UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
WAG.2710.0143.2022 D2022.04.00228
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu 2022 r. w Kaliszu pomiędzy:
Miastem Kalisz – Prezydentem Miasta Kalisza, Główny Rynek 20, 62-800 Kalisz, NIP 000-000-00-00 reprezentowanym przez:
zwanym dalej „Administratorem”
a
…………………………………………………………………………………………………..
z siedzibą w …………………… przy ulicy ,
NIP……………………
reprezentowanym przez:
zwanym dalej „Podmiotem przetwarzającym”
zwanymi każdy z osobna „Stroną”, a łącznie „Stronami”.
Stosownie do art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), zwanego dalej „RODO”, w związku z zawartą pomiędzy Stronami umową nr ... z dnia
…………………... 2022 r., zwaną dalej „Umową główną”, z realizacją której wiąże się przetwarzanie przez Podmiot przetwarzający danych osobowych w imieniu Administratora, Strony zawierają umowę, zwaną dalej
„Umową” o następującej treści:
§ 1.
Przedmiot przetwarzania.
Administrator powierza do przetwarzania w swoim imieniu Xxxxxxxxxx przetwarzającemu dane osobowe w związku z realizacją zawartej pomiędzy Stronami Umowy głównej, przedmiotem której jest świadczenie usługi załadunku, przewozu i rozładunku dokumentacji oraz sprzętu komputerowego zgodnie z § 1 Umowy głównej. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.
§ 2.
Czas trwania przetwarzania.
Czas trwania przetwarzania obejmuje okres obowiązywania Umowy głównej.
§ 3.
Charakter i cel przetwarzania.
1. Przetwarzanie danych przez Podmiot przetwarzający będzie miało charakter doraźny, który wynika z zawartej pomiędzy Stronami Umowy głównej i określony jest rolą Podmiotu przetwarzającego jako podmiotu świadczącego w sposób doraźny usługi załadunku, przewozu i rozładunku dokumentacji oraz sprzętu komputerowego zgodnie z § 1 Umowy głównej.
2. Przetwarzanie danych osobowych odbywać się będzie w formie papierowej.
3. Przetwarzanie obejmować będzie takie operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób niezautomatyzowany, jak w szczególności przenoszenie, przewożenie, przechowywanie, oraz inne niezbędne do wykonania przedmiotu Umowy głównej.
4. Dane osobowe przetwarzane będą w celu realizacji Umowy głównej.
§ 4.
Rodzaj danych osobowych oraz kategorie osób, których dane dotyczą.
Administrator, zgodnie z art. 28 ust. 3 RODO, poleca Podmiotowi przetwarzającemu przetwarzanie w jego imieniu danych osobowych zawartych w dokumentach Administratora w zakresie niezbędnym do realizacji Umowy głównej.
§ 5.
Obowiązki i prawa Administratora.
1. Administrator w związku z realizacją Umowy przekaże Podmiotowi przetwarzającemu wszelkie niezbędne do realizacji Umowy informacje i zapewni uzyskanie bezpiecznego dostępu do powierzonych do przetwarzania danych osobowych lub przekaże Podmiotowi przetwarzającemu te dane w sposób zabezpieczony przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem powszechnie obowiązujących przepisów a także ich zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator lub upoważniony przez niego audytor ma prawo przeprowadzenia u Podmiotu przetwarzającego inspekcji, w celu weryfikacji spełnienia wynikających z niniejszej Umowy obowiązków.
3. Administrator ma prawo żądać od Podmiotu przetwarzającego wszelkich informacji niezbędnych do wykazania przez niego spełnienia obowiązków określonych w RODO, w związku z powierzeniem przetwarzania danych. Informacje te powinny zostać przekazane niezwłocznie, jednak nie później niż w ciągu 3 dni roboczych od dostarczenia Podmiotowi przetwarzającemu żądania.
§ 6.
Obowiązki Podmiotu przetwarzającego.
1. Przetwarzanie danych na udokumentowane polecenie administratora. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. Umowa główna jest traktowana jako udokumentowane polecenia Administratora. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora, jeżeli jego zdaniem wydane polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
2. Cel i sposób przetwarzania danych w imieniu Administratora. Podmiot przetwarzający może przetwarzać powierzone dane wyłącznie w celu i sposób określony w niniejszej Umowie.
3. Spełnienie wymagań wynikających z RODO. Podmiot przetwarzający uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia przed rozpoczęciem przetwarzania wdroży odpowiednie środki techniczne i organizacyjne by przetwarzanie danych w imieniu Administratora zapewniało stopień bezpieczeństwa odpowiadający zidentyfikowanemu ryzyku, spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (podejmuje wszelkie środki wymagane na mocy art. 32 RODO).
4. Zobowiązanie do zachowania tajemnicy. Podmiot przetwarzający zobowiązany jest do zachowania w tajemnicy danych do których będą miały dostęp jak również sposobów ich zabezpieczenia zarówno w okresie obowiązywania umowy jak również po jej ustaniu. Podmiot przetwarzający zobowiązany jest zapewnić, by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania w tajemnicy danych do których będą miały dostęp. Działania, o których mowa w zdaniu poprzednim polegać będą m. in. na nadaniu osobom zatrudnionym przy przetwarzaniu powierzonych danych upoważnienia do przetwarzania danych osobowych, zapoznaniu tych osób z przepisami o ochronie danych osobowych i z odpowiedzialnością za ich nieprzestrzeganie oraz odebraniu od tych osób stosownych oświadczeń zobowiązujących te osoby do bezterminowego zachowania w tajemnicy
danych osobowych oraz sposobów ich zabezpieczenia. Przetwarzający prowadzić będzie ewidencję osób, którym nadał upoważnienia do przetwarzania danych osobowych na podstawie Umowy.
5. Korzystanie z usług innych podmiotów przetwarzających. Podmiot przetwarzający w związku z realizacją Umowy nie może skorzystać z usług innego podmiotu przetwarzającego.
6. Pomoc w wywiązaniu się z obowiązków Administratora. Podmiot przetwarzający uwzględniając charakter przetwarzania zobowiązany jest w miarę możliwości oraz dostępnych jemu informacji pomóc Administratorowi wywiązać się z jego obowiązków określonych w art. 32-33 RODO.
7. Zawiadomienie Administratora o naruszeniu ochrony danych osobowych. Podmiot przetwarzający zobowiązany jest niezwłocznie, jednak nie później niż w terminie 36 godzin od stwierdzenia naruszenia, powiadomić Administratora o każdym stwierdzonym naruszeniu ochrony danych osobowych przetwarzanych w imieniu Administratora. Zgłoszenie powinno co najmniej:
1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
2. zawierać imię i nazwisko oraz dane kontaktowe pracownika od którego można uzyskać więcej informacji;
3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
4. opisywać środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
8. Udostępnienie Administratorowi informacje niezbędnych do wykazania przez niego spełnienia obowiązków określonych w RODO. Podmiot przetwarzający zobowiązany jest udostępnić Administratorowi wszelkie informacje niezbędne do wykazania przez niego spełnienia obowiązków określonych w RODO w związku z powierzeniem przetwarzania danych.
9. Audyty i inspekcje. Podmiot przetwarzający zobowiązany jest umożliwić Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzenie inspekcji oraz współpracować z nimi w zakresie ich realizacji w związku z realizacją Umowy głównej.
§ 7.
Zasady zachowania poufności.
Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji oraz danych, otrzymanych od Administratora oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”), w związku z realizacją Umowy głównej.
§ 8.
Odpowiedzialność.
1. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
2. Podmiot przetwarzający zostaje zwolniony z odpowiedzialności wynikającej z ust. 1, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
3. Administrator lub Podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych Administratorów lub Podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.
§ 9.
Współpraca stron.
1. Xxxxxx zobowiązują się współdziałać przy wykonaniu niniejszej Umowy.
2. Administrator informuje, że funkcję Inspektora ochrony danych pełni u niego: Xxx Xxxxxx Xxxxxxxxx tel.: 62/ 7654356 adres e-mail: xxx@xx.xxxxxx.xx.
§ 10.
Postanowienia końcowe.
1. Strony zobowiązują się wykonać obowiązki wynikające w niniejszej Umowy z należytą starannością.
2. Administrator może wypowiedzieć umowę ze skutkiem natychmiastowym, w przypadku rażącego naruszenia przez Podmiot przetwarzający postanowień Umowy, a w szczególności:
1. nie zrealizowania w wyznaczonym terminie zaleceń po przeprowadzonej inspekcji;
2. powierzenia przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu;
3. przetwarzania danych osobowych przez Podmiot przetwarzający niezgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora;
4. wyrządzenia przez Podmiot przetwarzający przy wykonaniu umowy szkody Administratorowi lub osobie, której dane Podmiot przetwarzający przetwarza na mocy umowy powierzenia;
5. wszczęcia przez organ nadzoru postępowania w związku z nie przestrzeganiem przez Podmiot przetwarzający przepisów o ochronie danych osobowych jeżeli dotyczy ono przetwarzania danych osobowych w imieniu Administratora.
3. Sądem właściwym do rozstrzygania wszelkich sporów wynikających z niniejszej Umowy jest Sąd właściwy dla siedziby Administratora.
4. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają obowiązujące przepisy dotyczące ochrony danych osobowych, w tym w szczególności RODO i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisy Kodeksu cywilnego.
5. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności, z zastrzeżeniem wyjątków przewidzianych w Umowie.
6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
………………………………………. ……………………………………….
Administrator Podmiot przetwarzający