UMOWA powierzenia przetwarzania danych osobowych/Wzór
Załącznik nr 6 – Wzór umowy powierzeniaprzetwarzaniadanychosobowych
UMOWA powierzenia przetwarzania danych osobowych/Wzór
zawarta w Wierzchlesie w dniu …. 2022 r. pomiędzy:
Gminą Wierzchlas mającą siedzibę przy xx. Xxxxxxxx 0, 00-000 Xxxxxxxxxx, posiadającą numer NIP 000-00-00-000 oraz numer REGON 730934766, reprezentowaną przez Wójta Gminy Wierzchlas – Xxxxxxxx Xxxxxxxxxxx, zwanym dalej Administratorem danych osobowych (Administratorem),
a
……………………………………….., reprezentowanym przez , zwanym
dalej „Podmiotem Przetwarzającym”,
§ 1
Definicje
1. Podmiot przetwarzający - Wykonawca – podmiot, któremu powierzono przetwarzanie danych osobowych na mocy umowy powierzenia.
2. Administratordanychosobowych – organ, jednostkaorganizacyjna, podmiotlubosoba, decydująceocelach i środkach przetwarzania danych osobowych (Wójt Gminy Wierzchlas).
3. Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonychkryteriów, niezależnie od tego,czyzestawtenjestrozproszonylubpodzielonyfunkcjonalnie,
4. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
5. Rozporządzenie - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływutakichdanychorazuchylenia dyrektywy95/46/WE(ogólnerozporządzenie oochroniedanych),
6. Inny podmiot przetwarzający - podmiot, któremu podmiot przetwarzający w imieniu Administratora pod- powierzył w całości lub częściowo przetwarzanie danych osobowych
§ 2
Przedmiot Umowy, cel, charakter i zakres
1. Przedmiotem umowy jest powierzenie przez Administratora danych osobowych, dla których administratorem jest Wójt Gminy Wierzchlas do przetwarzania przez Wykonawcę (Podmiot przetwarzający).
2. Celem powierzenia jest: wykonanie usługi polegającej naświadczeniu wsparcia w postępowaniu przetargowym wzakresie technicznymoraz pełnieniefunkcjiinspektora nadzoru inwestorskiego podczasrealizacjiprojektu pn.:
„Odnawialne źródła energii w Gminie Wierzchlas – etap 2”.
3. Charakter przetwarzania danych dotyczy przetwarzania danych osobowych mieszkańców Gminy w formie papierowej, przy wykorzystaniu systemów informatycznych.
§ 3
Czas trwania
1. Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania Umowy.
2. W terminie 30 dni od ustania Umowy, Podmiot przetwarzający zobowiązany jest do usunięcia powierzonych danych, ze wszystkich nośników, programów i aplikacji w tym również kopii, chyba, że obowiązek ich dalszego przetwarzania wynika z odrębnych przepisów prawa.
3. Podmiot przetwarzający w terminie 30 dni od ustania Umowy zobowiązany jest do zwrotu powierzonych danych na nośnikach papierowych lub elektronicznych.
§4
Obowiązki i prawa
1. Podmiot przetwarzający zobowiązuje się współpracować z Administratorem w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, opisane w rozdziale III Rozporządzenia (w szczególności w zakresie informowania i przejrzystej komunikacji, dostępu do danych, obowiązku informacyjnego, prawa dostępu, prawa do sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawa sprzeciwu oraz informowania o zautomatyzowanym podejmowaniu decyzji).
2. Podmiot przetwarzający zobowiązuje się do pomocy Administratorowi w wywiązaniu się z obowiązków określonych w art. 32-36 Rozporządzenia (w szczególności dla bezpieczeństwa przetwarzania, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, onaruszeniu ochrony danych osobowych, przeprowadzania oceny skutków dla ochrony danych osobowych, konsultacji z organem nadzorczym).
3. Podmiot przetwarzający zobowiązuje się do udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków spoczywających na Podmiocie przetwarzającym oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych
§5
Zgłaszanie incydentów
1. Podmiotprzetwarzający zobowiązujesiępostwierdzeniu naruszenia ochrony danychosobowychdozgłoszenia tego Administratorowi bez zbędnej zwłoki max do 24h od powzięcia informacji.
2. Informacja przekazana Administratorowi powinna zawierać co najmniej:
a. opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy,
b. opis możliwych konsekwencjinaruszenia,
c. opis zastosowanych lub proponowanych do zastosowania przez Podmiot Przetwarzający środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.
§ 6
Korzystanie przez Wykonawcę z usług innego podmiotu przetwarzającego
1. Podmiot przetwarzający w ramach realizacji Umowy możekorzystać z usług innego podmiotu przetwarzającego pod warunkiem wyrażenia zgody przez Administratora.
2. Wprzypadkuzmian dotyczącychdodanialubzastąpieniainnychpodmiotówprzetwarzających, jestzobowiązany do poinformowania o tym Administratora.
§7
Deklarowane środki techniczne i organizacyjne
1. Wykonawca gwarantuje, że każda osoba realizująca Umowę zobowiązana jestdobezterminowego zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym. Jednocześnie każda osoba realizująca Umowę zobowiązana jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych
2. Wykonawca deklaruje stosowanie środków technicznych i organizacyjnych określonych w art. 32 Rozporządzenia, jako adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych danych osobowych a w szczególności:
a. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
b. zdolność doszybkiego przywrócenia dostępności danych osobowych i dostępu donich w razie incydentu fizycznego lub technicznego;
c. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
3. Wykonawca zobowiązuje się za pomocą odpowiednich środków technicznych lub organizacyjnych stosować ochronę powierzonych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
§7a
Szczegółowe deklarowane środki techniczne i organizacyjne
1. Podmiot przetwarzający zobowiązuje się dopuszczać do przetwarzania danych osobowych osoby realizujące Umowę, poinformowane i przeszkolone z zasad bezpieczeństwa pracy z danych osobowymi.
2. Każda osoba realizująca Umowę zobowiązana jest do przetwarzania danych osobowych do których uzyskała dostęp wyłącznie w zakresie i celu przewidzianym w Umowie.
3. Każda osoba realizująca Umowę zobowiązana jest do zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym.
4. Każda osoba realizująca Umowę zobowiązuje się do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych o ile nie są one jawne.
5. Każda osoba realizująca Umowę zobowiązana jest do nie powodowania niezgodnych z Umową zmian danych lub utraty, uszkodzenia lub zniszczenia tych danych.
6. Każda osoba realizująca Umowę zobowiązuje się do niedokonywania jakiegokolwiek kopiowania i utrwalania danych osobowych
7. W przypadku wykorzystania sieci publicznej, każda osoba realizująca Umowę zobowiązuje się do stosowania zabezpieczonego przed podsłuchem połączenia zdalnego (VPN, SSL, podać inne).
§8
Postanowienia końcowe
1. W zakresie nieuregulowanym Umową mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym Rozporządzenia.
2. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
................................ …..………...................................
ADMINISTRATOR PODMIOT PRZETWARZAJĄCY