ZAŁĄCZNIK NR 9
ZAŁĄCZNIK NR 9
DO UMOWY RAMOWEJ NR …
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu … roku
POMIĘDZY:
Grupa Azoty Polyolefins S.A. z siedzibą w Policach pod adresem: xx. Xxxxxxxx 0, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Szczecin- Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000577195, NIP: 8513187611, REGON: 362562393, o kapitale zakładowym w wysokości 000 000 000,00 zł (wpłaconym w całości), zwaną dalej w tekście „Powierzającym”, którą reprezentują:
a
[●] z siedzibą pod adresem: [●], wpisaną do rejestru przedsiębiorców [●] prowadzonego przez [●], pod numerem [●], NIP: [●], REGON: [●], z kapitałem zakładowym w wysokości [●], zwaną dalej w tekście „Przetwarzającym”, którą reprezentują: |
1. |
2. |
łącznie zwanymi Stronami, a każda z nich Stroną.
ZWAŻYWSZY, ŻE:
1. Powierzający jest administratorem Danych Osobowych w rozumieniu Ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2018 r., poz. 1000) oraz RODO, zdefiniowanych w § 1, lub podmiotem je przetwarzającym uprawnionym do powierzenia dalszego ich przetwarzania, który zobowiązany jest do zagwarantowania ich ochrony,
2. Przetwarzający oraz Powierzający zawarli Umowę Główną (zdefiniowaną poniżej), w związku
z którą Przetwarzający przetwarza Dane Osobowe,
3. w celu spełnienia wszystkich wymogów przewidzianych przez Xxxxxx i RODO, z uwzględnieniem zmieniających się uregulowań prawnych w zakresie przetwarzania Danych Osobowych, art. 28 ust. 3 RODO, niniejszym Strony zawierają umowę powierzenia przetwarzania Danych Osobowych.
NINIEJSZYM STRONY POSTANOWIŁY, CO NASTĘPUJE:
§ 1.
Definicje i Interpretacje
1. W Umowie poniższe wyrażenia otrzymują następujące znaczenia:
a) Ustawa – ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (tekst jednolity: Dz.U. z 2018 r., poz. 1000 z późniejszymi zmianami);
b) Xxxx Xxxxxxx – Xxxx Xxxxxxx w rozumieniu art. 4, pkt 1 RODO (tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej), administrowane przez Powierzającego lub jemu powierzone, przekazywane przez Powierzającego Przetwarzającemu do przetwarzania w celu opisanym w § 3 ust. 1 Umowy i w zakresie wskazanym w § 3 ust. 2 Umowy;
c) Umowa – niniejsza umowa powierzenia przetwarzania Danych Osobowych;
d) Umowa Główna – umowa zawarta pomiędzy Stronami numer …, do której załącznikiem jest
niniejsza Umowa;
e) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); w każdym przypadku gdy w Umowie Strony odwołują się do RODO, przyjmuje się, że zapisy te będą miały zastosowanie od dnia 25 maja 2018 roku;
f) System Teleinformatyczny (System) – pod pojęciem Systemu Teleinformatycznego rozumie się ogół sprzętu, oprogramowania i systemów wykorzystywanych do przetwarzania informacji lub danych w ramach lub w związku z wykonywaniem Umowy Głównej;
g) Naruszenie Ochrony Danych Osobowych (Naruszenie) – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieprawidłowego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
h) Organ Nadzorczy – niezależny organ publiczny ustanowiony przez państwo członkowskie do
nadzoru nad przetwarzaniem Danych Osobowych (zgodnie z art. 51 RODO);
i) Przetwarzanie – operacja lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
j) Państwo Trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego;
k) Przetwarzanie Danych Osobowych w Państwie Trzecim – pod pojęciem Przetwarzania Danych Osobowych w Państwie Trzecim rozumie się zarówno przetwarzanie (w tym przechowywanie) Danych Osobowych na terytorium Państwa Trzeciego (np. na zlokalizowanych w tym państwie serwerach) jak również zdalny dostęp do Danych Osobowych z terytorium Państwa Trzeciego;
l) Podwykonawca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny organ, któremu
Przetwarzający powierzył Xxxx Xxxxxxx do dalszego przetwarzania.
§ 2.
Przedmiot Umowy
Powierzający, będący administratorem Danych Osobowych (działając na podstawie art. 28 ust. 3 RODO) lub będąc podmiotem je przetwarzającym uprawnionym do powierzenia dalszego ich przetwarzania, na podstawie Umowy powierza Przetwarzającemu do przetwarzania Dane Osobowe w celu i zakresie
opisanych odpowiednio w § 3 ust. 1 i 2, a Przetwarzający przyjmuje je do przetwarzania w tym celu i zobowiązuje się do ich przetwarzania zgodnie z prawem obowiązującym w chwili zawarcia Umowy, z uwzględnieniem jego ewentualnych zmian (w tym w szczególności, ale nie wyłącznie, zgodnie z Ustawą i RODO) oraz Umową, Umową Główną i, o ile doszło pomiędzy Stronami do jego zawarcia, porozumieniem
o zachowaniu poufności.
§ 3.
Cel i zakres powierzenia przetwarzania Danych Osobowych
1. Powierzenie przetwarzania Danych Osobowych następuje w celu wykonania Umowy Głównej, w zakresie i na zasadach określonych w Umowie.
2. Zakres Danych Osobowych powierzonych Przetwarzającemu do przetwarzania obejmuje dane administrowane przez Powierzającego lub jemu powierzone, przetwarzane w jakiejkolwiek formie, w tym formie papierowej lub elektronicznej w systemie teleinformatycznym, w zakresie i na zasadach określonych w Umowie Głównej. Powierzający powierza Przetwarzającemu Dane Osobowe dotyczące pracowników i innego personelu Powierzającego w następującym zakresie:
a) Imię, nazwisko,
b) PESEL,
c) adres zamieszkania, adres pobytu, adres korespondencyjny, miejsce pracy,
d) numer telefonu,
e) adres e-mail,
f) inne dane osobowe niezbędne w celu realizacji Umowy Głównej.
3. Przetwarzający, wyłącznie w zakresie określonym w Umowie Głównej, jest uprawniony do wykonywania wszelkich operacji na powierzonych mu Danych Osobowych niezbędnych i uzasadnionych do prawidłowej jej realizacji, w szczególności takich czynności jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, udostępnianie, łączenie, ograniczanie, usuwanie lub niszczenie.
4. Przetwarzający udzieli imiennych upoważnień do przetwarzania Danych Osobowych pracownikom lub współpracownikom Przetwarzającego uczestniczącym w procesie przetwarzania powierzonych Danych Osobowych w swoim imieniu. Przetwarzający w ramach prowadzonej działalności gospodarczej ma prawo przetwarzać powierzone Dane Osobowe w innym celu niż określony w Umowie, o ile uzyska tytuł prawny do ich przetwarzania w tym zakresie, stając się ich administratorem w rozumieniu Ustawy i RODO.
5. Powierzone Dane Osobowe będą przetwarzane w systemie teleinformatycznym Przetwarzającego.
6. Przetwarzający oświadcza, że przetwarzanie Danych Osobowych nie będzie odbywało się w Państwie Trzecim. W przypadku gdyby jednak doszło do Przetwarzania Danych Osobowych w Państwie Trzecim, przed rozpoczęciem takiego przetwarzania Strony zawrą stosowny aneks do Umowy, w którym określą zasady takiego przetwarzania i obowiązki Przetwarzającego w tym zakresie, wynikające z uregulowań RODO.
7. Przetwarzający przetwarza powierzone Dane Osobowe wyłącznie na udokumentowane polecenia Powierzającego. Za udokumentowane polecenia uważa się polecenia przetwarzania Danych Osobowych zawarte w Umowie, Umowie Głównej oraz polecenia przekazywane Przetwarzającemu drogą elektroniczną lub na piśmie przez osoby wyznaczone do kontaktu ze strony Powierzającego, wskazane w treści Umowy i Umowy Głównej.
8. Obowiązek wskazany w ust. 7 powyżej nie dotyczy sytuacji, gdy wymóg przetwarzania Danych Osobowych nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa, którego prawu
podlega Przetwarzający. W takim przypadku, przed rozpoczęciem przetwarzania Danych Osobowych, Przetwarzający poinformuje Powierzającego o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 4.
Sposób przekazywania Danych Osobowych
Strony ustalają, iż w przypadku konieczności przekazania Przetwarzającemu przez Powierzającego Danych Osobowych lub konieczności wymiany pomiędzy Stronami tego typu informacji na elektronicznym nośniku danych lub za pośrednictwem poczty elektronicznej, powyższe odbywać się będzie z bezwzględnym zachowaniem zasad polityki bezpieczeństwa teleinformatycznego, obowiązującej Strony, o której mowa w Załączniku nr 1 do Umowy. W Załączniku jw. określono szczegółowe zasady przekazywania danych na elektronicznym nośniku danych lub przesyłania ich drogą elektroniczną.
§ 5.
Obowiązki Przetwarzającego
1. Przetwarzający zobowiązany jest:
a) przed rozpoczęciem przetwarzania Danych Osobowych podjąć środki zabezpieczające powierzone mu Dane Osobowe określone w przepisach Ustawy i RODO, w szczególności ale nie wyłącznie, Przetwarzający jest zobowiązany zastosować środki techniczne i organizacyjne, o których mowa w art. 32 RODO, zapewniające ochronę przetwarzanych Danych Osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy i RODO oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
b) opracować i wdrożyć do stosowania dokumentację przetwarzania Danych Osobowych opisującą sposób ich przetwarzania oraz zastosowane środki techniczne i organizacyjne, umożliwiające należyte zabezpieczenie Danych Osobowych zgodnie z zapisami lit. a) powyżej, przed rozpoczęciem ich przetwarzania, jeżeli nie posiada dokumentacji jw.,
c) przetwarzać powierzone Dane Osobowe zgodnie z dokumentacją, o której mowa
w lit. b) powyżej,
d) udostępnić Powierzającemu na każde jego żądanie dokumentację, o której mowa
w lit. b) powyżej,
e) dopuszczać do przetwarzania powierzonych Danych Osobowych wyłącznie osoby posiadające imienne upoważnienie nadane przez Przetwarzającego,
f) zapewniać, aby osoby upoważnione do przetwarzania powierzonych Danych Osobowych, przed rozpoczęciem przetwarzania, podpisały zobowiązanie do zachowania w tajemnicy powierzonych Danych Osobowych, przy uwzględnieniu, że wskazany obowiązek istnieje także po rozwiązaniu Umowy oraz ustaniu zatrudnienia u Przetwarzającego,
g) prowadzić ewidencję osób upoważnionych do przetwarzania Danych Osobowych a także ewidencję Podwykonawców, którym powierzył przetwarzanie Danych Osobowych zgodnie z zapisami § 6,
h) prowadzić rejestr wszystkich kategorii czynności przetwarzania Danych Osobowych, dokonywanych w imieniu Powierzającego, zgodnie z wymogami zawartymi w art. 30 ust. 2 RODO,
i) zapoznać osoby uczestniczące w realizacji Umowy z obowiązującymi zasadami w zakresie ich ochrony wynikającymi z przepisów prawa i regulacji wewnętrznych Przetwarzającego oraz odebrać od powyższych osób oświadczenia w formie pisemnej o zachowaniu poufności
powierzonych Danych Osobowych i sposobów ich zabezpieczeń chyba, że podlegają one takiemu obowiązkowi na mocy obowiązujących przepisów prawa. W przypadku, gdy osoby jw. zobowiązane będą do przetwarzania Danych Osobowych zgodnie z zasadami ustalonymi przez Powierzającego, Powierzający przekaże Przetwarzającemu te zasady wraz z Umową,
j) nadzorować swoich pracowników oraz osoby współpracujące z Przetwarzającym w zakresie zabezpieczenia powierzonych do przetwarzania Danych Osobowych, w sposób umożliwiający wykazanie wykonania niniejszego obowiązku,
k) wykonywać w imieniu Powierzającego obowiązek informacyjny wynikający z art. 13 i 14 RODO, o ile Powierzający zgłosi takie żądanie. Powierzający, w przypadku zgłoszenia żądania jw. opracuje i przekaże Powierzającemu wzór klauzuli informacyjnej,
l) współpracować i wspierać Powierzającego z wywiązywania się z obowiązku odpowiadania na żądania osób, których Dane Osobowe dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Przetwarzający będzie przekazywał Powierzającemu takie informacje drogą elektroniczną lub na piśmie, według wyboru Powierzającego, bez zbędnej zwłoki, nie później niż w terminie 7 dni od zgłoszenia przez Powierzającego takiego wniosku. W przypadku, w którym osoba której Dane Osobowe dotyczą zwróci się bezpośrednio do Przetwarzającego z żądaniem udzielenia jej informacji jw., Przetwarzający przekaże niezwłocznie taki wniosek do Powierzającego wraz z żądanymi we wniosku informacjami, jeżeli są one w posiadaniu Przetwarzającego. W celu uniknięcia wątpliwości, Strony przyjmują, że informacji, o które zwracają się osoby jw. nie przekazuje Przetwarzający,
m) w ramach uwzględnienia celu i zakresu powierzenia przetwarzania Danych Osobowych stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez Organ Nadzorczy lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania Danych Osobowych, w szczególności w zakresie stosowania RODO,
n) niezwłocznie poinformować Powierzającego, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub prawa państwa, którego prawu podlega Przetwarzający,
o) współpracować i wspierać Powierzającego w wywiązaniu się z obowiązków określonych w art. 32–36 RODO, w szczególności zobowiązuje się przekazywać Powierzającemu informacje dotyczące stosowanych przez Przetwarzającego środków zabezpieczenia Danych Osobowych oraz przypadków Naruszenia Ochrony Danych Osobowych. Przetwarzający, po stwierdzeniu Naruszenia Ochrony Danych Osobowych jest zobowiązany bez zbędnej zwłoki, nie później niż w ciągu 12 godzin od stwierdzenia Naruszenia, zgłosić je Powierzającemu wskazując w zgłoszeniu:
✓ charakter Naruszenia Ochrony Danych Osobowych, w tym w miarę możliwości wskazać kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie,
✓ opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych,
✓ imię i nazwisko oraz dane kontaktowe osoby odpowiedzialnej za przestrzeganie zasad ochrony Danych Osobowych ze strony Przetwarzającego lub oznaczenie innego punktu kontaktowego, od którego można uzyskać szczegółowe informacje,
✓ opis środków zastosowanych lub proponowanych przez Przetwarzającego w celu zaradzenia Naruszeniu Ochrony Danych Osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia wraz ze wskazaniem osób odpowiedzialnych za poszczególne czynności i terminów ich wykonania. Osobą odpowiedzialną za poinformowanie Powierzającego o stwierdzonym naruszeniu jest:
…………………………………………………………………………………… /imię, nazwisko i stanowisko/
…………………………………………………………………………………… /imię, nazwisko i stanowisko/ w razie nieobecności wskazanej powyżej osoby lub następca/ następcy prawni ww. osób.
Zgłoszenie jw. dokonywane jest na adres poczty elektronicznej: xxx@xxxxxxxxx.xx oraz do
osób wskazanych do kontaktu w § 12 ust. 6.
2. Przetwarzający oświadcza, że wyznaczył w ramach prowadzonej działalności osobę/ osoby zobowiązane do nadzoru nad przestrzeganiem zasad ochrony, o których mowa w Umowie oraz osoby upoważnione do przetwarzania Danych Osobowych.
§ 6.
Dalsze powierzenie przetwarzanych Danych Osobowych
1. W przypadku konieczności dalszego powierzenia przez Przetwarzającego Danych Osobowych Podwykonawcy, może ono nastąpić wyłącznie za zgodą wyrażoną przez Powierzającego pisemnie lub w formie elektronicznej, zgodnie z postanowieniami Umowy i obowiązujących przepisów prawa. Powierzający zastrzega sobie możliwość każdorazowego wyrażenia sprzeciwu wobec dalszego powierzenia przetwarzania Danych Osobowych przez Przetwarzającego.
2. Przetwarzający każdorazowo informuje w formie pisemnej lub w formie elektronicznej Powierzającego o planowanym dalszym powierzeniu przetwarzania Danych Osobowych Podwykonawcy, w terminie jednego miesiąca (1) przed planowanym zaangażowaniem takiego Podwykonawcy. W informacji jw. Przetwarzający zawiadamia Powierzającego, czy przetwarzanie (w tym przechowywanie) Danych Osobowych przez Podwykonawcę odbywało się będzie na/ z terytorium Państwa Trzeciego, a jeżeli tak, wskazuje nazwę tego państwa. Powierzający, w terminie 14 dni od otrzymania ww. informacji udziela zgody lub wyraża sprzeciw wobec dalszego powierzenia przetwarzania Danych Osobowych podmiotowi wskazanemu przez Przetwarzającego. Obligatoryjnym warunkiem wyrażenia przez Powierzającego zgody na dalsze powierzenie przetwarzania Danych Osobowych jest zagwarantowanie wdrożenia przez podmiot, z którego usług zamierza korzystać Przetwarzający odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odpowiadało wymogom Ustawy i RODO i chroniło prawa osób, których Dane Osobowe będą przetwarzane. Oświadczenie spełnienia wymogów jw., Przetwarzający przesyła Powierzającemu wraz z wnioskiem o wyrażenie zgody na dalsze powierzenie przetwarzania Danych Osobowych.
3. W przypadku pozytywnej decyzji Powierzającego, dalsze powierzenie czynności przetwarzania Danych Osobowych Podwykonawcy, możliwe jest jedynie pod warunkiem nałożenia przez Przetwarzającego na Podwykonawcę na mocy umowy co najmniej tych samych obowiązków ochrony Danych Osobowych, jakie spoczywają na Przetwarzającym w ramach Umowy. Każdorazowo Przetwarzający zobowiązany jest w terminie 14 dni od daty podpisania umowy do przesłania na adres osoby wskazanej do kontaktu ze strony Powierzającego potwierdzonej za zgodność z oryginałem kopii/ skanu umowy z Podwykonawcą. Podwykonawca zobowiązany jest do bezwzględnego przestrzegania obowiązków ustanowionych w umowie jw.
4. W przypadku, gdy powierzenie Podwykonawcy przez Przetwarzającego Danych Osobowych będzie się wiązało z Przetwarzaniem Danych Osobowych w Państwie Trzecim, Strony podpiszą stosowny aneks do Umowy, zgodnie z postanowieniami § 3 ust. 6. Powyższy aneks będzie mieć zastosowanie do umowy zawartej pomiędzy Przetwarzającym a Podwykonawcą.
5. Przetwarzający ponosi wobec Powierzającego pełną odpowiedzialność za niewywiązanie się Podwykonawcy ze spoczywających na nim obowiązków w zakresie ochrony Danych Osobowych. W przypadku potwierdzenia tego faktu, Powierzający zastrzega sobie prawo:
a) żądania natychmiastowego zaprzestania korzystania przez Przetwarzającego z usług tego
podmiotu w procesie przetwarzania Danych Osobowych,
b) rozwiązania Umowy w trybie natychmiastowym, zgodnie z postanowieniami § 8 ust. 2.
§ 7.
Kontrola przetwarzania Danych Osobowych
1. Przetwarzający zobowiązany jest do niezwłocznego poinformowania Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym, sądowym oraz o planowanych, przeprowadzonych lub zleconych kontrolach Organu Nadzorczego, dotyczących powierzonych mu na podstawie Umowy Danych Osobowych. Powyższy obowiązek dotyczy również jakichkolwiek decyzji administracyjnych lub orzeczeń dotyczących przetwarzania Danych Osobowych, skierowanych do Przetwarzającego i/ lub jego Podwykonawców oraz przesłania Powierzającemu sporządzonych przez Organ Nadzorczy dokumentów podsumowujących przeprowadzone kontrole/ postępowania.
2. Powierzający uprawniony jest do przeprowadzenia audytu przetwarzania Danych Osobowych w celu zweryfikowania, czy Przetwarzający i jego Podwykonawcy spełniają obowiązki określone w Umowie. Przetwarzający zobowiązany jest udostępnić Powierzającemu wszelkie informacje/ dokumenty niezbędne do wykazania, iż spełnia on obowiązki określone w Umowie oraz umożliwia Powierzającemu lub upoważnionemu przez niego audytorowi zewnętrznemu przeprowadzanie audytów w tym zakresie, w pełni współpracując z osobą/ osobami prowadzącymi audyt. Powyższe zobowiązanie Przetwarzającego dotyczy również udostępnienia informacji oraz możliwości prowadzenia audytów u Podwykonawców, co Przetwarzający zastrzega w umowie zawartej z Podwykonawcą.
3. Strony ustalają następujące zasady prowadzenia audytu, o którym mowa w ust. 2 powyżej:
a) Powierzający informuje Przetwarzającego o planowanym terminie, miejscu i zakresie przeprowadzenia audytu. Informację jw., Powierzający przekazuje Przetwarzającemu co najmniej na 7 dni przed rozpoczęciem audytu, z zastrzeżeniem zapisów lit. b) poniżej,
b) Powierzający zastrzega sobie prawo do skrócenia terminu, o którym mowa w lit. a) powyżej w przypadku powzięcia informacji o Naruszeniu Ochrony Danych Osobowych i związanej z tym konieczności przeprowadzenia audytu doraźnego, jeżeli niezwłoczne jego rozpoczęcie jest niezbędne do przywrócenia stanu zgodnego z prawem lub weryfikacji, czy naruszenie miało miejsce,
c) zawiadomienie o audycie oraz wszelka korespondencja w tej sprawie prowadzona jest przez osoby wyznaczone do kontaktu ze strony Powierzającego i Przetwarzającego. Osoba wskazana do kontaktu ze strony Przetwarzającego potwierdza Powierzającemu fakt poinformowania Podwykonawcy o zamiarze przeprowadzenia audytu,
d) Powierzający upoważnia w formie pisemnej osoby uprawnione do przeprowadzenia audytu, wskazując w treści upoważnienia ich imiona, nazwiska i stanowiska służbowe, a w przypadku gdy audyt prowadzony będzie przez audytorów zewnętrznych, wskazując imiona, nazwiska, nazwę i adres podmiotu, który prowadził będzie audyt,
e) czynności kontrolne prowadzone w toku audytu mogą polegać w szczególności na żądaniu przedstawienia i sporządzenia kopii dokumentów/ informacji oraz wglądu do Systemu Teleinformatycznego w zakresie umożliwiającym potwierdzenie wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych, zapewniających zgodność przetwarzania Danych Osobowych z Umową i obowiązującymi przepisami prawa. Osoba/ osoby prowadzące audyt uprawnione są do sporządzania notatek z przeprowadzonych czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz związanych z dostępem do urządzeń, nośników oraz Systemów Teleinformatycznych, sporządzania wydruków Danych Osobowych z Systemów Teleinformatycznych, sporządzania kopii obrazów wyświetlanych na ekranach urządzeń stanowiących część Systemów Teleinformatycznych, kopii zapisów rejestrów Systemów Teleinformatycznych, kopii zapisów konfiguracji technicznych środków zabezpieczeń tych Systemów. Czynności jw. prowadzone są przy udziale osoby upoważnionej do przetwarzania Danych Osobowych ze strony Przetwarzającego i/ lub Podwykonawcy, w przypadku czynności prowadzonych w systemie teleinformatycznym - przy
udziale osoby zarządzającej tym Systemem lub innej osoby upoważnionej do przeprowadzania tych czynności przez osobę zarządzającą Systemem.
4. W przypadku stwierdzenia rażącego naruszenia postanowień Umowy i przepisów prawa o ochronie danych osobowych przez Przetwarzającego lub Podwykonawcę, Powierzający uprawniony jest do żądania natychmiastowego wstrzymania ich przetwarzania.
5. Po zakończeniu audytu, osoba/ podmiot przeprowadzający audyt opracowuje dokument podsumowujący przeprowadzone czynności kontrolne. W przypadku stwierdzenia naruszenia postanowień Umowy i przepisów prawa o ochronie danych osobowych, w dokumencie określa się niezbędne do wdrożenia działania korygujące/ zapobiegawcze wraz z osobami/ podmiotami odpowiedzialnymi za ich realizację i terminami wdrożenia działań. Przy określaniu działań korygujących/ zapobiegawczych, Powierzający uprawniony jest do żądania ich określenia przez Przetwarzającego.
6. Powierzający przekazuje Przetwarzającemu w terminie 14 dni od jego podpisania kopię dokumentu podsumowującego przeprowadzone czynności kontrolne, a Przetwarzający zobowiązany jest do zapewnienia zgodności przetwarzania Danych Osobowych z postanowieniami Umowy i przepisami prawa w zakresie ich ochrony, w sposób i terminach określonych w dokumencie jw.
§ 8.
Czas trwania Umowy
1. Umowa zostaje zawarta na czas trwania Umowy Głównej i ulega rozwiązaniu najpóźniej z dniem jej rozwiązania. Przetwarzanie Danych Osobowych będzie następowało w całym okresie obowiązywania Umowy.
2. Naruszenie postanowień Umowy przez Przetwarzającego stanowi podstawę do rozwiązania Umowy Głównej przez Powierzającego bez zachowania okresu wypowiedzenia. Powierzający uprawniony jest do rozwiązania Umowy Głównej ze skutkiem natychmiastowym w przypadku, gdy:
a) wyniki audytu, o którym mowa w § 7 ust. 2 lub kontroli przeprowadzonej przez Organ Nadzorczy w stosunku do Przetwarzającego lub Podwykonawcy wykażą, iż doszło do rażącego naruszenia postanowień Umowy i przepisów prawa o ochronie danych osobowych,
b) Przetwarzający przetwarza Dane Osobowe niezgodnie z Umową lub z przepisami prawa lub
przekazał Xxxx Xxxxxxx innemu podmiotowi bez zgody Powierzającego.
§ 9.
Odpowiedzialność Przetwarzającego
1. Przetwarzający odpowiada za wszelkie szkody, jakie powstaną u Powierzającego i/ lub osób, których Dane Osobowe przetwarza na podstawie Umowy w związku z niewykonaniem lub nienależytym wykonaniem jej postanowień.
2. Przetwarzający ponosi odpowiedzialność za wszelkie działania i zaniechania Podwykonawcy lub osób upoważnionych przez Przetwarzającego do przetwarzania Danych Osobowych jak za własne działania i zaniechania.
3. Każde naruszenie postanowień Umowy, uprawnia Powierzającego do żądania zapłaty kary umownej w wysokości 10 000 zł (słownie: dziesięć tysięcy złotych) za każde naruszenie.
4. Kwota, o której mowa w ustępie 3 powyżej będzie płatna w terminie 14 dni od momentu doręczenia wezwania do zapłaty.
5. W przypadku niedotrzymania terminu, o którym mowa w ust. 4 powyżej, Powierzający może egzekwować kwotę, o której mowa w ust. 3 powyżej w drodze potrąceń z należności wynikających
z tytułu zawartych pomiędzy Powierzającym a Przetwarzającym umów, na co Przetwarzający
wyraża zgodę.
6. Zastrzeżenie w ust. 3 powyżej kary umownej, nie wyłącza możliwości dochodzenia przez
Powierzającego odszkodowania na zasadach ogólnych ponad zastrzeżoną karę.
§ 10.
Czynności związane z zakończeniem Umowy
1. Po zakończeniu Umowy Przetwarzający, zależnie od decyzji Powierzającego, niszczy/ usuwa lub zwraca Powierzającemu wszelkie dokumenty i inne przekazane mu nośniki zawierające Dane Osobowe oraz niezwłocznie i nieodwracalnie niszczy wszelkie kopie dokumentów i usuwa zapisy na wszelkich nośnikach zawierających Dane Osobowe (w tym zgromadzone na kopiach zapasowych), jeżeli nośniki te nie podlegają zwrotowi Powierzającemu chyba, że prawo Unii Europejskiej lub prawo państwa, którego prawu podlega Przetwarzający nakazują Przetwarzającemu dalsze przetwarzanie/ przechowywanie Danych Osobowych. W powyższym przypadku, za przetwarzanie/ przechowywanie Danych Osobowych po rozwiązaniu Umowy Przetwarzający odpowiada jak ich administrator. Zapisy niniejszego ustępu dotyczą również Danych Osobowych przekazanych przez Przetwarzającego Podwykonawcom.
2. Przetwarzający zobowiązany jest niezwłocznie wykonać obowiązek, o którym mowa w ust. 1 powyżej, nie później jednak niż w terminie 14 dni od daty rozwiązania Umowy i potwierdzić Powierzającemu powyższe na piśmie lub w formie elektronicznej w terminie 3 dni od jego wykonania. Przetwarzający sporządzi i przekaże Powierzającemu pisemny protokół z czynności, w którym określi w szczególności:
a) datę (daty) wykonania czynności usunięcia, zniszczenia lub zwrotu Danych Osobowych;
b) zakres usuniętych Danych Osobowych;
c) informację, czy Przetwarzający zachował częściowo lub w całości Dane Osobowe dla innych
celów, które realizuje jako administrator tych danych.
3. Osobą odpowiedzialną za zapewnienie realizacji nałożonych na Przetwarzającego obowiązków, o których mowa w ust. 1 i 2 powyżej są:
ze strony Przetwarzającego:
……………………………………………………… /imię, nazwisko i stanowisko/
……………………………………………………… /imię, nazwisko i stanowisko/ - w razie nieobecności wskazanej powyżej osoby,
ze strony Powierzającego:
Xxxxx Xxxxx – Specjalista ds. Systemu Zarządzania Jakością.
§ 11.
Wynagrodzenie
Wynagrodzenie z tytułu wykonywania przez Przetwarzającego Umowy uwzględnione jest w wysokości wynagrodzenia należnego mu z tytułu Umowy Głównej.
§ 12.
Postanowienia Końcowe
1. Wszelkie zmiany Umowy wymagają, pod rygorem nieważności, formy pisemnej.
2. W sprawach nieuregulowanych Umową zastosowanie mają odpowiednie przepisy prawa polskiego, w tym w szczególności przepisy Ustawy, RODO oraz Kodeksu Cywilnego.
3. Umowa nie stanowi tajemnicy przedsiębiorstwa w rozumieniu przepisów ustawy z dnia 16 kwietnia
1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2018 r., poz. 419 z późniejszymi zmianami).
4. Umowa została sporządzona w dwóch egzemplarzach, w języku polskim, po jednym egzemplarzu dla
każdej ze Stron.
5. Wszelkie spory związane z wykonywaniem Umowy rozstrzygane będą przez sąd właściwy dla siedziby
Powierzającego.
6. W celu zapewnienia prawidłowej realizacji Umowy, Strony poniżej wyznaczają osoby właściwe do kontaktu w sprawach związanych z jej wykonywaniem, po jednej osobie z każdej ze Stron oraz ich zastępców w przypadku nieobecności:
Osoby wyznaczone do kontaktu ze strony Powierzającego:
Xxxxx Xxxxx, Specjalista ds. Systemu Zarządzania Jakością, x00 000 000 000, Xxxxx.Xxxxx@xxxxxxxxxx.xxx.
Osoby wyznaczone do kontaktu ze strony Przetwarzającego:
a /imię i nazwisko i stanowisko/ – jako główna osoba wyznaczona do kontaktu,
b. /imię i nazwisko i stanowisko/ – jako osoba zastępująca.
7. Strony zobowiązują się do natychmiastowego wzajemnego informowania o zmianach osób wyznaczonych do kontaktu, o których mowa w ust. 6 powyżej, w formie pisemnej lub elektronicznej.
PODPISY STRON: |
W imieniu Xxxxxxxxxxxxxx: Podpis: Imię i nazwisko: Stanowisko: Xxxx: |
W imieniu Xxxxxxxxxxxxxx: Podpis: Xxxx i nazwisko: Stanowisko: Data: |
W imieniu Przetwarzającego: |
Podpis: |
Imię i nazwisko: Stanowisko: |
Data: |
Załącznik nr 1 do Umowy
Zasady bezpieczeństwa teleinformatycznego
1. Przesyłanie drogą poczty elektronicznej lub przekazywanie na elektronicznym nośniku danych dowolnych fragmentów lub całych dokumentów/ plików przetwarzanych w ramach zawartej pomiędzy Stronami Umowy Głównej i Umowy, zawierających Dane Osobowe do osób uczestniczących w ich przetwarzaniu ze strony Powierzającego i Przetwarzającego odbywa się przy zastosowaniu kryptograficznych metod szyfrowania treści wiadomości, dokumentów/ plików przy wykorzystaniu oprogramowania np. WinRAR/ 7-zip z algorytmem szyfrującym i haseł zabezpieczających, zapewniających ochronę przed nieautoryzowanym dostępem do treści/ zawartości ww. dokumentów/ plików. Strona odbierająca wiadomość e-mail/ elektroniczny nośnik zobowiązana jest do potwierdzenia jej/ jego odbioru Xxxxxxx wysyłającej/ przekazującej. W przypadku wysyłki (z wyłączeniem wiadomości zabezpieczonych certyfikatem Grupy Azoty) wiadomości/ przekazania elektronicznego nośnika informacji zawierających Informacje Chronione w formie plików/ katalogów (Strony zobowiązują się nie przesyłać Informacji Chronionych w sposób jawnie podany w treści wiadomości e-mail), obligatoryjnie należy ww. pliki/ katalogi zabezpieczyć kryptograficznie oprogramowaniem np. WinRAR/ 7-zip z algorytmem szyfrującym. Hasło w postaci co najmniej ośmioznakowego kodu alfanumerycznego (z zastosowaniem co najmniej 3 spośród 4 grup znaków – mała litera, wielka litera, cyfra, znak specjalny), ustalane jest pomiędzy osobami wysyłającymi/ przekazującymi i odbierającymi informacje i podawane niezależnym kanałem transmisji informacji (np. telefonicznie lub za pośrednictwem wiadomości sms). Przesyłanie informacji może odbywać się pomiędzy systemami poczty elektronicznej wyłącznie administrowanymi przez Strony Porozumienia bądź administrowanymi przez podmioty zewnętrzne, świadczące usługi w tym zakresie na rzecz Stron, z wyłączeniem ogólnodostępnych portali Internetowych (np. ….@xxxx.xx, ……@xx.xx) oraz serwerów pocztowych stron trzecich.
2. Strony zobowiązują się wdrożyć na własny koszt oraz stosować uzgodnione w ramach Umowy procedury, zabezpieczenia fizyczne, organizacyjne i technologiczne (w tym zabezpieczenia chroniące przed działaniem szkodliwego oprogramowania), zapewniające ochronę tych spośród własnych zasobów teleinformatycznych, które uczestniczą bezpośrednio lub pośrednio w procesie przetwarzania Danych Osobowych udostępnianych wzajemnie przez Strony. Stosowane przez Strony procedury i zabezpieczenia muszą być adekwatne do występujących zagrożeń dla bezpieczeństwa Danych Osobowych, w tym uniemożliwiać dostęp osobom nieuprawnionym do ww. zasobów własnych Stron, a także zapobiegać obniżaniu istniejącego u każdej ze Stron poziomu bezpieczeństwa teleinformatycznego.