UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 9 do Umowy
Wzór umowy o powierzenie przetwarzania danych osobowych
UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
(Komparycja i oznaczenie Stron)
§ 1
OŚWIADCZENIA WSTĘPNE
1. Niniejsza Umowa o Powierzenie Przetwarzania Danych Osobowych („Umowa”) została sporządzona w oparciu o wzór umowy o powierzenie przetwarzania danych osobowych stanowiący załącznik nr 9 do ………[informacje o umowie głównej] („Umowa Główna”).
2. COI oświadcza, że:
1) przetwarza dane osobowe, w następujących zbiorach danych:
a) „[nazwa zbioru]” – maksymalny zakres danych osobowych powierzonych do przetwarzania Wykonawcy w ramach zbioru w związku z realizacją Umowy Głównej, kategorie osób, których dane dotyczą oraz rodzaj danych określony został w załączniku nr 5 do Umowy,
b) „[…]” – maksymalny zakres danych osobowych powierzonych do przetwarzania Wykonawcy w ramach zbioru w związku z realizacją Umowy Głównej, kategorie osób, których dane dotyczą oraz rodzaj danych określony został w załączniku nr 6 do Umowy;
2) przetwarza dane osobowe objęte zbiorami danych opisanymi w pkt 1) powyżej, na podstawie Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Projektu POPC Wsparcie zawartego z Ministrem Cyfryzacji na gruncie obowiązujących przepisów o ochronie danych osobowych mających zastosowanie;
3) jest uprawniony na podstawie Porozumienia, o którym mowa w pkt. 2) powyżej do dalszego powierzenia Wykonawcy przetwarzania danych osobowych, które COI przetwarza w zbiorze/zbiorach opisanym/-ch w pkt 1) powyżej;
4) administratorem danych osobowych w zbiorze/zbiorach opisanych w pkt. 1) powyżej jest minister właściwy do spraw rozwoju regionalnego.
3. Wykonawca oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych spełniało wymogi wynikające z obowiązujących przepisów o ochronie danych osobowych mających zastosowanie i chroniło prawa osób, których dane dotyczą.4. Wykonawca oświadcza, że znane mu są wszelkie obowiązki wynikające z obowiązujących przepisów o ochronie danych osobowych mających zastosowanie, które zobowiązany jest wykonywać podmiot przetwarzający dane osobowe na zlecenie administratora danych.
§ 2
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. COI powierza Wykonawcy przetwarzanie danych osobowych osób fizycznych, w zakresie zbioru/ zbiorów wymienionego/wymienionych w § 1 ust. 2 pkt 1) Umowy („Dane Osobowe”) w celach opisanych w ust. 3 poniżej oraz w sposób wskazany w Umowie.
2. Przedmiotem przetwarzania są Dane Osobowe określone w § 1 ust. 2 pkt 1) Umowy.
3. Wykonawca będzie przetwarzał Dane Osobowe wyłącznie w celu realizacji Umowy Głównej, tj. w celu świadczenia usług wsparcia prawnego w zakresie wynikającym z Umowy Głównej. Przetwarzanie Danych Osobowych przez Wykonawcę będzie odbywać się wyłącznie na udokumentowane polecenie COI wydane w związku ze Zleceniem, o którym mowa w § 3 ust. 5 Umowy Głównej („Zlecenie”).
4. Przetwarzanie przez Wykonawcę powierzonych Danych Osobowych będzie miało charakter tymczasowy tj. obejmować będzie okres realizacji zadań związanych ze Zleceniem.
5. Wykonawca jest uprawniony do przetwarzania Danych Osobowych poprzez wykonywanie wszelkich czynności uzasadnionych wykonywaniem Zleceń w ramach Umowy Głównej oraz poleceń i instrukcji COI pozostających w związku z tymi Zleceniami, w szczególności Wykonawca jest uprawniony do: utrwalania, zwielokrotniania, przechowywania i udostępniania Danych Osobowych w zakresie i na zasadach wynikających z Umowy i Umowy Głównej oraz poleceń i instrukcji COI.
6. Wykonawca będzie przetwarzał Xxxx Xxxxxxx w następujących lokalizacjach:
………………. [adresy miejsc w których będą przetwarzane dane osobowe]. Wykonawca niezwłocznie poinformuje COI o wszelkich zmianach lokalizacji, w których przetwarzane są Dane Osobowe.
7. Wykonawca zapewni, że przetwarzanie Danych Osobowych przez Wykonawcę i jego ewentualnych podwykonawców, będzie się odbywało wyłącznie na terytorium Polski.
8. Wykonawca może powierzyć przetwarzanie Danych Osobowych, następującym podmiotom trzecim (podwykonawcom):
1) [dane identyfikujące podwykonawcę: firma, adres, NIP];
2) [dane identyfikujące podwykonawcę: firma, adres, NIP].
9. Wykonawca może powierzyć przetwarzanie Danych Osobowych także innym podmiotom niż wymienione w ust. 8 powyżej, wyłącznie po uzyskaniu odrębnej, pisemnej zgody COI na dalsze powierzenie przetwarzania Danych Osobowych danemu podmiotowi oraz z zastrzeżeniem nałożenia na taki podmiot takich samych obowiązków ochrony danych jakie zostały nałożone na Wykonawcę w Umowie.
10. Wykonawca może udzielać i odwoływać upoważnienia do przetwarzania Danych Osobowych z uwzględnieniem wskazanych w niniejszym postanowieniu zasad. Wykonawca zobowiązuje się udzielać dostępu do Danych Osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Wykonawcy upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy Głównej oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Wykonawcy, która ma dostęp do Danych Osobowych, przetwarzała je wyłącznie na polecenie Wykonawcy, chyba że przetwarzanie
jest wymagane przez właściwe przepisy krajowe lub unijne. Wzór upoważnienia oraz odwołania upoważnienia stanowią odpowiednio załączniki nr 3 i 4 do Umowy.
11. W każdym przypadku dalszego powierzenia przetwarzania Danych Osobowych na podstawie ust. 8 9, Wykonawca ma obowiązek niezwłocznie przekazać COI informacje o dacie zawarcia umowy dalszego powierzenia przetwarzania Danych Osobowych, firmie, adresie siedziby podwykonawcy oraz adresie rzeczywistego przetwarzania Danych Osobowych przez podwykonawcę. W przypadku jakichkolwiek zmian w zakresie wykorzystywanych podwykonawców, miejsca przetwarzania przez nich Danych Osobowych, ich danych identyfikacyjnych lub kontaktowych, Wykonawca jest zobowiązany niezwłocznie poinformować o nich COI.
12. COI może wycofać zgodę na dalsze powierzenie przetwarzania Danych Osobowych podwykonawcom, o których mowa w ust. 8 i 9 powyżej oraz wydać wiążące Wykonawcę polecenie odwołania upoważnienia do przetwarzania Danych Osobowych osobom fizycznym, o których mowa w ust. 10, jeśli z okoliczności wynika, że przetwarzanie przez nich Danych Osobowych odbywa się niezgodnie z prawem, Umową lub zagraża bezpieczeństwu Danych Osobowych. W takich przypadkach Wykonawca jest zobowiązany niezwłocznie doprowadzić do zaprzestania przetwarzania Danych Osobowych przez te podmioty lub osoby.
13. Wykonawca ponosi wobec COI odpowiedzialność za działania i zaniechania podmiotów i osób, o których mowa w ust. 8, ust. 9 i ust. 10 w zakresie regulowanym Umową jak za własne. W przypadku gdyby w wyniku działania lub zaniechania tych podmiotów lub osób COI poniósł szkodę, Wykonawca zobowiązuje się do jej naprawienia.
§ 3
ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. Przy przetwarzaniu Danych Osobowych Wykonawca zobowiązany jest do przestrzegania obowiązujących przepisów prawa, w tym przepisów o ochronie danych osobowych mających zastosowanie, postanowień Umowy i Umowy Głównej. W szczególności Wykonawca jest zobowiązany do:
a) przetwarzania powierzonych przez COI Danych Osobowych wyłącznie w zakresie określonym
w § 1 ust. 2 pkt 1) Umowy i celu określonym w § 2 ust. 3 Umowy na udokumentowane polecenie COI, chyba że obowiązek przetwarzania w inny sposób nakładają na Wykonawcę przepisy prawa;
b) poinformowania COI, przed rozpoczęciem przetwarzania, o obowiązku prawnym skutkującym koniecznością przetwarzania Danych Osobowych inaczej niż na udokumentowane polecenie COI, chyba że przepisy prawa zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny;
c) zabezpieczenia Danych Osobowych poprzez zastosowanie odpowiednich, wymaganych przez obowiązujące przepisy prawa mające zastosowanie, środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa przetwarzanych Danych Osobowych, odpowiadający ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w tym zabezpieczenia Danych Osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym
ujawnieniem lub nieuprawnionym dostępem do Danych Osobowych, przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
d) wdrożenia wymaganych obowiązującymi przepisami prawa mającymi zastosowanie środków zapewniających poufność, integralność, dostępność Danych Osobowych i odporność systemów wykorzystanych do ich przetwarzania, w szczególności poprzez pseudonimizację i szyfrowanie Danych Osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów w których przetwarzane są Dane Osobowe, zapewnienia zdolności do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie wystąpienia incydentu fizycznego lub technicznego;
e) regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania Danych Osobowych;
f) przeszkolenia w zakresie ochrony danych osobowych osób, które będą przetwarzały dane osobowe;
g) dopuszczenia do przetwarzania Danych Osobowych, w tym obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, wyłącznie osób posiadających imienne upoważnienie od Wykonawcy
h) zgłaszania COI przypadków naruszenia Ochrony Danych osobowych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od powzięcia informacji o naruszeniu.
i) zapewnienia kontroli nad prawidłowością przetwarzania Danych Osobowych;
j) prowadzenia dokumentacji przetwarzania Danych Osobowych na zasadach określonych w obowiązujących przepisach prawa mających zastosowanie, w tym – prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz dokumentacji opisującej środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, prowadzenia ewidencji osób upoważnionych przez Wykonawcę do przetwarzania danych osobowych oraz prowadzenia ewidencji umów z podmiotami, o których mowa w § 2 ust. 8 i ust. 9 Umowy;
k) pomagania COI, z uwzględnieniem charakteru przetwarzania, w wywiązywaniu się z jego obowiązków odpowiadania na żądania osób, których dane dotyczą w zakresie wykonywania przez nich praw określonych w powszechnie obowiązujących przepisach prawa mających zastosowanie.
l) pomagania COI, z uwzględnieniem charakteru przetwarzania oraz dostępnych mu informacji, w wywiązywaniu się przez COI z innych nałożonych na niego obowiązującymi przepisami o ochronie danych mających zastosowanie obowiązków;
m) przestrzegania warunków korzystania z podwykonawców określonych w Umowie oraz przepisach o ochronie danych mających zastosowanie;
n) zapewnienia, aby osoby upoważnione do przetwarzania Danych Osobowych zachowały w tajemnicy Dane Osobowe oraz informacje o stosowanych sposobach ich zabezpieczania, również po zakończeniu realizacji zadań związanych ze Zleceniem oraz po rozwiązaniu lub wygaśnięciu Umowy, między innymi poprzez poinformowanie ich o prawnych konsekwencjach naruszenia poufności danych oraz odebranie od tych
osób oświadczeń o odbytym przez nich szkoleniu z zakresu ochrony danych osobowych oraz zachowaniu w tajemnicy tych danych;
o) nadzorowania podmiotów i osób, o których mowa w § 2 ust. 8, ust. 9 i ust. 10 w zakresie zabezpieczenia powierzonych im do przetwarzania Danych Osobowych.
p) poinformowania COI o wszelkich przypadkach naruszenia obowiązków dotyczących ochrony powierzonych do przetwarzania Danych Osobowych, naruszenia tajemnicy Danych Osobowych lub ich niewłaściwego wykorzystania oraz o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony Danych Osobowych prowadzonych w szczególności przez Policję lub sąd.
2. Wykonawca zobowiąże podmioty i osoby, o których mowa w § 2 ust. 8, ust. 9 i ust. 10 Umowy w zakresie dokumentów zawierających Dane Osobowe do:
a) korzystania jedynie z dokumentów niezbędnych do realizacji zadań związanych ze Zleceniem;
b) przechowywania dokumentów w czasie nie dłuższym niż czas niezbędny do wykonania zadań związanych ze Zleceniem;
c) nietworzenia kopii dokumentów innych, niż niezbędne do realizacji zadań związanych ze Zleceniem;
d) zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania danych osobowych, przetwarzaniem z naruszeniem ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Wykonawca zapewni, że jego podwykonawcy będą spełniać, w zakresie przetwarzania Danych Osobowych, wszystkie wymagania ochrony danych osobowych wynikające z przepisów prawa i postanowień Umowy. W szczególności Wykonawca zawrze z podwykonawcami umowy, w których zagwarantuje standard przetwarzania przez podwykonawców Danych Osobowych nie niższy niż określony w Umowie.
4. Wykonawca zapewni, że jego podwykonawcy umożliwią na żądanie COI, przeprowadzenie przez COI kontroli przetwarzania przez podwykonawców Danych Osobowych, odpowiednio do zasad określonych w ust. 5 – 7.
5. Wykonawca zobowiązany jest do umożliwienia przeprowadzenia przez właściwy, uprawniony organ kontroli zgodności przetwarzania Danych Osobowych z przepisami prawa na zasadach opisanych w obowiązujących przepisach o ochronie danych osobowych mających zastosowanie oraz innych przepisach właściwych.
6. Wykonawca zobowiązany jest do umożliwienia COI lub upoważnionemu przez niego audytorowi przeprowadzenia audytów, w tym inspekcji oraz do należytego współdziałania w czynnościach kontrolnych. W szczególności Wykonawca zobowiązany jest do udostępnienia i przekazania COI wszelkich informacji niezbędnych do wykazania spełnienia przez COI obowiązków związanych z korzystaniem z usług Wykonawcy, wynikających z obowiązujących przepisów dotyczących ochrony danych osobowych mających zastosowanie, w tym do:
1) udostępnienia COI dokumentacji przetwarzania Danych Osobowych;
2) udostępnienia COI [opis zasobów potrzebnych do przeprowadzenia kontroli, np. pomieszczeń, pracowników posiadających informacje o sposobie przetwarzania danych osobowych, itp.];
3) umożliwienia COI sporządzania kopii dokumentów, dotyczących przetwarzania Danych Osobowych.
4) składania pisemnych i ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego niezbędnego do sporządzenia wniosków i zaleceń audytu, w tym inspekcji;
7. Jeżeli w ocenie Wykonawcy polecenie wydane mu w związku z przeprowadzeniem przez COI audytu, o którym mowa w ust. 5 powyżej stanowi naruszenie przepisów o ochronie danych, Wykonawca niezwłocznie informuje o tym COI.
8. COI jest uprawniony do przeprowadzenia audytów, w tym inspekcji za pośrednictwem zewnętrznego audytora, który może egzekwować od Wykonawcy zobowiązania opisane w ust. 5 powyżej.
9. Po przeprowadzeniu audytu COI przedkłada Wykonawcy protokół, w którym wskazuje na zakres ewentualnych niezgodności zakresu, celów i sposobu przetwarzania Danych Osobowych oraz może sformułować zalecenia poaudytowe, które Wykonawca obowiązany jest zrealizować.
§ 4
WYNAGRODZENIE
1. Wynagrodzenie należne Wykonawcy na podstawie Umowy Głównej obejmuje wynagrodzenie należne z tytułu Umowy.
2. Wykonawca nie jest uprawniony do żądania od COI oraz od Ministra Cyfryzacji jakiegokolwiek dodatkowego wynagrodzenia lub zwrotu kosztów poniesionych w związku z wykonywaniem Umowy.
§ 5
OKRES OBOWIĄZYWANIA UMOWY
1. Umowa zawarta została na czas wykonywania Umowy Głównej. Umowa wygasa z chwilą wygaśnięcia lub rozwiązania Umowy Głównej.
2. Z dniem podpisania protokołu odbioru Zlecenia przez MC lub odstąpienia od Zlecenia, Wykonawca zobowiązany jest do:
1) zaprzestania wszelkiego przetwarzania Danych Osobowych przekazanych w związku z realizacją Zlecenia, chyba że COI wyznaczy Wykonawcy dłuższy termin nieprzekraczający 30 dni kalendarzowych liczonych od daty podpisania przez MC protokołu odbioru Zlecenia lub odstąpienia od Zlecenia;
2) zwrotu lub usunięcia, zgodnie z wyborem COI, wszystkich posiadanych Danych Osobowych niezależnie od formy ich utrwalenia, chyba że COI wyznaczy Wykonawcy dłuższy termin nieprzekraczający 30 dni kalendarzowych liczonych od daty podpisania przez MC protokołu odbioru Zlecenia lub odstąpienia od Zlecenia oraz pod warunkiem, że przepisy obowiązującego prawa mającego zastosowanie nie nakazują przechowywanie tych danych.
3. Wykonawca, na żądanie COI zapewni dostęp do własnych urządzeń, na których przetwarzane były Dane Osobowe, w celu sprawdzenia czy dane zostały zwrócone lub usunięte zgodnie z ust. 2.
4. Wykonawca ponosi odpowiedzialność za naruszenie zasad przetwarzania Danych Osobowych na podstawie Umowy i Umowy Głównej oraz na zasadach określonych w przepisach prawa powszechnie obowiązującego.
5. Zwrot posiadanych Danych Osobowych, o którym mowa w ust. 2 pkt. 2) nastąpi na podstawie sporządzonego przez Strony Protokołu zwrotu Danych Osobowych.
6. Usunięcie posiadanych Danych Osobowych, o którym mowa w ust. 2 pkt. 2) nastąpi poprzez usunięcie ich z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenie nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których Dane Osobowe zostały utrwalone. Usunięcie danych powinno zostać potwierdzone stosownym, podpisanym przez obie Strony, protokołem.
§ 6
POSTANOWIENIA KOŃCOWE
1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności, w postaci Xxxxxx do Umowy.
2. Wszelka korespondencja związana z Umową kierowana będzie na zasadach opisanych w Umowie Głównej.
3. Strony postanawiają, że wszelkie spory wynikłe w związku z zawarciem lub wykonaniem Umowy rozstrzygane będą przez sąd powszechny miejscowo właściwy dla siedziby COI.
4. Umowa została zawarta w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
5. W sprawach nieuregulowanych w Umowie stosuje się powszechnie obowiązujące przepisy o ochronie danych osobowych, mające zastosowanie oraz inne właściwe przepisy mające zastosowanie na gruncie prawa polskiego.
6. Załączniki stanowią integralną część Umowy.
Załączniki:
1. Dokument potwierdzający umocowanie przedstawiciela COI do zawarcia Umowy.
2. Dokument potwierdzający umocowanie przedstawiciela Wykonawcy do zawarcia Umowy.
3. Upoważnienie do przetwarzania powierzonych do przetwarzania danych osobowych – wzór.
4. Odwołanie upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych – wzór.
5. Maksymalny zakres zbioru „…”
6. Zakres zbioru „ ”.
Załącznik nr 3 do Umowy: Wzór upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych.
UPOWAŻNIENIE Nr ………
do przetwarzania powierzonych do przetwarzania danych osobowych Z dniem …..… r. upoważniam Pana/nią …………………………………………..
do przetwarzania danych osobowych powierzonych do przetwarzania przez COI na podstawie Umowy nr ………………….z dnia …………………………. w sprawie powierzenia przetwarzania danych osobowych.
Upoważnienie wygasa z chwilą zaprzestania świadczenia przez Pana/ Panią usług/ pracy, w związku z którymi nastąpiło powierzenie Panu/ Pani danych osobowych lub z chwilą jego odwołania.
………………………………………… (Podpis upoważniającego)
Oświadczam, że zapoznałem/am się z przepisami dotyczącymi ochrony danych osobowych, a także z obowiązującymi u …………………… regulacjami dotyczącymi ochrony danych osobowych i zobowiązuję się do ich przestrzegania.
Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych, z którymi zapoznałem się oraz sposobów ich zabezpieczania, zarówno w okresie świadczenia usług/ pracy, jak też po ustaniu świadczenia tych usług/ pracy.
…………………………………
(data i czytelny podpis osoby upoważnionej)
Upoważnienie otrzymałem/am
………………………………… (miejscowość, data, podpis)
Załącznik nr 4 do Umowy: Wzór odwołania upoważnienia do przetwarzania powierzonych do przetwarzania danych
osobowych.
ODWOŁANIE UPOWAŻNIENIA Nr ………..
do przetwarzania powierzonych do przetwarzania danych osobowych
Z dniem ………………………………….. r., odwołuję upoważnienie Pana/Pani*
……………………………………………………… nr do przetwarzania danych osobowych
wydane w dniu……………………………..
……………………………………………………………………
(czytelny podpis osoby upoważnionej do odwołania upoważnienia, miejscowość, data)