Porozumienie powierzenia przetwarzania danych osobowych do Umowy .................... Zawarta w dniu .................... r. pomiędzy:
powierzenia przetwarzania danych osobowych
do Umowy ....................
Zawarta w dniu .................... r. pomiędzy:
Mazowieckie Centrum Polityki Społecznej, ul. Grzybowska 80/82, 00-844 Warszawa, NIP 000-000-00-00, zwanym dalej Zleceniodawcą lub Administratorem danych (administratorem) reprezentowanym przez reprezentowanym przez Xxxxxxxxxx Xxxxxxxxxxxxxx – p.o. Dyrektora Mazowieckiego Centrum Polityki Społecznej, działającego na podstawie pełnomocnictwa udzielonego przez Zarząd Województwa Mazowieckiego uchwałą nr 150/24/19 z dnia 12 lutego 2019 r
A
(…)
zwaną dalej Zleceniobiorcą lub Podmiotem przetwarzającym
reprezentowanym przez:
Właściciela -
(dalej łącznie jako: "Strony")
Mając na uwadze, że:
Strony zawarły umowę nr ("Umowa Podstawowa"), w związku, z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową;
Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu Administratora;
Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO.
Xxxxxx postanowiły zawrzeć Umowę powierzenia przetwarzania danych osobowych ("Umowa"), o następującej treści:
§ 1
Oświadczenia Stron
Administrator danych powierza Zleceniobiorcy do przetwarzania dane osobowe, które zgromadził zgodnie z obowiązującymi przepisami prawa.
Zleceniobiorca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora danych, w zakresie i celu określonym Umową.
Zleceniobiorca oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.
§2
Cel, zakres, miejsce przetwarzania powierzonych danych osobowych
Administrator danych powierza Zleceniobiorcy przetwarzanie danych osobowych osób, których dane znajdują się na serwerze Administratora.
Zleceniobiorca zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z realizacją Umowy i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
Na wniosek Administratora danych lub osoby, której dane dotyczą Zleceniobiorca wskaże miejsca, w których przetwarza powierzone dane.
§3
Opis Przetwarzania
Zleceniobiorca będzie wykonywał świadczenie na rzecz Zleceniodawcy z zakresu świadczenia usług informatycznych, polegających na prowadzeniu serwisu i modyfikacji oprogramowania systemu w tym: prowadzenie serwisu i modyfikacji oprogramowania systemu SAGE Symfonia.
Zleceniobiorca w ramach świadczonej usługi będzie miał dostęp do wszystkich danych osobowych, które zawarte są na serwerze. Podczas serwisu Zleceniobiorca w ramach świadczonej usługi będzie miał jedynie wgląd do danych podczas czynności serwisowej.
§ 4
Zasady przetwarzania danych osobowych
Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.
Zleceniobiorca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zleceniobiorca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.
Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
§ 5
Odpowiedzialność Stron
Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. z 2016 r. Nr 119, str. 1).
Powyższe nie wyłącza odpowiedzialności Zleceniobiorcy za przetwarzanie powierzonych danych niezgodnie z umową.
Zleceniobiorca odpowiada za szkody majątkowe lub niemajątkowe jakie powstały wobec Zleceniodawcy lub osób trzecich w wyniku przetwarzania danych osobowych niezgodnego z Umową lub obowiązkami nałożonymi przez Rozporządzenie, a także inne powszechnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych bezpośrednio na Zleceniobiorcę oraz w wyniku działania poza zgodnymi z prawem instrukcjami Zleceniodawcy lub wbrew tym instrukcjom.
Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
Zleceniobiorca ponosi odpowiedzialność za działania lub zaniechania Podwykonawcy, dotyczące przetwarzania powierzonych danych osobowych, jak za działania lub zaniechania własne, przez co postanowienia dotyczące odpowiedzialności Zleceniobiorcy na warunkach opisanych powyżej obejmują także odpowiedzialność Zleceniobiorcy za działania lub zaniechania jego Podwykonawców.
§ 6
Zasady zachowania poufności
Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 7
Naruszenia
Zleceniobiorca oświadcza, że w razie stwierdzenia naruszenia ochrony danych osobowych niezwłocznie, jednak nie później niż w terminie 24 godzin od wykrycia naruszenia, poinformuje o tym Zleceniodawcę.
2. Zgłoszenie, o którym mowa w ust. 1 musi co najmniej:
opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
opisywać środki zastosowane lub proponowane przez Zleceniobiorcę w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
W celu realizacji obowiązków, o których mowa w ust. 1 i 2 powyżej, Zleceniobiorca jest zobowiązany do dokumentowania wszelkich okoliczności i zebrania wszelkich dowodów, które pomogą Zleceniodawcy wyjaśnić szczegóły naruszenia, w tym jego charakter, skalę, skutki, czas zdarzenia, osoby odpowiedzialne, osoby poszkodowane.
§ 8
Postanowienia końcowe
Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
Zgodną wolą Stron jest uregulowanie aktualnych warunków powierzenia przetwarzania danych osobowych. W momencie wejścia w życie niniejszej Umowy jej postanowienia zastępują wszelkie dotychczasowe ustalenia Stron, zawarte we wcześniejszej umowie lub umowach powierzenia.
W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu cywilnego.
W przypadku, gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
................................................ .......................................................
Zleceniodawca Zleceniobiorca