Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w Warszawie w dniu r. pomiędzy:
Bankowym Funduszem Gwarancyjnym z siedzibą w Warszawie, ul. ks. Xxxxxxxx Xxxx Xxxxxxxx 4, 00-546 Warszawa, działającym na podstawie ustawy z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji (Dz. U. z 2020 r. poz. 842, z późn. zm.), posiadającym NIP: 000-00-00-000 oraz REGON: 010978710, zwanym dalej Administratorem,
w imieniu i na rzecz którego działają:
1. ………………………………………………………….,
2. ………………………………………………………….,
a
………………….., zwaną/zwanym dalej Przetwarzającym,
w imieniu i na rzecz której/którego działają:
1. ………………………………………………………….,
2. …………………………………………………………., zwanych dalej łącznie Stronami, a oddzielnie także Stroną.
Zważywszy, że w dniu Strony zawarły Umowę nr …., której przedmiotem jest zakup
usług w zakresie rezerwacji, sprzedaży i dostaw biletów lotniczych oraz kolejowych w ruchu krajowym i zagranicznym oraz polis ubezpieczeniowych w podróży zagranicznej, zwaną dalej Umową zakupu, Strony postanawiają zawrzeć niniejszą umowę powierzenia przetwarzania danych, której wzór stanowi Załącznik nr 7 do Umowy zakupu, zwaną dalej Umową, o następującej treści.
§ 1
1. Administrator oświadcza, że w momencie powierzenia przetwarzania danych osobowych będzie administratorem tych danych w rozumieniu przepisów powszechnie obowiązującego prawa z zakresu ochrony danych osobowych, tzn.: rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016
r. Nr 119, str. 1 z późn. zm.), zwanego dalej RODO.
2. Strony wspólnie ustalają, że przetwarzanie danych osobowych w ramach Umowy będzie się odbywało zgodnie z zasadami określonymi w RODO.
§ 2
[POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH]
1. Administrator powierza Przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania na zasadach i w celu określonym w Umowie.
2. Przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora.
3. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową.
4. Przetwarzający oświadcza, że stosuje techniczne i organizacyjne środki bezpieczeństwa spełniające wymogi RODO.
§ 3
[ZAKRES I CEL PRZETWARZANIA DANYCH]
1. Powierzenie dotyczyć będzie następujących kategorii danych osobowych zwykłych:
1) imię lub imiona;
2) nazwisko;
3) PESEL lub numer paszportu;
4) data urodzenia;
5) numer telefonu;
6) adres e-mail;
7) 1……………………………….
2. Przetwarzanie dotyczyć będzie następujących kategorii osób:
1) członków organów Administratora;
2) pracowników Administratora;
3) osób zatrudnionych u Administratora na innej podstawie prawnej niż umowa o pracę;
4) osób wskazanych przez Administratora.
3. Celem przetwarzania danych osobowych jest realizacja Umowy na zakup usług w zakresie rezerwacji, sprzedaży i dostaw biletów lotniczych oraz kolejowych w ruchu krajowym i zagranicznym oraz polis ubezpieczeniowych w podróży zagranicznej.
4. Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych: zbieranie, utrwalanie, przechowywanie, usuwanie, podgląd, kopiowanie.
5. Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w systemach informatycznych oraz w formie papierowej.
6. Przetwarzający oświadcza, że będzie przetwarzać dane osobowe wyłącznie na potrzeby realizacji Umowy zakupu.
§ 4
[DALSZE POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH]
1. Przetwarzający pod warunkiem uzyskania uprzedniej pisemnej zgody Administratora, może powierzyć na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych, konkretne operacje przetwarzania danych osobowych dalszemu podmiotowi podprzetwarzającemu.
1 Strony ustalą zamknięty katalog kategorii danych osobowych niezbędnych do prawidłowej realizacji Umowy zakupu przed jej podpisaniem.
2. Przetwarzający nie może przekazać dalszemu podmiotowi podprzetwarzającemu całości operacji przetwarzania wynikających z Umowy.
3. Administrator w każdym czasie, posiadając uzasadnione podstawy, może zgłosić udokumentowany sprzeciw wobec przetwarzania danych osobowych przez dalszy podmiot podprzetwarzający. W takim wypadku Przetwarzający jest zobowiązany niezwłocznie zakończyć powierzenie przetwarzania danych osobowych dalszym podmiotom przetwarzającym, których sprzeciw dotyczy.
4. Przetwarzający ma obowiązek zobowiązać dalszy podmiot podprzetwarzający, aby ten przestrzegał wszystkich obowiązków, jakie zostały nałożone na Przetwarzającego w niniejszej Umowie oraz RODO lub Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE, zwanego dalej Rozporządzeniem 2018/1075.
§ 5
[MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH]
1. Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie w oparciu o udokumentowaną zgodę Administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii Europejskiej lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V RODO lub Rozporządzenia 2018/1725.
2. Jeżeli podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu Administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V RODO, Administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V RODO za pomocą standardowych klauzul umownych przyjętych przez Komisję (UE) zgodnie z art. 46 ust. 2 RODO, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.
§ 6
[OBOWIĄZKI PRZETWARZAJĄCEGO]
1. Przetwarzający przetwarza dane osobowe wyłącznie na podstawie i zgodnie z niniejszą Umową.
2. Przetwarzający oświadcza, że nie dokonuje transferu danych osobowych do państw trzecich lub organizacji międzynarodowych tj. poza obszar Unii Europejskiej/Europejski Obszar Gospodarczy. W sytuacji gdy Przetwarzający poweźmie zamiar lub będzie zobowiązany do dokonania transferu danych osobowych do państw trzecich lub organizacji międzynarodowych tj. poza obszar Unii Europejskiej/Europejski Obszar Gospodarczy, jest zobowiązany poinformować o tym fakcie Administratora, w celu umożliwienia Administratorowi podjęcia niezbędnych działań gwarantujących zgodność przetwarzania z prawem bądź podjęcia decyzji o zakończeniu współpracy w zakresie powierzenia przetwarzania danych osobowych.
3. Przetwarzający podczas przetwarzania danych osobowych jest zobowiązany do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających
adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, określonych w art. 32 RODO.
4. Przetwarzający jest zobowiązany dołożyć należytej staranności przy wykonywaniu operacji przetwarzania danych osobowych.
5. Przetwarzający jest zobowiązany nadać upoważnienia do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe.
6. Przetwarzający jest zobowiązany do zachowania w tajemnicy powierzonych danych osobowych, dotyczy to również osób, które Przetwarzający upoważni do przetwarzania powierzonych danych osobowych.
7. Przetwarzający jest zobowiązany do udokumentowanego poinformowania Administratora
o wątpliwościach zgodności z prawem niniejszej Umowy.
8. Przetwarzający jest zobowiązany do ograniczenia dostępu do powierzonych danych osobowych wyłącznie do osób, których dostęp jest konieczny dla realizacji Umowy zamówienia i posiadających odpowiednie upoważnienia.
9. Przetwarzający jest zobowiązany do współdziałania z Administratorem przy wykonywaniu ciążących na nim obowiązków określonych art. 32-36 RODO.
10. Przetwarzający jest zobowiązany wspomagać Administratora, poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, w szczególności zobowiązuje się informować niezwłocznie Administratora o każdym żądaniu otrzymanym od osoby, której dotyczą przetwarzane dane osobowe, powstrzymując się jednocześnie od odpowiedzi na to żądanie.
11. Przetwarzający jest zobowiązany do prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Administratora, w przypadku obowiązku prowadzenia takiego rejestru wynikającego z art. 30 RODO.
12. Przetwarzający jest zobowiązany powiadomić niezwłocznie Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych.
13. Przetwarzający jest zobowiązany do przeszkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie ochrony tychże danych.
14. Przetwarzający jest zobowiązany do niezwłocznego poinformowania Administratora
o jakimkolwiek prowadzonym postępowaniu, w szczególności administracyjnym lub sądowym dotyczącym powierzonych do przetwarzania danych osobowych, a także o wszystkich planowanych kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych, o ile posiada we wskazanym zakresie wiedzę.
15. Przetwarzający po zakończeniu świadczenia usług dotyczących przetwarzania powierzonych danych osobowych nie ma prawa dalszego ich przetwarzania.
16. Przetwarzający potwierdzi zwrot lub usunięcie danych osobowych przekazanym Administratorowi protokołem.
[OBOWIĄZKI ADMINISTRATORA]
Administrator jest zobowiązany do współdziałania z Przetwarzającym w realizacji Umowy, w szczególności jest zobowiązany do składania wyjaśnień w razie zaistnienia wątpliwości Przetwarzającego co do zgodności z prawem udzielanych poleceń i instrukcji.
§ 8
[PRAWO KONTROLI]
1. Administrator ma prawo dokonać kontroli w zakresie tego, czy środki zastosowane przez Wykonawcę przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
2. Administrator informuje Przetwarzającego o terminie planowanej kontroli.
3. Administrator bądź osoba przez niego upoważniona mają prawo wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe, oraz prawo wglądu do dokumentacji dotyczącej przetwarzania powierzonych danych osobowych.
4. Przetwarzający zobowiązany jest odpowiedzieć niezwłocznie na każde pytanie Administratora dotyczące przetwarzania danych osobowych powierzonych mu na podstawie niniejszej Umowy, w szczególności do udostępniania Administratorowi wszelkich informacji w zakresie niezbędnym do wykazania spełnienia przez Administratora obowiązków jako administratora danych osobowych, o których mowa w art. 28 RODO oraz umożliwienia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
5. Przetwarzający zobowiązuje się do usunięcia wszelkich ewentualnych uchybień stwierdzonych podczas kontroli w terminie uzgodnionym z Administratorem.
§ 9
[ODPOWIEDZIALNOŚĆ PRZETWARZAJĄCEGO]
1. Przetwarzający ponosi odpowiedzialność za przetwarzanie powierzonych danych osobowych niezgodnie z Umową.
2. Przetwarzający jest odpowiedzialny za nieprzestrzeganie przez podmiot podprzetwarzający zasad przetwarzania powierzonych danych osobowych określonych w Umowie oraz przepisach prawa powszechnie obowiązujących.
§ 10
[CZAS OBOWIĄZYWANIA UMOWY]
Umowa obowiązuje przez czas trwania Umowy zakupu.
[ROZWIĄZANIE UMOWY]
1. Administrator jest uprawniony do rozwiązania Umowy ze skutkiem natychmiastowym w sytuacji, gdy Przetwarzający przetwarza powierzone dane osobowe w sposób niezgodny z Umową, w szczególności gdy Przetwarzający nie usunął uchybień stwierdzonych podczas kontroli w terminie uzgodnionym z Administratorem oraz gdy Przetwarzający powierzył przetwarzanie danych osobowych dalszemu podmiotowi podprzetwarzającemu bez uzyskania zgody Administratora.
2. W przypadku wypowiedzenia, odstąpienia, rozwiązania lub wygaśnięcia Umowy zakupu Przetwarzający zobowiązuje się niezwłocznie, jednak nie później niż w terminie 5 dni od daty wypowiedzenia, odstąpienia, rozwiązania lub wygaśnięcia Umowy zakupu, zwrócić lub (na wniosek Administratora) usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, a także usunąć wszelkie ich istniejące kopie, niezależnie od formy ich przetwarzania, w tym skutecznie usunąć je również z wszelkich nośników elektronicznych pozostających w jego dyspozycji, chyba że obowiązek ich dalszego przechowywania wynika z przepisów powszechnie obowiązujących. Przetwarzający potwierdzi zwrot lub usunięcie danych osobowych protokołem przekazanym Administratorowi.
§ 12 [POSTANOWIENIA KOŃCOWE]
1. Umowa została sporządzana w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
ze Stron.
2. Zmiana Umowy wymaga zachowania formy pisemnej lub formy elektronicznej, pod rygorem nieważności.
3. W sprawach nieuregulowanych Umową zastosowanie będą miały przepisy prawa powszechnie obowiązującego, w szczególności RODO.
…………………………….. ……………………………….
Administrator Przetwarzający