UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 4 do Umowy Nr ……………………….
z dnia …………….
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu w Warszawie (zwana dalej: „Umową”) pomiędzy:
Centrum Usług Społecznych „Społeczna Warszawa” z siedzibą przy ul ,
…………….. Warszawa, reprezentowanym przez: Xxxxx Xxxxxxxx – dyrektora Centrum Usług Społecznych „Społeczna Warszawa”, zwanym dalej „Powierzającym”, a
........................................... z siedzibą w …………… (………-……….), ul ,
wpisanym do rejestru przedsiębiorców KRS pod nr ………………………,/wpisanym do CEiDG/ wpisanym do rejestru stowarzyszeń KRS nr ………, zwanym w dalszej części niniejszej Umowy
„Przetwarzającym”, NIP: ……………………; REGON: ,
reprezentowanym przez: …………………………….. - ………………………
zwanymi łącznie dalej Stronami
o następującej treści:
a) Zważywszy, że Powierzający zawarł z Przetwarzającym umowę nr CUS/UM/B/VI/3/1/ ……. /ZP/……..
z dnia ………………………….. zwanej dalej „Umową główną”, której realizacja wiąże się z koniecznością powierzenia przetwarzania danych osobowych, Strony postanawiają zawrzeć niniejszą Umowę powierzenia przetwarzania danych osobowych.
b) Celem powierzenia jest właściwe uregulowanie zasad przetwarzania danych osobowych powierzonych Przetwarzającemu, w związku z zawarciem Umowy głównej, której przedmiotem jest zapewnienie korzystania z usług specjalistycznego przewozu osób z niepełnosprawnościami, organizowanych na zlecenie Miasta Stołecznego Warszawy – Centrum Usług Społecznych „Społeczna Warszawa”, tak, aby odpowiadały one postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) – zwanego dalej „RODO”.
§ 1
1. Dane osobowe w ramach niniejszej Umowy przetwarzane są w celu realizacji usług specjalistycznego przewozu osób z niepełnosprawnościami, organizowanych na zlecenie Miasta Stołecznego Warszawy – Centrum Usług Społecznych „Społeczna Warszawa” – na rzecz korzytających, o których mowa w ust. 2 pkt 7.
2. Dla potrzeb niniejszej Umowy, o ile z kontekstu nie wynika inaczej, przyjmuje się następujące znaczenie dla poniżej wymienionych określeń:
1) „Umowa” – niniejsza umowa powierzenia przetwarzania danych osobowych;
2) „Dane osobowe” – dane osobowe w rozumieniu art. 4 pkt. 1 RODO;
3) „Dane szczególnych kategorii” – dane wymienione w art. 9 ust. 1 RODO;
4) „Przetwarzanie danych osobowych” – przetwarzanie w rozumieniu art. 4 pkt 2 RODO, czyli operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób automatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
5) „Powierzający” – Administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO;
6) „Podmiot przetwarzający” – podmiot w rozumieniu art. 4 pkt 8 RODO;
7) „korzytający” – osoba uprawniona do korzystania z usług specjalistycznego przewozu osób z niepełnosprawnościami, organizowanych na zlecenie Miasta Stołecznego Warszawy – Centrum Usług Społecznych „Społeczna Warszawa”, zgodnie z Regulaminem realizacji i korzystania ze specjalistycznego przewozu osób z niepełnosprawnościami organizowanego przez x.xx. Warszawa;
8) „ustawa o pomocy społecznej” – ustawa z dnia 12 marca 2004 r. – o pomocy społecznej (tekst jedn. Dz.U. z 2019 r. poz. 1507 z późn. zm.);
9) „Umowa główna” – umowa nr CUS/UM/B/VI/3/1/ ……. /ZP/2020-…….. z dnia
…………………….., o której mowa w preambule, zawarta między Powierzającym, a Przetwarzającym.
§ 2
1. Powierzający, w trybie art. 28 RODO, powierza Przetwarzającemu dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, wymogami RODO oraz innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dotyczą przekazywane dane.
3. Przetwarzający oświadcza, że stosuje odpowiednie środki bezpieczeństwa, uwzględniające charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, tj. spełniające wymogi bezpieczeństwa przetwarzania, o których mowa w art. 32 ust. 1 i 2 RODO oraz przestrzega innych przepisów, o których mowa w ust. 2.
4. Przetwarzający gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie powierzonych danych spełniało wymogi RODO, niniejszej umowy, a także, by chroniło prawa osób, których dane dotyczą, tj.:
a) prowadzi Rejestr Kategorii Czynności Przetwarzania, stosownie do wymagań art. 30 ust. 2 RODO, w którym ewidencjonuje wszelkie kategorie czynności związanych z przetwarzaniem powierzonych Mu danych,
b) wdrożył i stosuje metodykę szacowania ryzyka związanego z przetwarzaniem powierzonych Mu danych osobowych, stosownie do wymogów art. 32 ust. 2 RODO, co oznacza, iż przeprowadza analizę ryzyka związanego z przetwarzaniem powierzonych danych, opierając się o przyjętą metodykę , wdraża i stosuje odpowiednie mechanizmy zabezpieczające powierzone dane oraz monitoruje związane z tym procesy,
c) uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożył właściwe rozwiązania organizacyjne i techniczne, w tym x.xx. szkolenia personelu mającego dostęp do danych osobowych, odpowiednie polityki bezpieczeństwa, procedury postępowania w przypadku naruszenia bezpieczeństwa danych osobowych, procedury realizacji praw osób, których dane dotyczą, szyfrowanie i pseudonimizację, a także zapewnia narzędzia do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania oraz zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, w zakresie adekwatnym do stosowanych narzędzi służących do przetwarzania danych osobowych.
5. Na Przetwarzającym, w myśl zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO, spoczywa ciężar udowodnienia przed Powierzającym, iż stosuje odpowiednie organizacyjne i techniczne środki bezpieczeństwa, tj. co najmniej wskazane w ust. 3-4, a także wypełnia pozostałe zobowiązania spoczywające na Nim, określone w dalszych postanowieniach Umowy.
§ 3
1. Przetwarzający będzie przetwarzał powierzone na podstawie Umowy następujące rodzaje danych osobowych:
1) dane korzystających, o których mowa w § 1 ust. 2 pkt 7:
a) xxxx zwykłe: imię, nazwisko, data urodzenia, adres zamieszkania, dane kontaktowe – numer telefonu, adres email,
b) dane szczególnych kategorii: informacje o stanie zdrowia (rodzaj i stopień niepełnosprawności, informacje o schorzeniach),
c) inne informacje, które mogą stanowić dane osobowe, niewskazane w punktach a-b, jeżeli dostęp do tych danych jest niezbędny do zapewnienia właściwej realizacji usług będących przedmiotem Umowy głównej;
2) dane zwykłe członków rodzin korzystających lub innych osób wskazanych przez korzystających do kontaktu w sprawach nagłych: imię, nazwisko, numer telefonu, adres email, związek z korzystającym (członek rodziny / znajomy).
2. Zakres przetwarzania obejmuje następujące operacje:
1) pozyskiwanie danych;
2) przechowywanie;
3) przeglądanie;
4) wykorzystywanie;
5) usuwanie lub niszczenie;
6) inne operacje zlecone przez Powierzającego w trakcie realizacji Umowy głównej, pod warunkiem zachowania formy pisemnej zlecenia.
3. Powierzone dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu realizacji Umowy głównej.
§ 4
1. Przetwarzający zobowiązuje się przy przetwarzaniu powierzonych danych, wskazanych w § 3, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zgodnie z postanowieniami § 2 ust. 3-5.
2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Przetwarzający zobowiązuje się do nadania stosownych upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy. Przetwarzający będzie prowadził i aktualizował ich rejestr związany bezpośrednio z realizacją Umowy głównej.
4. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, poprzez zapewnienie przetwarzania danych osobowych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Przetwarzającego, jak i po jego ustaniu. Przetwarzający jest ponadto zobowiązany do zobowiązania osób upoważnianych do przetwarzania danych osobowych, do zachowania tajemnicy danych osobowych, do których osoby te uzyskają dostęp, w związku z realizacją przedmiotu Umowy głównej, zarówno w okresie obowiązywania upoważnienia do przetwarzania danych, jak i po jego wygaśnięciu.
5. Powierzający wymaga, aby upoważnienia do przetwarzania danych osobowych, o których mowa w ust. 4, zawierały co najmniej: datę nadania upoważnienia oraz okres jego ważności, zakres czynności (operacji przetwarzania), do których jest uprawniona osoba otrzymująca upoważnienie, a także zobowiązanie osoby otrzymującej upoważnienie do zachowania tajemnicy danych osobowych, zarówno w okresie obowiązywania upoważnienia, jak i po jego wygaśnięciu.
6. Przetwarzający po zakończeniu Umowy będzie przetwarzał dane osobowe wyłącznie w zakresie niezbędnym do spełnienia obowiązków prawnych spoczywających na Przetwarzającym, tj. dla celów rozliczeniowych, przez okres do 5 lat, z zastrzeżeniem ust. 7.
7. Przetwarzający po zakończeniu świadczenia usług stanowiących przedmiot umowy głównej, usunie wszelkie pozostałe dane osobowe, niewymienione w § 3 ust. 1, uzyskane na podstawie regulacji Umowy, oraz usunie wszelkie ich istniejące kopie w ciągu 10 dni roboczych. Operacje te mogą wykonać wyłącznie upoważnione w tym zakresie osoby, przy czym Powierzający zaleca komisyjne usuwanie danych.
Po usunięciu danych, Przetwarzający złoży Powierzającemu pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych, z którego powinno wynikać wprost, jakimi metodami i przy użyciu jakich narzędzi zostały te dane usunięte. Powierzający zobowiązuje Przetwarzającego do zapewnienia odpowiedniego poziomu bezpieczeństwa operacji usuwania danych osobowych, co oznacza, iż:
a) dane na nośnikach papierowych powinny być usuwane przy użyciu niszczarek do dokumentów, spełniających wymagania normy DIN 66399; klasa ochrony: 2; poziom bezpieczeństwa: 4. Oznacza to niszczenie dokumentów na ścinki o powierzchni: 160 mm2 oraz maksymalna szerokość paska: 6 mm,
b) dane na nośnikach elektronicznych powinny być usuwane przy użyciu narzędzi do bezpiecznego usuwania danych z nośników elektronicznych, uniemożliwiających późniejsze ich odtworzenie.
8. Przetwarzający zobowiązuje się pomagać, w miarę możliwości, Powierzającemu w niezbędnym zakresie w wywiązywaniu się przez niego z:
a) obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO;
b) obowiązków określonych w art. 32 - 36 RODO.
– w tym celu na Przetwarzającym spoczywa obowiązek uregulowania na podłożu organizacyjnym sposobu realizacji ww. zobowiązań.
9. Przetwarzający powiadamia Powierzającego o każdym podejrzeniu naruszenia ochrony danych osobowych, powierzonych Umową, niezwłocznie, nie później niż w ciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, oraz umożliwia Powierzającemu uczestnictwo w czynnościach wyjaśniających i informuje Powierzającego o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu faktycznego naruszenia.
10. Planując dokonanie zmian w sposobie przetwarzania powierzonych danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Powierzającego o planowanych zmianach w taki sposób i terminach, aby zapewnić Powierzającemu realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Powierzającego grożą bezpieczeństwu danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Przetwarzającego.
11. Przetwarzający może powierzyć dane osobowe, wskazane w § 3 ust. 1 Umowy, do dalszego przetwarzania Podmiotom podprzetwarzającym jedynie w celu wykonania Umowy oraz po uzyskaniu uprzedniej zgody Powierzającego. Zgoda Powierzającego musi mieć formę pisemną pod rygorem nieważności.
12. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Powierzającego, chyba, że obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Powierzającego o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
13. Pomiot podprzetwarzający, o którym mowa w ust. 11, winien spełniać te same wymogi i obowiązki, jakie zostały nałożone na Przetwarzającego w niniejszej Umowie, w szczególności w zakresie gwarancji ochrony powierzonych danych osobowych.
14. Przetwarzający ponosi wobec Powierzającego pełną odpowiedzialność za niewywiązywanie przez Podmiot podprzetwarzający ze spoczywających na nim obowiązków ochrony danych.
§ 5
1. Przetwarzający jest odpowiedzialny za przetwarzanie danych osobowych niezgodnie z treścią Umowy, przepisami RODO lub innymi przepisami powszechnie obowiązującego prawa, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Powierzającego o wszelkich wiadomych mu:
a) postępowaniach, w szczególności sądowych lub administracyjnych, które dotyczą powierzonych danych lub mających wpływ na przetwarzanie danych,
b) decyzjach administracyjnych i orzeczeniach sądowych, w zakresie danych osobowych powierzonych niniejszą umową lub mających wpływ na przetwarzanie danych,
c) planowanych lub realizowanych kontrolach i inspekcjach, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych dotyczących danych, o których mowa w § 3 Umowy, powierzonych do przetwarzania niniejszą umową.
§ 6
1. Zgodnie z art. 28 ust. 3 lit. h RODO Powierzający ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy i RODO.
2. Powierzający realizować będą prawo kontroli poprzez prawo:
1) wstępu do pomieszczeń, w których przetwarzane są dane osobowe objęte przedmiotem Umowy i przeprowadzenia niezbędnych czynności kontrolnych;
2) żądania złożenia pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego;
3) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych w godzinach pracy Przetwarzającego i z minimum 3 dniowym jego uprzedzeniem.
3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, o której mowa w ust. 1, w terminie wskazanym przez Powierzającego, a w przypadku stwierdzenia w toku kontroli okoliczności stanowiących naruszenie bezpieczeństwa - nie dłuższym niż 48 godzin.
4. Przetwarzający zobowiązuje się do udostępnienia Powierzającemu wszelkich informacji niezbędnych do kontroli spełnienia przez siebie obowiązków określonych w art. 28 ust. 1 RODO.
§ 7
1. Strony zobowiązują się, że podczas realizacji Umowy będą ze sobą ściśle współpracować w zakresie dotyczącym przetwarzania danych osobowych, w szczególności zobowiązują się niezwłocznie poinformować o wszelkich okolicznościach mających lub mogących mieć wpływ na zgodność z przepisami prawa dot. przetwarzania danych osobowych.
2. Wszelkie decyzje dotyczące przetwarzania danych osobowych w sprawach nieuregulowanych niniejszą Umową, powinny być przekazywane Stronom w formie pisemnej pod rygorem nieważności.
3. Do koordynowania spraw związanych z Umową Strony wyznaczają przedstawicieli:
1) Powierzający wyznacza:
- …………………………………………..
- …………………………………………..
2) Przetwarzający wyznacza:
- …………………………………………..
- …………………………………………..
4. Dla zastąpienia osób wymienionych w ust. 3 innymi osobami wymagana jest forma pisemna zawiadomienia, lecz nie wymaga się zmiany Umowy w sposób określony w § 10 ust. 3.
5. Przekazywanie danych osobowych stanowiących przedmiot niniejszej Umowy następuje drogą elektroniczną w zaszyfrowanej formie na adresy email wskazane w ust. 3. Hasło do zaszyfrowanego pliku przekazywane jest telefonicznie wyznaczonemu przedstawicielowi pod wskazanym w ust. 3 numerem telefonu.
§ 8
1. Strony oświadczają, że zawierają Umowę na czas określony od dnia ……………… do dnia
…………………., – w związku z obowiązywaniem Umowy głównej, z zastrzeżeniem ust. 2.
2. Umowa może wygasnąć przed terminem określonym w ust. 1, w przypadku rozwiązania lub wygaśnięcia Umowy głównej.
3. Powierzający może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, w sytuacji, gdy Przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z Umową, RODO lub innymi obowiązującymi przepisami;
3) powierzył przetwarzanie danych osobowych innemu podmiotowi, bez pisemnej zgody Powierzającego.
4. Oświadczenie Powierzającego o rozwiązaniu Umowy powinno być złożone w formie pisemnej pod rygorem nieważności.
5. Rozwiązanie Umowy z przyczyn, o których mowa w ust. 3 będzie stanowiło okoliczność uzasadniającą rozwiązanie Umowy głównej, z winy Przetwarzającego.
§ 9
1. Wszelka korespondencja związana z wykonaniem Umowy doręczana będzie na adresy wskazane w komparycji Umowy. Doręczenia będą uważane za skuteczne z chwilą potwierdzenia otrzymania korespondencji przez osoby wymienione w § 7 ust. 3 Umowy.
2. W przypadku zmiany danych kontaktowych wskazanych w komparycji Umowy, w tym siedziby i adresu, każda ze Stron zobowiązana jest poinformować o tym pozostałe Strony pod rygorem uznania dotychczasowych danych za aktualne. Zmiana danych, o których mowa w ust. 1 wymaga jednostronnego oświadczenia Strony, która dokonuje zmiany danych, złożonego na piśmie pod rygorem nieważności.
3. Zmiana Umowy może nastąpić tylko w formie pisemnej pod rygorem nieważności.
§ 10
1. W sprawach nieuregulowanych w Umowie zastosowanie mają przepisy powszechnie obowiązującego prawa, a w szczególności: RODO, Ustawy z dnia 10 maja 2018 r. - o ochronie danych osobowych (t.j. Dz. U. z 2019 r., poz. 1781) oraz ustawy o pomocy społecznej, kodeksu cywilnego i ustawy o dostępie do informacji publicznej.
2. Wszelkie spory związane z zawarciem i wykonaniem Umowy będą rozstrzygane przez Sąd właściwy miejscowo dla siedziby x.xx. Warszawy.
§ 11
Umowę sporządzono w trzech jednobrzmiących egzemplarzach – jeden dla Przetwarzającego, dwa dla Powierzającego.
Powierzający Przetwarzający
……………...…….… .……………………