Opisać je szczegółowo, a nie w sposób ogólny)
Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez Podmiot przetwarzający (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw lub wolności osób fizycznych. Przykłady możliwych środków:
1) środki umożliwiające pseudonimizację i szyfrowanie danych osobowych;
2) środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3) środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4) procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
5) środki umożliwiające identyfikację i autoryzację użytkowników;
6) środki zapewniające ochronę danych w czasie ich przekazywania;
7) środki zapewniające ochronę danych w czasie ich przechowywania;
8) środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe;
9) środki umożliwiające rejestrowanie zdarzeń;
10)środki służące do konfiguracji systemu, w tym konfiguracji domyślnej; 11)środki dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem
IT;
12)środki dotyczące certyfikacji / zapewnienia jakości procesów i produktów; 13)środki zapewniające minimalizację danych;
14)środki zapewniające odpowiednią jakość danych; 15)środki zapewniające ograniczone zatrzymywanie danych; 16)środki zapewniające rozliczalność;
17)środki umożliwiające przenoszenie danych i zapewnienie ich usuwania.
W przypadku przekazywania danych Podmiotom przetwarzającym lub podprzetwarzającym należy również opisać konkretne środki techniczne i organizacyjne, jakie powinien zastosować Podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy Administratorowi.
Opis konkretnych środków technicznych i organizacyjnych, jakie powinien zastosować Podmiot przetwarzający, aby móc udzielić pomocy Administratorowi:
…………………………………………………………………………………………………
ZAŁĄCZNIK nr 3
Wykaz podmiotów podprzetwarzających*
Administrator zezwolił na korzystanie z usług następujących podmiotów podprzetwarzających:
1. Imię i nazwisko lub nazwa:
……………………………………………………………………………………...……… Adres:
…….………………………………………………………………………………………….. Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów:
……………………………………………………………………………………...…………. Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających):
……………………………………………………………………………………...…………. 2. ...……………………………………………………………………………………………..