UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6 do Umowy nr /….
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …..…- …..…- roku w Warszawie pomiędzy:
Narodowym Instytutem Onkologii im. Xxxxx Xxxxxxxxxxxx – Curie - Państwowym Instytutem Badawczym z siedzibą w Warszawie, adres: 00-000 Xxxxxxxx, xx. W. K. Xxxxxxxxx 0, wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000144803, NIP 000- 000-00-00, Regon 000288366, zwanym dalej „Administratorem” lub „Powierzającym”,
w imieniu którego działa, należycie umocowany:
………………………………………………………………………………………………………. a
............................................................................................................,
wpisaną/wpisanym do:
- Rejestru ……………………. Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w……………., ……… Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS .........., NIP ,
Regon ……… wysokość kapitału zakładowego PLN*
…………., prowadzącą/prowadzącym działalność gospodarczą pod firmą , adres prowadzenia
działalności , wpisaną/wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej,
NIP …................, Regon *,
zwaną/zwanym dalej „ Przetwarzającym”, w imieniu którego działa należycie umocowany:
.........................................................................................................................................
Mając na uwadze, że:
• Strony zawarły umowę nr……………………………… („Umowa Podstawowa”) na wykonanie usługi zaprojektowania, uruchomienia, promocji oraz pozycjonowania strony internetowej NIO-PIB w języku angielskim i hiszpańskim, realizowanej w ramach Projektu pn. „Welcome NIO”, zadanie
„Stworzenie, zasilenie treścią, promocja i pozycjonowanie strony internetowej NIO-PIB w obcych językach”
(dalej „System”), będących przedmiotem Umowy Podstawowej.
• Celem niniejszej umowy (dalej „Umowa”) jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu i na zlecenie Administratora;
• Strony zawierają Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
W niniejszej Umowie poniższe wyrażenia otrzymują następujące znaczenia:
Przetwarzający – podmiot, któremu Administrator powierza przetwarzanie danych osobowych na mocy niniejszej umowy.
Podprzetwarzajacy – podmiot któremu Przetwarzający powierza dalsze przetwarzanie danych osobowych powierzonych do przetwarzania przez Administratora.
Xxxx Xxxxxxx – dane osobowe w rozumieniu Rozporządzenia dotyczące pacjentów i pracowników, przekazywane przez Zamawiającego Wykonawcy do przetwarzania.
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, przechowywanie, porządkowanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ograniczanie, usuwanie lub niszczenie.
Rozporządzenie (RODO) - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r.
Ustawa - ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych ( Dz. U. z 2018 r. poz. 1000).
Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:
1. Przedmiot Umowy
1.1 Na podstawie Umowy, Powierzający powierza Przetwarzającemu przetwarzanie dalej opisanych Danych Osobowych na warunkach określonych Umową i Umową Podstawową. Umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO.
1.2 Celem powierzenia jest:
(1) świadczenie usługi wsparcia serwisowego Systemu.
1.3 Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób:
(1) Pracownicy i Współpracownicy Administratora.
1.4 W ramach Umowy przetwarzane będą dane osobowe (dalej „Dane Osobowe”), co obejmuje w szczególności następujące rodzaje danych:
− nazwisko i imię (xxxxxx),
− miejsce pracy,
− tytuł zawodowy,
− uzyskane specjalizacje,
− dane kontaktowe, w tym adres e-mail, nr telefonu.
2. Okres obowiązywania Umowy
2.1 Z zastrzeżeniem pkt 10.3, Xxxxx zostaje zawarta na czas określony tj. od dnia zawarcia Umowy do:
a) dnia zawarcia przez Powierzającego kolejnej umowy dotyczącej wsparcia serwisowego Systemu, następującej po Umowie Podstawowej albo
b) do upływu trzech miesięcy po ustaniu Umowy Podstawowej
w zależności od tego, które ze zdarzeń wymienionych w pkt a)-b) powyżej nastąpi najpierw.
2.2 Administrator może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym w przypadku naruszenia przez Przetwarzającego postanowień Umowy, przepisów Ustawy lub Rozporządzenia, w szczególności w przypadku udostępniania Danych Osobowych osobom nieuprawnionym, a także w przypadku, gdy:
a) organy administracji państwowej odpowiedzialne za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzą, że Przetwarzający nie przestrzega tych zasad;
b) Administrator, w wyniku przeprowadzenia kontroli stwierdzi, że Przetwarzający nie przestrzega zasad przetwarzania Danych Osobowych lub przepisów Rozporządzenia;
c) Przetwarzający utrudnia lub uniemożliwia przeprowadzenie kontroli o której mowa w niniejszej umowie.
3. Obowiązki Przetwarzającego
3.1 Oprócz zgodności z regułami podanymi w Umowie, Przetwarzający zapewni zgodność z wymaganiami, o których jest mowa w Artykułach od 28 do 33 RODO. Przetwarzający w szczególności oświadcza, że wdrożył środki techniczne oraz organizacyjne, które są niezbędne do wykonania Umowy zgodnie z art. 32 RODO. Środki techniczne i organizacyjne, o których mowa w zdaniu poprzedzającym będą w szczególności zgodne z Artykułem 28 ust. 3 lit. c) oraz z art. 32 RODO w związku z Artykułem 5 ust. 1-2 RODO. Środki te związane są z bezpieczeństwem danych oraz i gwarantują poziom ochrony odpowiedni do ryzyka w zakresie poufności, integralności, dostępności oraz odporności Systemów, z uwzględnieniem poziomu techniki, kosztów wdrażania, charakteru, zakresu oraz celów przetwarzania a także prawdopodobieństwa wystąpienia oraz skali ryzyka dla praw oraz swobód osób fizycznych w rozumieniu Artykułu 32 Paragraf 1 RODO. Środki techniczne oraz organizacyjne są przedmiotem postępu technicznego oraz dalszego rozwoju, wobec czego Przetwarzający może wdrażać adekwatne środki alternatywne. Jednakże w takim wypadku nie może mieć miejsca obniżenie poziomu bezpieczeństwa określonych środków.
3.2 Przetwarzający informuje, iż powołał Inspektora Ochrony Danych, z którym można skontaktować się : tel. ..............................., e-mail:……………………………………….
Aktualne dane Inspektora Ochrony Danych są dostępne na stronie internetowej Przetwarzającego.
3.3 Przetwarzający będzie prowadzić okresowe monitorowanie procesów wewnętrznych i środków technicznych oraz organizacyjnych w celu zapewnienia, aby przetwarzanie danych w jego obszarze odpowiedzialności było zgodne z wymagania obowiązującego prawa w zakresie ochrony danych oraz ochrony praw Podmiotu Danych (osoby, której dotyczą dane).
3.4 Przetwarzający w ramach Umowy przetwarza Dane Osobowe wyłącznie na podstawie udokumentowanych poleceń lub instrukcji Powierzającego. Udokumentowanym poleceniem jest w szczególności zapotrzebowanie na wykonanie usług zgłaszane w ramach Umowy Podstawowej, co dotyczy w szczególności zgłoszeń w udostępnianych przez Przetwarzającego systemach obsługi zgłoszeń oraz zgłoszeń dokonywanych telefonicznie, a także zgłoszeń przesyłanych przez automatyczne systemy monitorujące.
3.5 Przetwarzanie Danych Osobowych w ramach Umowy zostanie powierzone przez Przetwarzającego tylko takim jego pracownikom, którzy zostaną zobowiązani do zachowania poufności oraz którzy uprzednio zostali zapoznani z postanowieniami w zakresie ochrony danych związanych z ich pracą. Przetwarzający oraz każda osoba działająca z upoważnienia
Przetwarzającego, która będzie posiadać dostęp do Danych Osobowych nie będzie przetwarzać tych Danych bez polecenia Powierzającego, chyba że wymagają tego obowiązujące przepisy prawa.
3.6 Przetwarzanie Danych Osobowych nie będzie realizowane poza terenem Unii Europejskiej (UE) lub Europejskim Obszarem Gospodarczym.
3.7 W trakcie wykonywania Umowy Przetwarzający będzie współpracować z organem nadzoru na wniosek tego organu. Przetwarzający będzie informował Powierzającego o wszelkich kontrolach oraz środkach podejmowanych przez organ nadzoru jeżeli mają one związek z Umową.
3.8 Jeżeli Powierzający jest przedmiotem kontroli prowadzonej przez organ nadzoru, postępowania administracyjnego lub karnego z powodu przestępstwa lub wykroczenia, roszczenia wniesionego przez osobę, której dotyczą Dane Osobowe lub przez stronę trzecią w związku z przetwarzaniem Danych Osobowych przez Powierzającego, Przetwarzający dołoży wszelkich starań w celu wsparcia Powierzającego.
4. Poufność
4.1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
4.2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
5. Korekta, ograniczanie oraz usuwanie danych
5.1 Przetwarzający może usuwać lub ograniczać przetwarzanie Danych Osobowych jedynie na podstawie udokumentowanych poleceń od Powierzającego.
5.2 Jeżeli Podmiot Danych (osoba, której dotyczą dane) skontaktuje się bezpośrednio z Przetwarzającym w związku z korektą, usunięciem lub ograniczeniem przetwarzania, Przetwarzający natychmiast przekaże Powierzającemu wniosek tego Podmiotu Danych.
6. Dalsze powierzenie przetwarzania Danych Osobowych
6.1 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom przetwarzającym, co w szczególności dotyczy podwykonawców Przetwarzającego, angażowanych przez niego przy realizacji Umowy Podstawowej.
6.2 Przetwarzający może powierzyć przetwarzanie Danych Osobowych innym podmiotom pod warunkiem uzyskania zgody Powierzającego.
6.3 Przystąpienie do przetwarzania danych przez podmioty, o których mowa w ust. 6.1-6.3 może nastąpić po zapewnieniu przez te podmioty zgodności z wszystkimi wymaganiami Umowy, odnoszącymi się do Przetwarzającego.
6.4 Powierzenie przetwarzania Danych Osobowych innym podmiotom nie zmniejsza zakresu odpowiedzialności Przetwarzającego wynikającego w Umowy.
6.5 Przetwarzający zobowiązuje się do natychmiastowego rozwiązania umowy z podmiotem Podprzetwarzajacym w przypadku, gdy zażąda tego Administrator, a w szczególności w sytuacji,
gdy Podprzetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z obowiązujących przepisów prawa.
7. Uprawnienia Powierzającego w zakresie nadzoru
7.1 Przetwarzający zapewni Powierzającemu możliwość weryfikacji zgodności ze zobowiązaniami Przetwarzającego wynikających z art. 28 RODO.
7.2 Powierzający ma prawo do przeprowadzania kontroli albo do powierzania ich wykonywania przez audytora, który zostanie wyznaczony indywidualnie w każdym wypadku. Przetwarzający zobowiązuje się, że dostarczy Powierzającemu, na jego żądanie niezbędnych informacji, a w szczególności dotyczących środków technicznych i organizacyjnych stosowanych przy przetwarzaniu Danych Osobowych.
7.3 Powierzający będzie realizował prawo kontroli w dni robocze, w godzinach pracy Przetwarzającego z co najmniej 7-dniowym wyprzedzeniem. Za dni robocze Xxxxxx uważać będą dni od poniedziałku do piątku, z wyjątkiem dni ustawowo wolnych od pracy na terytorium Rzeczypospolitej Polskiej.
7.4 Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, w terminie wskazanym przez Powierzającego, który nie może jednak być krótszy niż 5 dni.
8. Komunikacja w przypadku naruszeń zasad przetwarzania Danych Osobowych
8.1 Przetwarzający powinien wspierać Powierzającego w zachowaniu zgodności ze zobowiązaniami w zakresie bezpieczeństwa danych osobowych, wymaganiami odnośnie zgłaszania naruszeń danych, oceny skutków dla ochrony danych poprzez podjęcie określonych działań:
a) zapewnienie odpowiedniego poziomu ochrony przez zastosowanie środków technicznych oraz organizacyjnych z uwzględnieniem okoliczności oraz celów przetwarzania, a także projektowanego prawdopodobieństwa oraz skali ewentualnego naruszenia;
b) powiadomienie Administratora o każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwienie Administratorowi uczestnictwa w czynnościach wyjaśniających i poinformowanie go o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia;
c) przesłanie powiadomienia o stwierdzeniu naruszenia wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, umożliwiając tym samym Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.
d) wsparcie Powierzającego w odniesieniu do obowiązków związanych z informowaniem zainteresowanego Podmiotu Danych (osoby, której dotyczą dane) oraz dostarczanie Powierzającemu wszystkich posiadanych informacji na ten temat;
e) wspieranie Powierzającego w zakresie oceny skutków dla ochrony jego danych.
8.2 Powiadomienie o naruszeniu zasad przetwarzania danych może nastąpić drogą elektroniczną lub za pomocą środków porozumiewania się na odległość.
8.3 Powiadomienie, o którym mowa w pkt 8.2 może nastąpić poprzez następujące narzędzia: tel. 00 0000000, e-mail: xxx@xxx-xxx.xx
9. Prawo Powierzającego do wydawania poleceń
9.1 Polecenia wydane ustnie zostaną natychmiast potwierdzone przez Powierzającego minimum w formie wiadomości przesłanej pocztą elektroniczną.
9.2 Przetwarzający niezwłocznie będzie informował Powierzającego w przypadku stwierdzenia, że dane polecenie narusza przepisy prawa w zakresie ochrony danych. W takim wypadku Przetwarzający ma prawo zawiesić wykonanie odnośnych poleceń do czasu ich potwierdzenia albo zmiany przez Powierzającego.
10. Kasowanie oraz zwrot danych osobowych
10.1 Przetwarzający nie będzie tworzył kopii Danych Osobowych bez wiedzy Powierzającego za wyjątkiem kopii zapasowych w zakresie koniecznym do zapewnienia właściwego przetwarzania danych.
10.2 Po wygaśnięciu Umowy Przetwarzający przekaże Powierzającemu albo – za uprzednią zgodą Powierzającego – zniszczy wszystkie dokumenty, wyniki przetwarzania oraz wykorzystania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu, w sposób zgodny z ochroną danych. Protokół zniszczenia lub usunięcia należy dostarczyć na żądanie Powierzającego.
10.3 Przetwarzający po wygaśnięciu Umowy może zachować kopię Danych Osobowych przetwarzanych w systemach Przetwarzającego (w szczególności w systemie obsługi zgłoszeń serwisowych) i dotyczących realizacji Umowy Podstawowej w celu wypełnienia obowiązków ustawowych związanych z archiwizacją i przechowywaniem dokumentów. Kopia Danych, o których mowa w zdaniu poprzedzającym może być przechowywana do upływu okresu przedawnienia roszczeń i zobowiązań wynikających z Umowy Podstawowej, co dotyczy także zobowiązań podatkowych.
10.4 Uprawnienie, o którym mowa w ust. 10.3 nie obejmuje prawa do tworzenia kopii baz danych Powierzającego.
11. Odpowiedzialność
11.1 Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
11.2 Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora i osób trzecich za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
12. Postanowienia końcowe
12.1 Zmiany Umowy muszą być dokonywane piśmie pod rygorem nieważności.
12.2 Jeżeli poszczególne postanowienia Umowy staną się nieskuteczne albo niewykonalne po jej podpisaniu, nie będzie to miało wpływu na ważność pozostałych postanowień Umowy.
12.3 Postanowienie nieskuteczne albo niewykonalne należy zastąpić postanowieniem skutecznym oraz wykonalnym, najbardziej zbliżonym do celu ekonomicznego, do którego dążyły strony Umowy w ramach postanowienia nieważnego lub niewykonalnego.
12.4 Umowa wchodzi w życie z dniem zawarcia i zastępuje wszystkie istniejące porozumienia Stron w zakresie powierzenia i zasad przetwarzania Danych Osobowych.
12.5 Niniejsza umowa podlega prawu polskiemu.
12.6 Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy Powierzającego.
12.7 Wynagrodzenie określone w Umowie podstawowej obejmuje także wynagrodzenie za wykonywanie niniejszej Umowy. Przetwarzający oświadcza, że wynagrodzenie wskazane w zdaniu poprzednim wyczerpuje jego roszczenia wobec Administratora wynikające z niniejszej Umowy.
12.8 Umowa została sporządzona w trzech jednobrzmiących egzemplarzach: dwa egzemplarze dla Powierzającego, jeden egzemplarz dla Przetwarzającego.