Umowa powierzenia przetwarzania danych osobowych (wzór umowy)
Załącznik nr 7: Wzór umowy powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych (wzór umowy)
zawarta dnia pomiędzy: (zwana dalej „Umową”)
zwanym w dalszej części Umowy „Podmiotem przetwarzającym”
reprezentowanym przez:
oraz
Krakowskim Parkiem Technologicznym sp. z o.o. z siedzibą w Krakowie, ul. Podole 60, 30-394 Kraków, NIP 675-11- 57-834, REGON 351381295, wpisaną do wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, Wydział XI Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000058058, wysokość kapitału zakładowego: 17.567.000,00 zł, reprezentowaną przez:
1. .................................................... – .........................
2. .................................................... – .........................
zwaną w dalszej części Umowy „Administratorem danych” lub „Administratorem”
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 Ogólnego Rozporządzenia Parlamentu Europejskiego i Rady o Ochronie Danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „Rozporządzeniem” lub „RODO”) Dane Osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Przez Dane Osobowe rozumie się, zgodnie z art.4 pkt 1 RODO, wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a przez Przetwarzanie Danych Osobowych – wszelkie operacje lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu art. 4 pkt 2 RODO.
4. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
5. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO;
§ 2
Zakres i cel przetwarzania danych
1. Podmiot przetwarzający oświadcza, że:
a. dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie umowy, w tym zapewnia wystarczające gwarancje wdrożenia
odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi
RODO,
b. jest Podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO w ramach umowy, co oznacza że będzie przetwarzał Xxxx Xxxxxxx w imieniu Administratora;
c. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania Dane Osobowe niezbędne do realizacji niniejszej Umowy, a Podmiot przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową, wyłącznie w zakresie i w celu przewidzianym w Umowie;
2. Powierzone przez Administratora danych Dane Osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonania umowy z dnia zawartej w wyniku rozstrzygniętego w dniu Zapytania ofertowego z dnia _.
§ 3
Sposób wykonania Umowy w zakresie przetwarzania danych osobowych
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu
powierzonych danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych
wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy.
4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b Rozporządzenia przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
5. Po wygaśnięciu lub rozwiązaniu umowy Podmiot przetwarzający jest zobowiązany, zależnie od decyzji Administratora, do usunięcia lub zwrotu wszelkich danych osobowych oraz usunięcia wszelkich istniejących kopii oraz niezwłocznego trwałego usunięcia danych osobowych z informatycznych nośników danych będących jego własnością. Powyższe Podmiot przetwarzający zobowiązany jest potwierdzić pisemnym oświadczeniem doręczonym Administratorowi nie później niż w terminie 14 dni od wygaśnięcia lub rozwiązania umowy.
6. Przy przetwarzaniu Danych Osobowych, Podmiot przetwarzający przestrzega zasad wskazanych w umowie oraz w RODO; w szczególności zobowiązuje się:
x. xxxxxxx Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO; w szczególności, Podmiot przetwarzający zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczania Danych Osobowych, przypadków naruszenia ochrony danych osobowych oraz zawiadamiania o tym organu nadzorczego lub osób, których dane osobowe dotyczą, przeprowadzenia oceny skutków dla ochrony danych, oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu;
b. przekazywać Administratorowi w ciągu 24 (dwudziestu czterech) godzin od wykrycia zdarzenia, informacje o naruszeniu ochrony powierzonych Podmiotowi przetwarzającemu do przetwarzania Danych Osobowych, w tym informacje niezbędne Administratorowi do zgłoszenia naruszenia ochrony danych organowi nadzorczemu, o którym mowa w art. 33 ust. 3 RODO;
c. pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne oraz na podstawie odrębnych ustaleń, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
d. zapewnić, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do Danych Osobowych, przetwarzała je wyłącznie na polecenie Administratora; niniejszym Administrator upoważnia Podmiot przetwarzający do wydawania ww. poleceń;
e. prowadzić ewidencję osób upoważnionych do Przetwarzania Danych Osobowych,
przetwarzanych w związku z wykonywaniem umowy;
f. udostępnić Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez Administratora oraz Podmiot przetwarzający obowiązków, o których mowa w art.28 RODO;
g. stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
7. Pomiot przetwarzający zobowiązuje się do niezwłocznego informowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym Przetwarzania Danych Osobowych przez Pomiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym Przetwarzania Danych Osobowych, skierowanych do Wykonawcy, a także o wszelkich kontrolach i inspekcjach dotyczących Przetwarzania Danych Osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy.
§ 4
Prawo kontroli
1. Podmiot przetwarzający zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia umożliwi Administratorowi, na każde żądanie, dokonania przeglądu stosowanych środków technicznych i organizacyjnych oraz dokumentacji dotyczącej tych środków, aby przetwarzanie toczyło się zgodnie z prawem, a także zobowiązuje się uaktualniać te środki, o ile w opinii Administratora są one niewystarczające do tego, by zapewnić zgodne z prawem przetwarzanie Danych Osobowych powierzonych Podmiotowi przetwarzającemu.
2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
3. Administrator jest uprawniony do weryfikacji przestrzegania przez Podmiot przetwarzający zasad przetwarzania Danych Osobowych wynikających z RODO i umowy, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych Danych Osobowych.
4. Administrator ma prawo przeprowadzania audytów lub inspekcji u Podmiotu przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z umową. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być prowadzone przez audytorów zewnętrznych upoważnionych przez Administratora.
5. Administrator lub upoważniony przez niego audytor zewnętrzny jest uprawniony do kontrolowania przestrzegania zasad przetwarzania Danych Osobowych, w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania przez Podmiot przetwarzający Danych Osobowych lub dokonywanie kontroli w miejscach, w których są przetwarzane powierzone dane osobowe.
6. Podmiot przetwarzający jest zobowiązany do zastosowania się do zaleceń Administratora dotyczących zasad przetwarzania powierzonych Danych Osobowych oraz dotyczących poprawy zabezpieczenia danych osobowych, sporządzonych w wyniku kontroli przeprowadzonych przez upoważnionych pracowników Administratora lub audytora zewnętrznego upoważnionego przez Administratora.
§ 5
Podpowierzenie
1. Podmiot przetwarzający może powierzyć dane osobowe objęte Umową do dalszego przetwarzania przez Podmiot przetwarzający jedynie w celu wykonania Umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podmiot przetwarzający, o którym mowa w § 5 ust. 1 Umowy, winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w Umowie.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na Podmiocie przetwarzającym, o którym mowa w § 5 ust. 1 Umowy, obowiązków ochrony danych.
§ 6
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający przyjmuje do wiadomości, że przetwarzanie przez niego powierzonych Danych Osobowych w szerszym zakresie niż określono to w § 2 ust. 3 i 4 lub dla realizacji innych celów niż wskazane w § 2 ust. 2 umowy, przy braku dysponowania odpowiednią podstawą prawną, będzie stanowiło naruszenie przepisów RODO i postanowień umowy, oraz może stanowić podstawę do jej wypowiedzenia w trybie natychmiastowym i wyciągnięcia konsekwencji z niej wynikających lub przewidzianych przepisami prawa.
§ 7
Czas obowiązywania Umowy
Umowa obowiązuje od dnia jej zawarcia przez czas określony do dnia 31.05.2020 r.
§ 8
Zasady zachowania poufności
1. Pomiot przetwarzający zobowiązuje się do zachowania w tajemnicy Danych Osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu umowy, oraz zobowiązuje się zapewnić, aby osoby mające dostęp do Przetwarzania Danych Osobowych zachowały Dane Osobowe oraz sposoby ich zabezpieczeń w tajemnicy, w tym także po rozwiązaniu umowy lub ustaniu zatrudnienia u Pomiotu przetwarzającego.
2. Pomiot przetwarzający nie będzie kopiować, powielać lub w jakikolwiek sposób rozpowszechniać Danych Osobowych, z wyjątkiem sytuacji, gdy wykorzystanie tych danych następuje w celu wykonania umowy.
3. Pomiot przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Xxxxxx przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
4. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 9
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
2. Podmiot przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z umową Przetwarzania Danych Osobowych. Podmiot przetwarzający zobowiązuje się także do zapłaty odszkodowania na zasadach ogólnych w przypadku niewykonania lub nienależytego wykonania przez Podmiot przetwarzający niniejszej umowy.
3. W sprawach nieuregulowanych w umowie mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964
r. Kodeks cywilny (t.j. Dz. U. z 2017 r. poz.459) oraz przepisy RODO.
Administrator danych Podmiot przetwarzający