UMOWA powierzenia przetwarzania danych osobowych
UMOWA
powierzenia przetwarzania danych osobowych
zawarta w Gdańsku w dniu r. pomiędzy:
Gdańską Fundacją Przedsiębiorczości z siedzibą w Gdańsku, xx. Xxxxxxxx 0x, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Gdańsk – Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem: 0000234045, NIP 000-000-00-00, reprezentowaną przez:
1) Xxxxx Xxxxxx – Prezesa Zarządu,
2) Xxxxxxxxx Xxxxxxxxx – Wiceprezesa Zarządu, zwaną dalej „Zamawiającym”
a
firmą audytorską ……………………………………………………………………… wpisaną na listę firm audytorskich Polskiej Agencji Nadzoru Audytowego pod numerem ………………………, mającą siedzibę w ……………………, ul ,
NIP , reprezentowaną przez:
………………………………………
……………………………………… zwaną dalej „Wykonawcą”
Zważywszy, że w dniu ………………………….. r. Strony zawarły Umowę nr
…………………………………. o badanie sprawozdania finansowego ( zwaną dalej: Umową) oraz że wykonanie Umowy wiąże się z ujawnieniem Wykonawcy danych osobowych, których administratorem jest Zamawiający, Xxxxxx postanowiły zawrzeć umowę powierzenia przetwarzania danych osobowych ( zwaną dalej: umową powierzenia) o następującej treści:
§ 1
Definicje
1. Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
2. Państwo trzecie – Państwo poza Europejskim Obszarem Gospodarczym,
3. Podejrzenie naruszenia ochrony danych osobowych – przypuszczenie, że na skutek wystąpienia zdarzenia lub zdarzeń wpływających na bezpieczeństwo informacji mogło dojść do naruszenia ochrony danych osobowych powierzonych do przetwarzania,
4. Podwykonawca przetwarzający - podmiot, któremu Wykonawca powierzył w całości lub częściowo przetwarzanie danych osobowych, jako konsekwencję realizowania swojej umowy powierzenia z Zamawiającym (podprocesor),
5. Przetwarzanie danych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
6. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
7. Umowa – umowa o badanie sprawozdania finansowego za rok obrotowy 2021 nr ……………………
z dnia r.
§ 2
Przedmiot umowy powierzenia, cel, zakres
1. Na warunkach określonych w niniejszej umowie powierzenia Zamawiający powierza Wykonawcy przetwarzanie danych osobowych następujących kategorii osób:
a. pracownicy,
b. współpracownicy,
x. xxxxxxx,
d. dostawcy,
e. wykonawcy
a Wykonawca zobowiązuje się do ich przetwarzania w sposób zgodny z prawem oraz postanowieniami niniejszej umowy powierzenia.
2. Wykonawca zobowiązuje się do przetwarzania powierzonych mu danych osobowych jedynie w celach, zakresie i czasie wskazanych w Załączniku nr 1 do umowy powierzenia.
§ 3
Oświadczenia i zobowiązania Stron
1. Zamawiający oświadcza, że jest administratorem danych osobowych powierzonych do przetwarzania Wykonawcy w rozumieniu art. 4 pkt. 7) RODO.
2. Wykonawca jest podmiotem przetwarzającym, w rozumieniu art. 4 pkt. 8) RODO względem danych o których mowa w ust. 1 niniejszego paragrafu.
3. Zamawiający zleca Wykonawcy przetwarzanie danych w kategoriach czynności wskazanych w Załączniku nr 1 do niniejszej umowy powierzenia.
4. Wykonawca zobowiązuje się do:
1) przed rozpoczęciem przetwarzania danych powierzonych wdrożenia środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa przetwarzanym danym osobowym odpowiadający zidentyfikowanemu ryzyku naruszenia praw lub wolności osób fizycznych, w szczególności ryzyku wynikającemu z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
2) przeprowadzenia analizy ryzyka przed wdrożeniem środków, o których mowa w pkt. 1) niniejszego ustępu,
3) przy przetwarzaniu danych osobowych stosowania zasad wskazanych w art. 25 RODO,
4) przed rozpoczęciem przetwarzania zobowiązania do zachowania poufności wszystkich osób mających dostęp do danych osobowych.
5. Wykonawca oświadcza, że:
1) ustanowił i wdrożył procedurę postępowania z incydentami w tym z naruszeniami ochrony danych osobowych,
2) nie przekazuje danych osobowych powierzonych do przetwarzania do państwa trzeciego lub organizacji międzynarodowej,
3) wykonał ocenę skutków w zakresie przetwarzania danych osobowych powierzonych do przetwarzania, w przypadkach o których mowa w art. 35 RODO i wdrożył odpowiednie zabezpieczenia,
4) prowadzi rejestr czynności przetwarzania w stosunku do danych osobowych których jest administratorem oraz będzie prowadził rejestr kategorii czynności przetwarzania w stosunku do danych osobowych powierzonych na mocy niniejszej umowy przetwarzania.
§ 4
Prawa i obowiązki Stron
1. Wykonawca na polecenie Zamawiającego jest obowiązany do bezzwłocznego sprostowania, aktualizacji, ograniczenia przetwarzania lub usunięcia danych osobowych wskazanych przez Zamawiającego.
2. Wykonawca na polecenie Zamawiającego przekaże wszelkie informacje związane z procesem przetwarzania powierzonych danych osobowych potrzebnych do zrealizowania przez Zamawiającego żądania osoby, której dane dotyczą, wynikającego z rozdziału III RODO.
Wykonawca przekaże informacje w ciągu 7 dni kalendarzowych od wpłynięcia żądania od Zamawiającego, a jeżeli nie zrealizuje polecenia w tym terminie wskaże przyczyny opóźnienia i zaproponuje ostateczny termin realizacji polecenia. Wykonawca przekazuje informacje w sposób wskazany przez Xxxxxxxxxxxxx w przekazanym poleceniu.
3. Wykonawca bezzwłocznie, nie później niż w ciągu 24 godzin od zaistnienia, powiadomi Zamawiającego o wszelkich podejrzeniach naruszenia ochrony danych osobowych, których administratorem jest Zamawiający. Powiadomienie zostanie wysłane na adres e-mail Zamawiającego wskazany w paragrafie 10 ust. 2 pkt. 1) umowy powierzenia. Wzór powiadomienia stanowi Załącznik nr 2 do niniejszej umowy powierzenia.
4. Jeżeli Zamawiający na podstawie informacji przekazanych przez Wykonawcę stwierdzi, że doszło do naruszenia ochrony danych osobowych, Wykonawca przekaże Zamawiającemu wszelkie informacje o naruszeniu, które są wymagane do skutecznego zrealizowania przez Zleceniodawcę obowiązków o których mowa w art. 33 i 34 RODO.
5. Wykonawca jest zobowiązany do niezwłocznego zawiadomienia Zamawiającego o jakimkolwiek incydencie, postępowaniu a także o wszelkich planowanych lub realizowanych kontrolach dotyczących przetwarzania danych osobowych u Wykonawcy, w szczególności prowadzonych przez Urząd Ochrony Danych Osobowych.
§ 5
Przetwarzanie danych przez Podwykonawcę przetwarzającego
1. Zamawiający wyraża zgodę na wtórne powierzenie przetwarzania danych osobowych Podwykonawcom przetwarzającym w celu realizacji niniejszej umowy powierzenia.
2. Wykonawca przed rozpoczęciem przetwarzania danych osobowych, których administratorem jest Zamawiający, przekazuje Zamawiającemu listę Podwykonawców przetwarzających, z których usług będzie korzystał przy przetwarzaniu danych. Wzór listy Podwykonawców przetwarzających stanowi Załącznik nr 3 do niniejszej umowy powierzenia.
3. Wykonawca informuje Xxxxxxxxxxxxx o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Podmiotu przetwarzającego nie później niż 14 dni przed planowanym terminem zmiany. Zamawiający może wnieść sprzeciw wobec zmiany lub dodania Podwykonawcy przetwarzającego, a w razie nieuwzględnienia sprzeciwu – Zamawiający ma prawo rozwiązać umowę powierzenia oraz Umowę w trybie natychmiastowym.
4. Wykonawca przekazuje Zamawiającemu informację, o której mowa w ustępie poprzedzającym na adres e-mail wskazany w paragrafie 10 ust. 2 pkt. 1) umowy powierzenia.
5. Wykonawca oświadcza, że przed przekazaniem danych Podwykonawcy przetwarzającemu zweryfikował i stwierdził zgodność działania tego Podwykonawcy przetwarzającego z wymaganiami RODO.
6. Wykonawca zobowiązuje się powiadomić Podmioty przetwarzające o konieczności sprostowania, aktualizacji, ograniczenia przetwarzania lub usunięcia danych osobowych ujawnionych przez Zamawiającego.
§ 6
Odpowiedzialność Podmiotu przetwarzającego
1. Wykonawca zobowiązuje się do bezterminowego zachowania poufności wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zamawiającego
2. Wykonawca gwarantuje, że każda osoba realizująca Umowę zobowiązana jest do bezterminowego zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym. Jednocześnie każda osoba realizująca Umowę zobowiązana jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych.
3. Wykonawca odpowiada za działania i zaniechania Podwykonawców przetwarzających, swoich pracowników oraz wszelkich osób uczestniczących z ramienia Zamawiającego w procesie przetwarzania danych osobowych powierzonych do przetwarzania na mocy niniejszej umowy powierzenia jak za działania i zaniechania własne.
4. Wykonawca ponosi odpowiedzialność odszkodowawczą wobec osób, których dane przetwarza lub przetwarzał i wobec Zamawiającego, jeżeli szkoda powstała w wyniku naruszenia ochrony danych
osobowych, jakie wystąpiło z przyczyn leżących po stronie Wykonawcy lub osób, przy pomocy których Wykonawca wykonywał Umowę.
5. Jeżeli Wykonawca przetwarza ujawnione przez Zamawiającego dane osobowe do innych celów i innymi sposobami niż wskazane przez Zamawiającego, uznaje się go za administratora danych osobowych w odniesieniu do tego przetwarzania.
6. Wykonawca deklaruje stosowanie środków technicznych i organizacyjnych określonych w art. 32 Rozporządzenia, jako adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych danych osobowych.
§ 7
Kontrola prawidłowości wykonania umowy powierzenia
1. Wykonawca wyraża zgodę na wykonywanie przez Zamawiającego lub przez upoważniony przez Zamawiającego podmiot kontroli prawidłowości przetwarzania danych osobowych przekazanych przez Zamawiającego z wymaganiami RODO oraz postanowieniami niniejszej umowy powierzenia.
2. Czynności kontrolne realizowane będą w sposób uzgodniony pomiędzy Stronami.
3. W trakcie przeprowadzenia kontroli i w granicach prawem dopuszczonych Wykonawca zobowiązany jest udzielić osobom kontrolującym niezbędnych wyjaśnień i informacji związanych z wykonaniem niniejszej umowy powierzenia.
§ 8
Czas trwania umowy powierzenia
1. Niniejsza umowa powierzenia zostaje zawarta na czas trwania Umowy.
2. Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania niniejszej umowy przetwarzania lub Umowy.
3. Wykonawca nie później niż 30 dni po rozwiązaniu lub wygaśnięciu umowy powierzenia usunie lub zwróci dane osobowe powierzone do przetwarzania przez Zamawiającego z zastrzeżeniem postanowień ustępu 4 niniejszego paragrafu.
4. Jeżeli Wykonawca przetwarza dane osobowe powierzone do przetwarzania w celu wykonania kopii zapasowej, to te dane zostaną usunięte z kopii zapasowych nie później niż po 90 dniach od dnia rozwiązania lub wygaśnięcia umowy powierzenia.
5. Na żądanie Zamawiającego, Wykonawca po usunięciu danych osobowych z własnych zasobów przekaże Zamawiającemu oświadczenie o usunięciu danych osobowych.
§ 9
Rozwiązanie umowy powierzenia
1. Zamawiający może rozwiązać niniejszą umowę powierzenia, gdy Wykonawca bądź osoby za których działania i zaniechania odpowiada jak za własne przetwarzają dane osobowe niezgodnie z RODO lub umową powierzenia.
2. W sytuacji, gdy Wykonawca podpowierzy przetwarzanie danych osobowych innemu podmiotowi bez zgody Zamawiającego, bądź dokona zmiany podwykonawcy przetwarzającego niezgodnie z procedurą wskazaną w § 5 ust 3 niniejszej umowy powierzenia, Zamawiający może rozwiązać niniejszą umowę w trybie natychmiastowym.
3. Rozwiązanie umowy może nastąpić, gdy pomimo zobowiązania Wykonawca nie usunął uchybień wykazanych podczas przeprowadzonej przez Xxxxxxxxxxxxx kontroli w zakresie zgodności z RODO i umową powierzenia.
§ 10
Doręczenia, bieżący kontakt Stron
1. Strony podają adresy do doręczeń jak w komparycji umowy powierzenia. Każda ze Stron zobowiązana jest do powiadomienia drugiej Strony o zmianie adresu do doręczeń pod rygorem uznania, że korespondencja skierowana pod ostatnio podany adres zostanie uznana za skutecznie doręczoną z dniem pierwszego awiza.
2. Strony wyznaczają następujące osoby do bieżących kontaktów w związku z realizacją niniejszej Umowy:
1) Zamawiający: Xxxx Xxxxxxxx-Xxxxx, tel. : 00 0000000, e-mail: x.xxxxxxxx-xxxxx@xxx.xxx.xx
2) Wykonawca: …………………………, tel. : ………………, e-mail: ……………………………….
§ 11
Postanowienia końcowe
1. Wszelkie zmiany niniejszej umowy powierzenia powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych umową powierzenia, zastosowanie znajdują przepisy Kodeksu cywilnego oraz RODO.
3. Spory wynikłe na tle niniejszej umowy powierzenia będzie rozstrzygał Sąd właściwy ze względu na siedzibę Zleceniodawcy.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Załącznik nr 1 – Cel i zakres przetwarzania danych osobowych.
Załącznik nr 2 – Wzór powiadomienia o podejrzeniu naruszenia ochrony danych osobowych. Załącznik nr 3 - Wzór listy Podwykonawców przetwarzających.
................................ .................................
Podpis Zamawiającego Podpis Wykonawcy
Załącznik 1 Cel, zakres i czas przetwarzania danych osobowych
1. Cel przetwarzania danych osobowych
przeprowadzenia badania sprawozdania finansowego Gdańskiej Fundacji Przedsiębiorczości za rok obrotowy 2021, w wyniku którego biegły rewident sporządzi na piśmie sprawozdanie z przeprowadzonego badania zgodnie z krajowymi standardami badania.
2. Kategorie osób, których dane są powierzane do przetwarzania
a. pracownicy,
b. współpracownicy,
x. xxxxxxx,
d. dostawcy,
e. wykonawcy
3. Kategorie danych osobowych, które mogą być powierzone do przetwarzania:
• Imię i nazwisko
• Numer identyfikacyjny
• Dane o lokalizacji
• Adres e-mail, numer telefonu
4. Kategorie czynności przetwarzania danych osobowych
• przeglądanie
• przechowywanie
5. Czas przetwarzania danych
Dane osobowe przetwarzane będą przez okres 5 lat od daty zamknięcia akt badania, z tym, że w przypadku wszczęcia postępowania dyscyplinarnego lub postępowania w sprawie odpowiedzialności firmy audytorskiej okres przechowywania dokumentacji, akt badania lub też innych dokumentów istotnych dla oceny zgodności działalności firmy audytorskiej lub biegłych rewidentów z przepisami ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym lub rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 537/2014 w sprawie szczegółowych wymogów dotyczących ustawowych badań sprawozdań finansowych jednostek interesu publicznego, uchylające decyzję Komisji 2005/909/WE ulegnie wydłużeniu do czasu przedawnienia okresu karalności przewinienia dyscyplinarnego.
Załącznik nr 2 - Wzór powiadomienia o podejrzeniu naruszenia ochrony danych osobowych
1. Podmiot zgłaszający:
2. Podmiot którego dotyczy naruszenie:
3. Czas naruszenia:
4. Charakter naruszenia:
5. Środki bezpieczeństwa zastosowane przed naruszeniem:
6. Możliwe konsekwencje:
7. Środki zaradcze:
Załącznik nr 3 - Wzór listy podwykonawców przetwarzających
LP | Nazwa Podmiotu | Kontakt | Zakres przetwarzania DO |
1. | |||
2. | |||
3. | |||
4. | |||
5. |