Umowa powierzenia przetwarzania danych osobowych1
Umowa powierzenia przetwarzania danych osobowych1
zawarta dnia . .2019 r. w pomiędzy:
Spółką Komunalną „DORZECZE BIAŁEJ” Spółka z ograniczoną odpowiedzialnością z siedzibą w Tuchowie (33-170), przy ul. Xxxx XXX Xxxxxxxxxxx 00X, nr KRS: 0000218925, NIP: 9930406600, REGON: 85274782500000, kapitał zakładowy: 58 019 000,00 zł działającą na podstawie wpisu do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa - Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sadowego reprezentowaną przez:
Xxxxxxxxx Xxxxxxxxxx – prezesa zarządu
zwaną/zwanym dalej: „Powierzającym”.
a
Zwaną dalej „Procesorem”,
zwanymi dalej łącznie "Stronami" a każda z osobna "Stroną".
Zważywszy, że:
- Usługi świadczone przez Procesora (dalej "Usługa") na rzecz Powierzającego na podstawie umowy z dnia ……….2019 r. nr umowy (dalej "Umowa podstawowa") wymagać będą przetwarzania
Danych Osobowych (określonych w Załączniku nr 1) przez Procesora, a Strony chcą zapewnić zgodność przetwarzania Danych Osobowych z RODO oraz przepisami w zakresie ochrony danych;
Strony niniejszym postanawiają zawrzeć umowę powierzenia przetwarzania danych osobowych (dalej "Umowa") o następującej treści:
§ 1
Przedmiot Umowy i oświadczenia Stron
1. Przedmiotem niniejszej Umowy jest powierzenie przetwarzania danych osobowych przez Powierzającego, Procesorowi wyłącznie w zakresie i celu wskazanym w Załączniku nr 1 do niniejszej Umowy.
2. Powierzający oświadcza, że jest administratorem danych osobowych będących przedmiotem przetwarzania, które są przetwarzane przez Procesora przy wykonywaniu usługi projektowej, geodezyjnej oraz związanej z wykonaniem robót budowlanych (dalej „Dane Osobowe”).
3. Procesor oświadcza, że:
a. dysponuje odpowiednimi środkami, posiada odpowiednią wiedzę, doświadczenie i wykwalifikowany personel umożliwiające prawidłowe świadczenie Usług;
b. środki zastosowane do przetwarzania i ochrony Danych Osobowych, w tym w szczególności systemy informatyczne, sprzęt, oprogramowanie, a także dokumentacja przetwarzania, w tym polityki i procedury ochrony prywatności spełniają wszelkie wymogi i są zgodne z obowiązującymi przepisami prawa, w tym przepisami RODO oraz przepisami
1 Z Wykonawcą zostanie zawarta jedna umowa na przetwarzanie danych osobowych
poszczególnych państw członkowskich UE, a także wytycznymi odpowiednich organów nadzorczych i Europejskiej Rady Ochrony Danych;
c. osobom zatrudnionym (lub świadczącym usługi na rzecz Procesora na podstawie umów cywilnoprawnych) przy świadczeniu Usług nadane zostały właściwe upoważnienia do przetwarzania Danych Osobowych oraz osoby te zostały zapoznane z obowiązującymi przepisami o ochronie danych osobowych oraz odpowiedzialnością za ich nieprzestrzeganie,
d. wszystkie osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania ich w tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy zgodnie z art. 28 ust. 3 lit. b RODO, a za ich działanie lub zaniechanie Procesor odpowiada jak za swoje własne.
§ 2
Zasady przetwarzania Danych Osobowych
1. Procesor zobowiązuje się realizować zobowiązania wynikające z Umowy podstawowej oraz niniejszej Umowy z najwyższą starannością zawodową mając na uwadze zabezpieczenie interesu prawnego, organizacyjnego i technicznego Powierzającego w zakresie przetwarzania powierzonych Danych Osobowych. Procesor będzie przetwarzać Dane Osobowe wyłącznie w celach związanych z realizacją Umowy podstawowej oraz wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
2. Przetwarzanie danych osobowych w zakresie wykraczającym poza umowę podstawową, jest poza zakresem niniejszej Umowy. Takie przetwarzanie następuje na wyłączną odpowiedzialność Procesora i Procesor jest odpowiedzialny za zapewnienie zgód oraz powiadomień dotyczących takiego przetwarzania.
3. Procesor zobowiązuje się stosować środki techniczne i organizacyjne, opisane w dokumencie stanowiącym załącznik nr 2 do niniejszej Umowy, mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania Danych Osobowych. Jakiekolwiek zmiany środków technicznych i organizacyjnych wprowadzone przez Procesora nie mogą prowadzić do zapewnienia niższego poziomu ochrony niż ten obowiązujący w momencie zawarcia Umowy.
4. Procesor przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Powierzającego, z uwzględnieniem przekazanych instrukcji oraz wymogów obowiązującego prawa, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego stanowi inaczej. W tym ostatnim wypadku mają zastosowanie zapisy ust. 10 pkt c poniżej.
5. Na Powierzającym spoczywa obowiązek wykonania żądań osób, których dotyczą Dane Osobowe oraz przygotowania odpowiedzi na te żądania. Procesor będzie niezwłocznie i z należytą starannością pomagał Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 13-23 RODO.
6. Procesor, uwzględniając charakter przetwarzanych Danych Osobowych oraz dostępne mu informacje, pomaga Powierzającemu wywiązać się z obowiązków określonych w art. 28 oraz 32- 36 RODO.
7. Procesor po zakończeniu obowiązywania Umowy, w zależności od decyzji Powierzającego, usuwa lub zwraca mu wszelkie Xxxx Xxxxxxx oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie Danych Osobowych przez dalszy okres.
8. Procesor udostępnia Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO oraz niniejszej Umowie, a także umożliwia Powierzającemu lub osobom przez niego upoważnionym na przeprowadzanie audytów (w tym kontroli w siedzibie Procesora lub miejscu, w którym świadczy Usługi), przez Powierzającego lub podmiot przez niego wyznaczony, związanych z przetwarzaniem Danych Osobowych i świadczeniem Usług, w szczególności celem wykazania przez Powierzającego zgodności przetwarzania z obowiązującymi przepisami prawa.
9. Na wniosek Powierzającego lub osoby, której dane dotyczą Procesor wskazuje miejsca, w których przetwarza Dane Osobowe i świadczy Usługi oraz podmioty, z których korzysta w celu przetwarzania Danych Osobowych.
10. Procesor zobowiązany jest informować Powierzającego, bez zbędnej zwłoki, o:
a. wszelkich prawnie wiążących wezwaniach do udostępnienia Danych Osobowych przez organy ścigania, o ile nie będzie to niedozwolone;
b. wszelkich skargach i wnioskach złożonych przez osoby, których dane dotyczą, z wyłączeniem prawa Procesora do odpowiadania na takie skargi lub wnioski, o ile nie został do tego upoważniony przez Powierzającego;
c. wszelkich czynnościach, które Procesor jest zobowiązany podjąć na podstawie przepisów unijnych lub państwa członkowskiego, którym podlega, które wykraczają poza instrukcje Powierzającego, chyba że przepisy nie zezwalają na informowanie Powierzającego o takich czynnościach ze względu na ważny interes publiczny;
d. jeśli jego zdaniem wydane polecenie Powierzającego stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.
11. Powierzający wyraża zgodę na korzystanie przez Procesora z usług innego podmiotu przetwarzającego Dane Osobowe (podwykonawcy) na potrzeby realizacji praw i obowiązków wynikających z niniejszej Umowy, w tym w szczególności na potrzeby świadczenia Usług, pod warunkiem wcześniejszego poinformowania Powierzającego o zamierzanie korzystania z podwykonawcy. Powierzający zastrzega, iż będzie mieć każdorazowo prawo wyrażenia sprzeciwu (także za pośrednictwem poczty elektronicznej na wskazany adres e-mail) wobec zamiaru wprowadzenia nowego podwykonawcy lub zastąpienia istniejącego podwykonawcy przez Procesora w ciągu 30 dni od otrzymania informacji o planowanej zmianie. Procesor zapewnia, iż podwykonawca wypełnia te same obowiązki ochrony Danych Osobowych, jakie zostały nałożone na Procesora w niniejszej Umowie, w szczególności obowiązek zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzane przez niego Danych Osobowych było zgodne z wymogami RODO. Procesor ponosi pełną odpowiedzialność za wypełnienie tych obowiązków ochrony danych osobowych przez podwykonawcę.
§ 3
Naruszenie bezpieczeństwa danych
1. Jeśli Procesor poweźmie informację o jakimkolwiek naruszeniu bezpieczeństwa przetwarzanych Danych Osobowych ("Naruszenie") zobowiązany jest niezwłocznie powiadomić Powierzającego o takim Naruszeniu, jednak nie później niż w ciągu 24 godzin od momentu w którym Procesor posiadł taką informację.
2. Informacja skierowana do Powierzającego w związku z Naruszeniem powinna zawierać następujące dane:
a. opis charakteru Naruszenia, w tym (o ile to możliwe) kategorii i przybliżonej liczby osób, których dane dotyczą objętych Naruszeniem oraz kategorii i przybliżonej liczby danych, których takie Naruszenie dotyczy;
b. opis przewidywanych konsekwencji Naruszenia;
c. opis podjętych działań i zastosowanych środków (lub propozycje środków, które zostaną zastosowane) przez Procesora celem zaadresowania Naruszenia oraz środków mających na celu zapobieżenie jego negatywnym skutkom.
3. Na żądanie Powierzającego, Procesor jest zobowiązany przekazać Powierzającemu pełną dokumentację dotyczącą Naruszenia, jego skutków oraz działań podjętych przez Procesora w związku z Naruszeniem. Niezależnie od powyższego, Procesor zobowiązany jest wspomagać Powierzający w jego wynikających z przepisów RODO obowiązkach notyfikacyjnych dotyczących naruszenia ochrony Danych Osobowych.
§ 4
Odpowiedzialność Stron
1. Strony ponoszą odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony Danych Osobowych według RODO.
2. Procesor ponosi odpowiedzialność za wszelkie szkody poniesione przez Powierzający lub osoby trzecie w wyniku przetwarzania Danych Osobowych przez Procesora oraz jego podwykonawców określonych w § 2 ust. 11, w sposób niezgodny z niniejszą Umową, przepisami prawa lub poleceniami Powierzającego.
3. Niezależnie od powyższego, Procesor zobowiązany jest zadośćuczynić oraz zwolnić Powierzający z odpowiedzialności wobec osób fizycznych wynikającej z naruszenia przez Procesora Umowy lub związanej z Naruszeniem, do którego doszło na skutek działań lub zaniechań Procesora lub jego podwykonawców.
§ 5
Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
2. Umowa wchodzi w życie w dniu jej podpisania.
3. Niniejsza Umowa zostaje zawarta na czas obowiązywania Umowy podstawowej i ulega automatycznemu wygaśnięciu w przypadku rozwiązania Umowy podstawowej.
4. W przypadku, gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy jak wymienione wyżej ogólne rozporządzenie o ochronie danych, a także wszelkie nowelizacje przepisów obowiązującego prawa, jakie wejdą w życie po dniu zawarcia Umowy.
5. W przypadku rozbieżności pomiędzy postanowieniami niniejszej Umowy a postanowieniami wszelkich innych umów zawartych pomiędzy Stronami, moc rozstrzygającą w odniesieniu do obowiązków Stron w zakresie ochrony Danych Osobowych będą miały postanowienia niniejszej Umowy. W przypadku wątpliwości co do tego, czy postanowienia zawarte w innych umowach odnoszą się do obowiązków Stron w zakresie ochrony Danych Osobowych, pierwszeństwo mają postanowienia niniejszej Umowy.
6. Jeżeli kiedykolwiek którekolwiek z postanowień niniejszej Umowy okaże się lub stanie się nieważne lub niemożliwe do egzekwowania w myśl obowiązujących przepisów w żaden sposób nie wpłynie to na ważność, wykonalność i legalność pozostałych postanowień niniejszej Umowy. Nieważne postanowienie zostanie zastąpione postanowieniem ważnym, oddającym możliwie najbliżej pierwotne znaczenie oraz cel i zamiar handlowy nieważnego postanowienia.
7. Niniejsza Umowa podlega przepisom prawa polskiego, a Sądem właściwym dla rozstrzygnięcia ewentualnych sporów pomiędzy Stronami będzie Sąd właściwy miejscowo dla siedziby Powierzającego.
8. Załączniki do niniejszej Umowy stanowią jej integralną część.
9. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Powierzający Procesor
Załącznik nr 1 - Zakres powierzenia przetwarzania
Charakter i cel przetwarzania
Dane Osobowe będą przetwarzane przez Procesora w celu korzystania przez Powierzający z Usług Procesora związanych z zawarciem i wykonywaniem umowy o pełnienie funkcji nadzoru inwestorskiego na zadaniu inwestycyjnym pn. Zaprojektowanie i wykonanie robót budowlanych w ramach projektu pn. „Uporządkowanie gospodarki wodno – ściekowej na terenie Gminy Ciężkowice”
– Kontrakt I i III.
Przedmiot i czynności przetwarzania
Procesor będzie dokonywał następujących czynności na rzecz Powierzającego:
Przetwarzanie danych osobowych będzie w głównej mierze obejmować dane osobowe autorów opracowań przekazanych przez Xxxxxxxxxxxxx (protokoły, raporty i inne) oraz dane właścicieli nieruchomości zlokalizowanych w terenie na którym planuje się inwestycje oraz nieruchomości o nieuregulowanym stanie prawnym, dane pracowników Powierzającego.
Kategorie osób, których dane dotyczą
‐ Pracownicy/partnerzy Zamawiającego,
‐ Właściciele nieruchomości,
‐ Autorzy opracowań.
Rodzaje danych osobowych podlegających przetwarzaniu.
‐ Xxxx Xxxxxxxxxxx:
Imię i nazwisko lub nazwa firmy, PESEL osoby fizycznej, REGON, Kod pocztowy, miejscowość, Ulica, Nr domu, Nr mieszkania, Nr telefonu, Adres poczty e-mail - niezbędny do kontaktu,
‐ Dane Partnerów:
Imię i nazwisko lub nazwa firmy, PESEL osoby fizycznej, Kod pocztowy, Miejscowość, Ulica, Nr domu, Nr mieszkania, Nr telefonu, Adres poczty e-mail - niezbędny do kontaktu ,
‐ Dane właścicieli nieruchomości:
Imię, nazwisko, XXXXX, adres korespondencyjny i adres zamieszkania, nr telefonu, adres e-mail, nazwa firmy, nr. Działki i KW, dane osobowe zawarte w KW.
‐ Autorzy opracowań:
Imię i nazwisko lub nazwa firmy, PESEL osoby fizycznej, nr uprawnień , Kod pocztowy, Miejscowość, Ulica, Nr domu, Nr mieszkania, Nr telefonu, Adres poczty e-mail - niezbędny do kontaktu ,
Wykonawca jest uprawniony do wykonywania w szczególności takich operacji na powyższych danych osobowych jak: gromadzenie, utrwalanie, opracowywanie, przechowywanie, usuwanie.
Załącznik nr 2 - Środki techniczne i organizacyjne, które Procesor zobowiązany jest zachować w celu zapewnienia bezpieczeństwa danych osobowych
Zgodnie z RODO (art. 32 oraz motyw 83) Procesor zobowiązuje się podjąć stosowne środki techniczne i organizacyjne, które zapewnią bezpieczeństwo danych oraz bezpieczeństwo operacji na danych.
Stosowane przez Procesora środki techniczne i organizacyjne powinny spełniać szereg niżej określonych reguł i zasad, a ich niedotrzymanie może skutkować odpowiedzialnością karną / finansową, wynikającą z niedotrzymania zapisów ustawy o ochronie danych osobowych.
Dodatkowo Procesor zobowiązuje się niezwłocznie (jednak nie później niż w terminie 3 dni roboczych) poinformować Przetwarzającego o każdym przypadku / incydencie, w którym niedotrzymane zostały ustalenia wskazane przez poniższe reguły i zasady.
1. Reguła minimalnych praw
Procesor zobowiązuje się udostępniać prawa dostępu do danych przetwarzanych w systemach informatycznych Przetwarzającemu oraz podczas wykonywania umowy podstawowej, zgodnie z zasadą "minimalne prawa", tj. przyznając jedynie dedykowanym pracownikom minimalne prawa dostępu niezbędne do wykonywania obowiązków na danym stanowisku.
Każdy pracownik Procesora winien posiadać jedynie taki dostęp do danych, który jest niezbędny do wykonywania obowiązków tego konkretnego pracownika.
2. Reguła wielopoziomowego systemu zabezpieczeń
Procesor zobowiązuje się zastosować profesjonalną ochronę przed wirusami dostarczaną przez dostępne na rynku oprogramowania antywirusowe służące do tego celu oraz poprzez odpowiednie ustawienia w aktualizacji systemu Windows.
3. Zasady dostępu do poufnych danych na komputerach osobistych
Procesor umożliwia dostęp do danych poufnych przekazywanych przez powierzającego jedynie dedykowanym pracownikom. Wszelkie pozostałe próby dostępu (udane / nieudane) do danych poufnych powinny zostać zarejestrowane na serwerze.
Ponadto komputery przenośne (notebooki) muszą być dodatkowo zabezpieczone.
Dane poufne przekazywane przez Procesora poza firmę powinny być szyfrowane (również w przypadku, gdy są one udostępniane poprzez firmową sieć Wi-Fi).
4. Środki ochrony fizycznej danych
Wszelka dokumentacja (w tym: oświadczenia o dysponowaniu nieruchomością na cele budowlane ) zawierająca dane osobowe przechowywana jest w dedykowanym do tego i zabezpieczonym pomieszczeniu lub zamkniętej szafie.
Dostęp do niniejszego pomieszczenia lub klucz do szafy mają tylko określeni pracownicy Procesora, którzy zostali do tego przez niego upoważnieni.
Pomieszczenie, w którym przechowywana jest ww. dokumentacja zabezpieczone jest przed skutkami pożaru za pomocą̨gaśnicy.
Dokumenty zawierające dane osobowe po ustaniu przydatności są zwracane Zamawiającemu bądź na
jego polecenie niszczone w sposób mechaniczny za pomocą̨niszczarek dokumentów.
5. Bezpieczeństwo stacji roboczych
Stacje robocze są chronione przed nieuprawnionym dostępem przez osoby trzecie. Główne środki bezpieczeństwa stosowane przez Procesora obejmują:
‐ zapewnienie dostępu do każdej stacji roboczej jedynie poprzez hasło dostępu;
‐ zagwarantowanie, iż komputery osobiste nigdy nie są pozostawione bez opieki, chyba że są wyłączone;
‐ zagwarantowanie, iż bieżąca praca wykonywana jest za pośrednictwem kont użytkowników bez uprawnień administracyjnych.
6. Reguły tworzenia i przechowywania haseł
Hasła dostępu stosowane przez pracowników Procesora (dotyczy haseł dostępu do systemu sprzedażowego POWIERZAJĄCY / systemu rejestracji szkód oraz do komputera pracownika):
‐ powinny być zmienione niezwłocznie po otrzymaniu hasła jednorazowego;
‐ muszą być okresowo zmieniane (o ile system to umożliwia);
‐ nie mogą być przechowywane w miejscu dostępnym;
‐ nie mogą być proste do odgadnięcia (powinny składać się z min. 8 znaków oraz zawierać duże i małe litery, cyfry oraz znaki specjalne).
7. Odpowiedzialność pracowników za dane
Każdy pracownik Procesora jest przeszkolony i zobowiązany do zachowania poufności i nie udostępniania danych osobom trzecim.
8. Edukacja bezpieczeństwa pracowników
Procesor zapewnia szkolenia pracowników w zakresie bezpieczeństwa informacji, których zakres dostosowany jest do obowiązków powierzanych danemu pracownikowi.
9. Transport poufnych danych przez pracowników
Niezabezpieczone dane poufne nie mogą być transportowane - zabronione jest w szczególności przesyłanie poufnych danych na elektronicznych nośnikach danych (takich jak dyski flash lub dyski CD) poza siedzibę Procesora.
10. Wykorzystanie korporacyjnej infrastruktury IT do celów prywatnych
Używanie korporacyjnej infrastruktury IT do celów prywatnych jest zabronione.
11. Sieć lokalna (LAN)
Procesor jest zobowiązany chronić sieć lokalną przed nieuprawnionym dostępem w następujący sposób:
‐ serwery krytyczne są oddzielone od sieci klientów;
‐ goście nie mają dostępu do sieci lokalnej.
12. Dane osobowe
Procesor zobowiązany jest przestrzegać obowiązujących przepisów prawa określonych w ustawach o ochronie danych osobowych, ich aktualizacjach oraz związanych z nimi rozporządzeniach i kodeksach postepowania.
13. Stanowisko pracy
Monitory komputerów pracowników Procesora powinny być ustawione w taki sposób, aby uniemożliwiało to wgląd do danych osobom postronnym.
14. Dostęp do systemów informatycznych po rozwiązaniu umowy o pracę
W przypadku rozwiązania umowy o pracę z pracownikiem, Procesor zobowiązany jest zapewnić, że wszystkie prawa dostępu do systemów informatycznych tego pracownika zostały wyłączone.