Załącznik nr 3 do Umowy nr …………… z dnia …………………... UMOWA POWIERZENIA PRZETWARZANIA DANYCH
Załącznik nr 3 do Umowy nr …………… z dnia …………………...
UMOWA POWIERZENIA PRZETWARZANIA DANYCH
zawarta w dniu _____________ w _______________, pomiędzy:
………………… (nazwa, siedziba, dane Zleceniodawcy/Zamawiającego)
……………………………………………………………………………………….
zwaną/ym dalej „Administratorem”
a
………………………………. (nazwa, siedziba, dane Zleceniobiorcy/Wykonawcy - LEKARO),
reprezentowanym przez: ………………………………
zwanym dalej „Przetwarzającym”,
zwanymi dalej jako „Strona”, a łącznie jako „Strony”.
§ 1 DEFINICJE
Dla potrzeb Umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
Xxxx Xxxxxxx – dane w rozumieniu art. 4 pkt 1) Rozporządzenia 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
Przetwarzanie Danych Osobowych – wszelkie operacje lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu art. 4 pkt 2) Rozporządzenia 2016/679;
Umowa – niniejsza umowa;
Umowa Główna – zawarta przez Administratora z Przetwarzającym umowa w związku z niszczeniem dokumentacji archiwalnej, przeznaczonej do utylizacji.
Rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).
§ 2 OŚWIADCZENIA STRON
Strony oświadczają, co następuje:
Strony oświadczają, że Umowa została zawarta w celu wykonania obowiązków, o których mowa w art. 28 Rozporządzenia 2016/679, w związku z zawarciem Umowy Głównej,
Administrator oświadcza, iż jest administratorem Danych Osobowych w rozumieniu art. 4 pkt 7) Rozporządzenia 2016/679, tj. podmiotem który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych Osobowych.
Przetwarzający oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8) Rozporządzenia 2016/679 w ramach Umowy, co oznacza że będzie przetwarzał Xxxx Xxxxxxx w imieniu Administratora.
§ 3 PRZEDMIOT I CZAS TRWANIA PRZETWARZANIA
Administrator powierza Przetwarzającemu do przetwarzania Dane Osobowe, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową, w zakresie dokonywania czynności odbioru i zagospodarowania odpadów komunalnych z zamieszkanych nieruchomości położonych na terenie gminy Michałowice..
Umowa zostaje zawarta na czas obowiązywania Umowy Głównej oraz wykonania wszystkich zobowiązań wynikających z Umowy.
§ 4 CEL I PODSTAWOWE ZASADY PRZETWARZANIA
Przetwarzający może przetwarzać Dane Osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.
Celem powierzenia Przetwarzania Danych Osobowych jest wykonywanie Umowy Głównej, to jest w celu dokonywania czynności odbioru
i zagospodarowania odpadów komunalnych z zamieszkanych nieruchomości położonych na terenie gminy Michałowice. W ramach przetwarzania danych Przetwarzający może dokonywać na powierzonych Danych Osobowych następujących operacji: organizowanie, porządkowanie, przechowywanie, przeglądanie, usuwanie.Zakres przetwarzanych przez Przetwarzającego Danych Osobowych na podstawie Umowy obejmuje dane osób zamieszkanych nieruchomości położonych na terenie gminy Michałowice.
Przetwarzający przetwarza Dane Osobowe wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uważa się polecenie przetwarzania danych zawarte w Umowie Głównej, a także wskazówki lub instrukcje przekazywane przez Administratora w trakcie obowiązywania Umowy drogą elektroniczną na adres e-mail: ……………….. lub na piśmie.
Przy przetwarzaniu Danych Osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w Umowie, w tym wskazówek i instrukcji przekazywanych przez Administratora oraz w Rozporządzeniu 2016/679.
§ 5 SZCZEGÓŁOWE ZASADY POWIERZENIA PRZETWARZANIA
Przed rozpoczęciem Przetwarzania Danych Osobowych Przetwarzający podejmuje środki zabezpieczające Dane osobowe, o których mowa w art. 32 RODO, a w szczególności:
uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych Osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem,
zapewnia by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je zgodnie z poleceniem Administratora, w tym według jego wskazówek i instrukcji, w celach i zakresie przewidzianym w Umowie,
prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 Rozporządzenia 2016/679, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 Rozporządzenia 2016/679.
Przetwarzający zapewnia, aby osoby mające dostęp do Przetwarzania Danych Osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy oraz ustaniu zatrudnienia u Przetwarzającego. W tym celu Przetwarzający dopuści do przetwarzania danych tylko osoby, które podpisały zobowiązanie do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
§ 6 DALSZE OBOWIĄZKI PRZETWARZAJĄCEGO
Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia 2016/679; w szczególności, Przetwarzający zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczania Danych Osobowych oraz Przetwarzający zobowiązuje się przekazywać Administratorowi informacje dotyczące przypadków naruszenia ochrony Danych Osobowych w ciągu 24 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 Rozporządzenia 2016/679, w szczególności Przetwarzający zobowiązuje się do poinformowania Administratora o złożonym żądaniu osoby, której dane dotyczą w ciągu 5 dni od dnia otrzymania takiego żądania.
Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną Danych Osobowych, dotyczących Przetwarzania Danych Osobowych, w szczególności w zakresie stosowania Rozporządzenia 2016/679.
Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora (według sposobu kontaktu lub przesyłania zawiadomień oznaczonego w Umowie Głównej) o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym Przetwarzania powierzonych Danych Osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym Przetwarzania powierzonych Danych Osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących Przetwarzania powierzonych Danych Osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.
§ 7 PODPOWIERZENIE PRZETWARZANIA
Przetwarzający może korzystać z usług innego podmiotu przetwarzającego (subprocesora).
Jeżeli Przetwarzający zamierza podpowierzyć przetwarzanie Danych Osobowych podwykonawcom, to musi uprzednio poinformować Administratora o zamiarze podpowierzenia oraz o tożsamości (nazwie) podmiotu, któremu ma zamiar podpowierzyć przetwarzanie danych, a także o charakterze podpowierzenia, zakresie danych i czasie trwania podpowierzenia. O ile Administrator nie wyrazi sprzeciwu wobec podpowierzenia w terminie 7 dni od daty zawiadomienia, Przetwarzający uprawniony będzie do dokonania podpowierzenia.
W przypadku podpowierzenia przetwarzania Danych Osobowych, podpowierzenie przetwarzania będzie mieć za podstawę umowę, na podstawie której podwykonawca (subprocesor) zobowiąże się do wykonywania tych samych obowiązków, które na mocy Umowy nałożone są na Przetwarzającego. Umowa z subprocesorem będzie podpisana w tej samej formie co Umowa.
Administratorowi będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec podwykonawcy (subprocesora). Przetwarzający poinformuje Administratora w przypadku rozwiązania umowy podpowierzenia w terminie 3 dni.
Przetwarzający zapewni, aby podwykonawcy (subprocesorzy), którym podpowierzono przetwarzanie danych stosowały co najmniej równorzędny poziom ochrony Danych Osobowych co Przetwarzający.
Jeżeli podwykonawcy (subprocesorzy), którym podpowierzono przetwarzanie Danych Osobowych nie wywiążą się ze spoczywających na nich obowiązków Ochrony Danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tych subprocesorów spoczywa na Przetwarzającym.
§ 8 AUDYT PRZETWARZAJĄCEGO
Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania Danych Osobowych wynikających Rozporządzenia 2016/679 oraz Umowy przez Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych Danych Osobowych.
Administrator ma także prawo przeprowadzania audytów lub inspekcji Przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z Umową. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być przeprowadzane przez podmioty trzecie upoważnione przez Administratora.
Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie Rozporządzenia 2016/679 lub innych przepisów o ochronie danych.
§ 9 ODPOWIEDZIALNOŚĆ STRON
Przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z Umową Przetwarzania przez Przetwarzającego Danych Osobowych. Przetwarzający ponosi odpowiedzialność za wszelkie działania i zaniechania podwykonawcy (subprocesora) lub osób upoważnionych przez Przetwarzającego do przetwarzania Danych Osobowych jak za własne działania i zaniechania.
W przypadku niewykonania lub nienależytego wykonania przez Przetwarzającego Umowy, Przetwarzający zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 10 ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA
Po zakończeniu świadczenia usług związanych z przetwarzaniem Przetwarzający, na żądanie Administratora, z zastrzeżeniem ust. 2, zobowiązany jest zaprzestać Przetwarzania Danych Osobowych i usunąć ze swoich zbiorów i systemów informatycznych wszelkie Dane Osobowe i ich istniejące kopie.
Pomimo zaprzestania świadczenia usług związanych z powierzeniem Przetwarzania Danych osobowych, Przetwarzający jest uprawniony do przetwarzania danych dotyczących potwierdzenia wykonania usługi na rzecz Administratora, w szczególności zapisów w ewidencji korespondencji prowadzonej przez Przetwarzającego.
Przez usunięcie danych osobowych, o którym mowa w ust. 1, rozumieć należy zniszczenie Danych Osobowych lub taką ich modyfikację, która nie pozwoli na zidentyfikowanie osoby, której dane dotyczą.
Usunięcie danych należy udokumentować pisemnym oświadczeniem podpisanym przez osoby uprawnione przez Przetwarzającego. Przetwarzający zobowiązuje się do przekazania Administratorowi oświadczenia o usunięciu Danych Osobowych w terminie 7 dni od zgłoszenia takiego żądania przez Administratora.
Rozwiązanie Umowy Głównej w każdym czasie i trybie przez którąkolwiek ze Stron skutkuje wygaśnięciem Umowy.
Administrator uprawniony jest do rozwiązania Umowy ze skutkiem natychmiastowym w przypadku, gdy:
organ nadzorczy stwierdzi, że Przetwarzający nie przestrzega zasad przetwarzania danych osobowych w stosunku do danych powierzonych przez Administratora,
Administrator, w wyniku przeprowadzenia audytu, o którym mowa w § 8 Umowy stwierdzi, że Przetwarzający nie przestrzega zasad Przetwarzania Danych Osobowych w stosunku do danych powierzonych przez Administratora i bezskutecznie upłynął 14-dniowy termin na usunięcie naruszeń,
Przetwarzający wykorzystywał Dane Osobowe niezgodnie z Umową lub z przepisami prawa, niewłaściwie przetwarzał powierzone Xxxx Xxxxxxx pomimo xxxxxxxxxxx xxxxxxxx do zmiany sposobu ich przetwarzania, lub powierzył przetwarzanie Danych Osobowych innemu podmiotowi bez zgody Administratora.
§ 11 POSTANOWIENIA KOŃCOWE
Umowa wchodzi w życie z dniem podpisania i zastępuje wszelkie wcześniejsze ustalenia dotyczące powierzenia przetwarzania danych osobowych przez Administratora.
Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
W sprawach nieuregulowanych Umową mają zastosowanie przepisy Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny. (t.j. Dz. U. z 2017 r. poz. 459 ze zm.) oraz przepisy Rozporządzenia 2016/679.
Spory związane z wykonywaniem Umowy rozstrzygane będą przez sąd właściwy dla siedziby pozwanego.
Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
W imieniu Administratora W imieniu Przetwarzającego
______________________ ______________________