Wzór Umowy
Załącznik nr 4
Wzór Umowy
dot. powierzenia przetwarzania danych osobowych (dalej: UPD)
zawarta dnia w Warszawie pomiędzy:
Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy z siedzibą w Warszawie, al. Xxxxxxxxxxxxxx 000x, wpisany do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000127372, posiadający nr NIP 525 – 000 – 91 – 40 oraz nr REGON 006746090,
reprezentowany przez: …………………………………………………
zwaną w dalszej części Umowy
„Administratorem”
oraz
…………………….
…………………………………………………………………………
………………………………………………………………………… reprezentowanym przez:
zwaną w dalszej części Umowy „Podmiotem przetwarzającym”
§ 1
Powierzenie przetwarzania danych osobowych
1. W związku z zawarciem i realizacją umowy nr ……./2021 z dnia ………………… 2021 r. dotyczącej wykonywania usługi niszczenia dokumentów przekazanych przez Administratora (dalej: Umowa), Administrator powierza Podmiotowi przetwarzającemu dane osobowe znajdujące się w tych dokumentach.
2. Przedmiotem przetwarzania są dane osobowe które znajdują się w przekazanych do zniszczenia dokumentach.
3. Z tytułu wykonywania świadczeń określonych w UPD Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie.
4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z poleceniem Administratora, przestrzegając postanowień UPD, Umowy oraz obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Rozporządzenia UE 2016/679 z dnia 27 kwietnia 2016r. (dalej: RODO).
5. Administrator oświadcza, że jest uprawniony do przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.
6. Podmiot przetwarzający oświadcza, że w ramach prowadzonej działalności profesjonalnie zajmuje się przetwarzaniem danych osobowych objętych Umową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania postanowień UPD.
7. Poprzez zawarcie UPD Administrator poleca przetwarzanie danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a) w zw. z art. 29 RODO.
8. Przetwarzanie danych osobowych wskazanych w ust. 1 odbywa się w miejscu określonym w załączniku nr 1. Zawierając UPD, Administrator udziela wyraźnej zgody na przetwarzanie danych osobowych w miejscach wymienionych w załączniku nr 1 w przypadku Podmiotu przetwarzającego.
9. Jeżeli przetwarzanie danych osobowych będzie odbywać się poza Unią Europejską („UE”), takie przetwarzanie nastąpi wyłącznie w przypadku, gdy Administrator wyrazi uprzednią pisemną zgodę i pod warunkiem, że przetwarzanie będzie się odbywać w oparciu o odpowiednie środki bezpieczeństwa, które zapewnią odpowiedni poziom ochrony danych osobowych.
§ 2
Charakter i cel przetwarzania danych
1. Administrator upoważnia Podmiot przetwarzający do przetwarzania w jego imieniu danych osobowych w celu i zakresie niezbędnym i koniecznym do realizacji Umowy, w szczególności obejmującym takie operacje jak przechowywanie danych oraz niszczenie danych.
2. Charakter przetwarzania danych wynika z Umowy. W szczególności określony jest rolą Podmiotu przetwarzającego jako podmiotu realizującego w imieniu i na rzecz Administratora stałą usługę niszczenia dokumentów w systemie pojemnikowym przez pracowników Podmiotu przetwarzającego, realizowaną w sposób tradycyjny, tj. z wykorzystaniem urządzeń trwale niszczących treści zawarte w przekazanych dokumentach.
3. Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób:
1) Wszystkich osób których dane znajdują się w przekazanych dokumentach,
§ 3
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się:
1) przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy, zabezpieczyć je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniający adekwatny stopień
bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO,
2) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 UPD wszystkim osobom, które będą przetwarzały powierzone dane,
3) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
4) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy,
5) udostępniać Administratorowi na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w UPD,
6) stosować środki w celu zaradzenia naruszeniom ochrony danych osobowych oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków,
7) stosować się do pisemnych instrukcji wydanych przez Administratora w zakresie przetwarzania powierzonych danych osobowych, chyba że co innego wynika z wiążących Podmiot przetwarzający obowiązujących przepisów prawa. W tym drugim przypadku Podmiot przetwarzający informuje Administratora o przepisach prawnych i wynikających z nich obowiązkach,
8) dokumentować wszelkie naruszenia ochrony danych w tym ich okoliczności, skutki oraz podjęte działania zaradcze w sposób określony w § 7.
2. Podmiot przetwarzający pomaga Administratorowi:
1) w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO (Prawa osoby, której dane dotyczą),
2) w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w § 10 ust. 5 POD niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia, z uwzględnieniem postanowień ust. 1 pkt 8 i § 7).
3. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o naruszeniu ochrony powierzonych danych jakimkolwiek podmiotom bez uprzedniej konsultacji z Administratorem.
4. Podmiot przetwarzający jest zobowiązany do niezwłocznego poinformowania o wszelkich zgłoszeniach praw osób których dane dotyczą, jeżeli zgłoszenia te dotyczą powierzonych danych.
5. Podmiot przetwarzający nie ma prawa do wykorzystywania powierzonych danych w jakimkolwiek innym celu niż realizacja Umowy zarówno w trakcie jej obowiązywania jak i po wygaśnięciu. Podmiot
przetwarzający zobowiązany jest do potwierdzenia usuwania danych (niszczenia dokumentów) zgodnie z Umową.
6. Podmiot przetwarzający nie będzie przekazywał danych osobowych stronom trzecim, chyba że przekazanie to odbywa się zgodnie z instrukcjami Administratora w związku z realizacją Umowy lub gdy jest to konieczne w celu wywiązania się z obowiązku prawnego.
7. Podmiot przetwarzający powinien prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zgodnie z wymogami wynikającymi z RODO.
§ 4
Prawo do kontroli
1. Administrator ma prawo kontroli (audytu), czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia UPD i RODO. W tym celu Podmiot przetwarzający umożliwia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzenie audytów, w tym inspekcji i przyczynia się do nich.
2. Administrator poinformuje Podmiot przetwarzający o zamiarze przeprowadzenia audytu. Podmiot przetwarzający wyznaczy terminy możliwych audytów w ciągu 14 dni roboczych od otrzymania powiadomienia. Prawo audytu dotyczy wyłącznie danych powierzonych przez Administratora oraz miejsca ich przetwarzania. Audyt może odbyć się w wyznaczonym przez Podmiot przetwarzający czasie i pod kontrolą wyznaczonej przez niego osoby. Jeżeli w ciągu 14 dni Podmiot przetwarzający nie wyznaczy terminów Administrator jest uprawniony do wskazania terminów audytów.
3. Niezależnie od postanowień ust. 2 Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia informacji dotyczących przetwarzania powierzonych mu danych osobowych w terminie 14 dni od dnia otrzymania takiego wniosku.
4. Po stwierdzeniu przez Administratora naruszeń Umowy Podmiot przetwarzający jest zobowiązany do ich usunięcia w terminie i w sposób ustalony pomiędzy Stronami
§5
Podpowierzenie
1. Podmiot przetwarzający jest uprawniony do dalszego powierzania wskazanych w § 1 ust. 1 UPD danych osobowych w celu niezbędnym do wykonania Umowy, podmiotom będącym podwykonawcami Podmiotu przetwarzającego, po uprzednim przekazaniu informacji o tych podmiotach i miejscu przetwarzania przez nich danych. Administrator podpisując UPD udziela Podmiotowi przetwarzającemu zgody na zaangażowanie podwykonawców wymienionych w załączniku nr 1. Podmiot przetwarzający zobowiązany jest przekazać Administratorowi informacje w zakresie wskazanym w załączniku nr 1 dotyczących podwykonawcy lub dalszych podwykonawców. W okresie obowiązywania UPD Podmiot przetwarzający, w razie potrzeby i w rozsądnym terminie przed dokonaniem zmiany, będzie ten załącznik
aktualizował przesyłając jego treść Administratorowi na adres wskazany w § 10 ust. 4 lit. a), z zastrzeżeniem ust. 2.
2. Podmiot przetwarzający poinformuje Administratora na piśmie o wszelkich zmianach polegających na zastąpieniu lub dodaniu podwykonawców. Administrator danych może sprzeciwić się takim zmianom w formie pisemnej, w terminie 7 dni od pisemnego powiadomienia go o zaangażowaniu podwykonawców. W takim przypadku Podmiot przetwarzający nie będzie korzystał z takiego podwykonawcy.
3. Podmiot przetwarzający jest zobowiązany do zapewnienia, że podmioty wskazane w ust. 1 spełniają takie same wymagania i obowiązki ochrony danych osobowych, jak Podmiot przetwarzający, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.
4. Zaangażowanie podwykonawcy nie wpływa na obowiązki Podmiotu przetwarzającego względem Administratora. Za działania i zaniechania podwykonawców Podmiot przetwarzający odpowiada jak za działania i zaniechania własne. Dostęp do danych osobowych może zostać udzielony tylko wtedy, gdy podwykonawca przestrzega (lub zapewnia przestrzeganie) obowiązków wynikających z UPD. Podmiot przetwarzający zawrze pisemną umowę z podwykonawcą, która będzie zgodna z prawem, odpowiednimi przepisami oraz UPD.
§ 6
Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy oraz UPD, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot powierzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzoru ochrony danych.
3. Podmiot przetwarzający będzie chronił, zabezpieczał i zwolni Administratora z odpowiedzialności za wszelkie roszczenia, działania, szkody, straty, koszty i wydatki (w tym między innymi uzasadnione koszty obsługi prawnej, consultingowej i audytowej), wynikające z lub będące następstwem roszczeń jakiejkolwiek strony trzeciej wobec Administratora, wynikających z lub będących następstwem niespełnienia przez Podmiot przetwarzający jakichkolwiek obowiązków dotyczących ochrony powierzonych danych osobowych oraz wszelkich innych obowiązków nałożonych na niego na mocy UPD.
4. W przypadku jakichkolwiek roszczeń strony trzeciej Podmiot przetwarzający ma obowiązek poinformowania Administratora o wystąpieniu takiego roszczenia niezwłocznie nie później niż w ciągu 3 dni od momentu, w którym posiadł informację na temat wystąpienia roszczenia strony trzeciej.
§ 7
Naruszenie bezpieczeństwa danych
1. Podmiot przetwarzający powinien powiadomić Administratora niezwłocznie o naruszeniu danych nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.
2. Powiadomienie, o którym mowa w ust. 1 powinno zawierać co najmniej:
a) charakter naruszenia danych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę danych osobowych, których to dotyczy,
b) nazwisko i dane kontaktowe Inspektora Ochrony Danych lub innej osoby wyznaczonej do kontaktu, od której można uzyskać więcej informacji,
c) prawdopodobne konsekwencje naruszenia danych osobowych,
d) środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków.
3. Podmiot przetwarzający wspiera Administratora w wypełnianiu ciążącego na nim ustawowego obowiązku informacyjnego wobec organów nadzoru i/ lub osób , których dane dotyczą w przypadku naruszenia danych.
4. Podmiot przetwarzający powinien niezwłocznie poinformować Administratora w każdym przypadku, kiedy uzna, że przetwarzanie jest niezgodne z prawem.
§ 8
Czas obowiązywania umowy
1. UPD obowiązuje przez okres obowiązywania Umowy.
2. Administrator jest uprawniony do rozwiązania UPD w trybie natychmiastowym, jeżeli zaistnieje chociażby jedna z poniższych przesłanek:
1) Podmiot przetwarzający nie wypełnia obowiązków wskazanych w RODO lub innych powszechnie obowiązujących przepisach dotyczących ochrony danych osobowych,
2) Podmiot przetwarzający nie wypełnia obowiązków wskazanych w UPD.
3. Zaistnienie podstaw do rozwiązania UPD bez wypowiedzenia stanowi podstawę do rozwiązania Umowy bez wypowiedzenia.
§ 9
Poufność
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 5 UPD, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane
bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy lub UPD, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub UPD.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
W zakresie nieuregulowanym postanowienia Umowy dotyczące poufności stosuje się odpowiednio.
§ 10
Postanowienia końcowe
1. Zmiana UPD wymaga formy pisemnej pod rygorem nieważności, z zastrzeżeniem zmian osób o których mowa w ust. 4.
2. Załączniki stanowią integralną część UPD.
3. Obowiązki informacyjne wynikające z UPD mogą być realizowane w formie elektronicznej.
4. Strony postanawiają, że osobami odpowiedzialnymi za realizację postanowień UPD, w tym uprawnionymi do kontaktu w zakresie realizacji praw osób których dane dotyczą oraz obowiązków wynikających z UPD jest:
a) ze strony Administratora – Xxxxxx Xxxxx, e-mail xxx@xxx.xxx.xx
b) ze strony Podmiotu przetwarzającego – ……………………………………………….….. e-mail: …………
5. UPD sporządzono w dwóch jednobrzmiących egzemplarzach.
6. Sądem właściwym dla rozpatrywania sporów jest sąd właściwy dla siedziby Administratora.
Administrator Podmiot przetwarzający
Załącznik nr 1
Podmiot przetwarzający, dalsze podmioty przetwarzające i kolejne dalsze podmioty przetwarzające
Podmiot przetwarzający
Firma i adres | Lokalizacja przetwarzania | Świadczone usługi/cel |
Dalsze Podmioty Przetwarzające
Firma i adres | Lokalizacja przetwarzania | Świadczone usługi/cel |