P7/Z1/PODO – Wzór umowy powierzenia danych osobowych
P7/Z1/PODO – Wzór umowy powierzenia danych osobowych
Umowa/Porozumienie w sprawie powierzenia przetwarzania danych osobowych
zawarta w Sosnowcu w dniu r. pomiędzy:
1. Gminą Sosnowiec - Prezydentem Miasta Sosnowca Al. Zwycięstwa 20
41-200 Sosnowiec
NIP: 000-000-00-00
reprezentowanym przez:
……………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………
- zwanym w dalszej części niniejszej umowy „Administratorem”
a
2. ……………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………… NIP: ……………………………………………………………………………………………………………………………………………. KRS: …………………………………………………………………………………………………………………………………………….
- zwanym w dalszej części niniejszej umowy „Podmiotem przetwarzającym”
o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. Administratorem zgodnie z art. 4 pkt. 7) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L 2016 Nr 119, str. 1) (dalej: RODO) danych osobowych, których przetwarzanie powierza się, jest Prezydent Miasta Sosnowca.
2. Administrator powierza i poleca Podmiotowi przetwarzającemu na podstawie art. 28 ust. 3 przetwarzanie danych osobowych.
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonywania przez Podmiot przetwarzający zadań określonych w umowie nr ……………………………………………………………………………………………., która jest w dalszej części nazywana umową główną.
§ 2
Przedmiot powierzenia
1. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe dotyczące:
1) Właścicieli nieruchomości i działek
2. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe zawierające:
1) imię i nazwisko,
2) adres zamieszkania,
3) pesel, numer telefonu, adres email.
4) nr działki
5) nr księgi wieczystej
3. Dane osobowe, które zostają powierzone nie obejmują szczególne kategorie danych osobowych zdefiniowane w art. 9 ust. 1 RODO.
4. Administrator powierza dokonywanie następujących operacji przetwarzania:
1) zbieranie,
2) utrwalanie,
3) przechowywanie,
4) przeglądanie.
5. Przetwarzanie powierzonych danych odbywa się w systemie informatycznym oraz w formie papierowej.
6. Powierzone dane osobowe są przetwarzane na podstawie art. 6 ust. 1 e) RODO. w zw. z art. 7 ust. 1 pkt. 2 ustawy o samorządzie gminnym.
7. Powierzone dane osobowe są przetwarzane w celu realizacji zadania pn. Opracowanie
dokumentacji projektowej oraz pełnienie nadzoru autorskiego dla zadania inwestycyjnego pn.:
„Rozbudowa ul. Gen. Xxxxxxxx Xxxxxxxxxx w Sosnowcu”
8. Przetwarzanie powierzonych danych obywa się w charakterze wykonywania na zlecenie administratora zadań związanych z przygotowaniem procesu inwestycyjnego (wykonanie dokumentacji projektowej, sprawowanie nadzoru autorskiego oraz wykonywanie robót budowlanych zgodnie z wykonaną dokumentacją projektową).
§ 3
Sposób wykonania Umowy w zakresie przetwarzania danych osobowych
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu danych osobowych, o których mowa w § 2, do ich zabezpieczenia poprzez podjęcie środków technicznych i organizacyjnych, które zapewnią adekwatne do ryzyka naruszenia praw lub wolności osób fizycznych, w tym zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.
2. Podmiot przetwarzający zobowiązuje się wykonać zobowiązania określone w niniejszej umowie z należytą starannością.
3. Podmiot przetwarzający oświadcza, że stosuje odpowiednie do rodzaju i skali przetwarzania danych, środki techniczne i organizacyjne zapewniające możliwość realizacji obowiązku informacyjnego oraz praw osób, których dane dotyczą, które wskazane zostały w rozdziale III RODO:
1) dostęp do danych;
2) możliwość ich sprostowania;
3) prawo do bycia zapomnianym;
4) ograniczenie przetwarzania;
5) mechanizm przenoszenia danych;
6) realizacja prawa sprzeciwu;
7) niepodleganie zautomatyzowanemu podejmowaniu decyzji.
4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
5. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych danych wyłącznie w celu realizacji Umowy, w szczególności Podmiot przetwarzający nie będzie przetwarzał powierzonych danych we własnych celach, innych niż te wskazane w §2 ust. 7.
6. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia w trakcie trwania umowy jak i po zakończeniu jej realizacji.
7. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych danych wyłącznie w miejscach, w których przetwarzanie danych osobowych jest niezbędne do wykonania obowiązków zawartych w umowie głównej.
8. Podmiot przetwarzający zobowiązuje się do pomocy Administratorowi, aby ten mógł właściwie wywiązywać się z obowiązków określonych w art. 32–36 RODO, czyli do obowiązków z zakresu:
1) bezpieczeństwa przetwarzanych danych;
2) zgłaszania i powiadamiania o ewentualnych naruszeniach ochrony danych;
3) oceny skutków przetwarzania danych z uwagi na wysokie ryzyko dla osób, których dane dotyczą;
4) prowadzenia konsultacji z organem nadzorczym.
9. Podmiot przetwarzający zobowiązuje się do dopuszczenia do przetwarzania danych wyłącznie osoby, które:
1) posiadają aktualne i ważne upoważnienie do przetwarzania danych osobowych w imieniu Podmiotu przetwarzającego,
2) złożyły oświadczenie, w którym zobowiązują się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia w trakcie trwania stosunku prawnego łączącego te osoby z Podmiotem przetwarzającym, jak i po jego ustaniu,
3) zostały odpowiednio przeszkolone z zakresu ochrony danych osobowych,
4) zostały pouczone o odpowiedzialności pracowniczej, cywilnej i karnej za naruszenie zasad ochrony danych osobowych.
10.W związku z powierzonymi w §2 ust. 4 czynnościami Podmiot przetwarzający zobowiązuje się do samodzielnego wykonywania w imieniu Administratora obowiązków wskazanych w art. 13/14/15/16/17/18/21/ RODO.
11.Podmiot przetwarzający zobowiązuje się do przekazania Administratorowi aktualnej listy osób, które będą w jego imieniu przetwarzać powierzone dane osobowe na każde żądanie Administratora w terminie 7 dni.
12.Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a w szczególności gdy zakaz ma na celu zapewnienia poufności wszczętego postępowania,
2) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie.
3) każdym naruszeniu ochrony danych osobowych nie później niż w terminie 24 godzin od momentu powzięcia informacji o tym naruszeniu.
13.Z zakresie pomocy Administratorowi w zakresie zgłaszania i powiadamiania o naruszeniach ochrony danych osobowych wskazanej w ust. 8 pkt. 2), podmiot przetwarzający zobowiązany jest do przekazania informacji o naruszeniu zgodnie z ust. 14 pkt. 3), a także do bezzwłocznego przekazywania wszelkich dodatkowych informacji dotyczących naruszenia na każde żądanie Administratora.
14.Podmiot przetwarzający zobowiązuje się niezwłocznie powiadomić Administratora o:
1) stosowaniu zatwierdzonego Kodeksu postępowania, o którym mowa w art. 40 RODO, a także jego zmianie lub rozszerzeniu;
2) stosowaniu zatwierdzonego mechanizmu certyfikacji w zakresie ochrony danych osobowych, o którym mowa w art. 42 RODO.
15.Podmiot przetwarzający zobowiązuje się do prowadzenia rejestru kategorii czynności przetwarzania zgodnie z wymogami art. 30 ust. 2 RODO.
16.Podmiot przetwarzający zobowiązany jest do przekazywania aktualnego rejestru, o którym mowa w ust. 15, Administratorowi nie później niż w terminie 3 dni od rozpoczęcia powierzenia, a w dalszym czasie od momentu dokonania zmiany w rejestrze.
§ 4
Kontrola wykonywania Umowy
1. Administrator ma prawo żądać od Podmiotu przetwarzającego pisemnych wyjaśnień dotyczących realizacji umowy w czasie trwania umowy jak i po okresie jej realizacji. W piśmie Administrator każdorazowo wyznaczy termin odpowiedzi zależny od treści żądania, ale nie krótszy niż 3 dni robocze.
2. Administrator ma prawo do kontroli sposobu wykonywania niniejszej Umowy poprzez przeprowadzenie zapowiedzianych na 7 dni wcześniej doraźnych kontroli dotyczących
przetwarzania danych osobowych przez Podmiot przetwarzający oraz żądania składania przez niego pisemnych wyjaśnień.
3. Administrator zastrzega sobie prawo do upoważnienia do dokonania kontroli w swoim imieniu pracowników podległych.
4. Na zakończenie kontroli, o których mowa w ust. 2, przedstawiciel Administratora sporządza protokół w 2 egzemplarzach, który podpisują przedstawiciele obu stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 7 dni od daty jego podpisania przez strony.
5. Podmiot przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
6. Zalecenie pokontrolne, co do których Podmiot przetwarzający nie wnosi sprzeciwu w terminie 7 dni od ich otrzymania, stają się częścią niniejszej Umowy.
§ 5
Odpowiedzialność Podmiotu Przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową, a w szczególności za udostępnienie osobom nieupoważnionym.
2. Podmiot przetwarzający przyjmuje do wiadomości, iż w związku z realizacją Umowy może być poddany kontroli zgodności przetwarzania danych przez organ nadzorczy w trybie przewidzianym w przepisach prawa.
3. Podmiot przetwarzający ponosi odpowiedzialność za będące następstwem zachowań jego oraz osób działających na jego zlecenie szkody wyrządzone przetwarzaniem danych osobowych, w szczególności szkody wyrządzone utratą, niewłaściwym przechowywaniem lub posłużeniem się dokumentami, które są nośnikiem danych, chyba że Podmiot przetwarzający udowodni, że nie ponosi odpowiedzialności za szkody.
4. Podmiot przetwarzający odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem przez niego powierzonych danych osobowych.
5. W przypadku naruszenia przepisów dotyczących ochrony danych osobowych w ramach realizacji niniejszej Umowy z przyczyn leżących po stronie Podmiotu przetwarzającego, w następstwie których Administrator zostanie zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub ukarany karą administracyjną, Podmiot przetwarzający zobowiązuje się do zwrócenia równowartości odszkodowania, zadośćuczynienia lub kary poniesionych przez Administratora.
§ 6
Czas obowiązywania Umowy powierzenia
Niniejsza Umowa powierzenia zostaje zawarta na czas trwania umowy głównej.
§ 7
Dalsze powierzenie przetwarzania danych
1. Podmiot przetwarzający może dokonać dalszego powierzenia przetwarzania danych osobowych jedynie za pisemną zgodą Administratora.
2. Jeżeli Podmiot przetwarzający ma zamiar dokonać dalszego powierzenia przetwarzania danych osobowych zwraca się do Administratora z pisemnym wnioskiem o udzielenie zgody, w którym wskazuje dalszy podmiot przetwarzający, przedmiot, czas trwania oraz projekt umowy z dalszym podmiotem przetwarzającym.
3. W przypadku dalszego powierzenia, Podmiot przetwarzający zobowiązuje się do takiego uregulowania stosunku łączącego go z dalszym podmiotem przetwarzającym, aby umożliwić Administratorowi wykonywanie swoich uprawnień względem dalszego podmiotu przetwarzającego, w szczególności zawartych w §3 oraz §4, a także, aby umożliwić osobom, których dane dotyczą realizację swoich praw, w szczególności tych wskazanych z §3 ust. 3.
4. Podmiot przetwarzający zobowiązuje się do zapewnienia w umowie dalszego powierzania danych osobowych do zapewnienia takich samych zabezpieczeń danych osobowych jaki wyznacza Umowa, w szczególności w §3.
5. Brak postanowień umownych określających wymagania zawarte w ust. 3 w projekcie umowy pomiędzy Podmiot przetwarzający a dalszym podmiotem przetwarzającym, stanowi przesłankę do odmowy wyrażenia zgody na dalsze powierzenie przetwarzania danych osobowych.
6. Jeżeli w wyniku dalszego powierzenia dane osobowe mogą zostać przesłane do państwa trzeciego Podmiot przetwarzający zobowiązany jest zapewnić bezpieczeństwo przekazanych danych zgodnie z art. 46 RODO.
§ 8
Warunki wypowiedzenia Umowy
1. Administrator ma prawo rozwiązać niniejszą Umowę bez zachowania terminu wypowiedzenia, gdy Podmiot przetwarzający:
1) wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową,
2) dokonał dalszego powierzenia przetwarzania danych osobowych bez zgody Administratora,
3) nie zaprzestanie niewłaściwego przetwarzania danych osobowych pomimo wezwania Administratora,
4) uniemożliwia lub utrudnia przeprowadzenie kontroli przez Administratora, o której mowa w
§4 ust. 2-7.
5) nie zastosuje się do zaleceń pokontrolnych Administratora,
6) podejmie niewystarczające środki techniczne i organizacyjne, które nie zapewnią bezpieczeństwa przetwarzanych danych, co z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
7) zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej Umowy, a w szczególności niespełniania wymagań określonych w §3,
2. Rozwiązanie niniejszej Umowy przez Administratora uprawnia Administratora do wypowiedzenia umowy głównej.
§ 9
Rozwiązanie Umowy
1. W przypadku rozwiązania niniejszej umowy Podmiot przetwarzający zobowiązuje się niezwłocznie, nie później jednak niż w terminie 5 dni, zwrócić lub przekazać i następnie usunąć wszelkie dane, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji i potwierdzić powyższe przekazanym Administratorowi protokołem.
2. W przypadku, gdy Podmiot przetwarzający dowie się, że po upływie terminu wyznaczonego w ust. 1, w dalszym ciągu przetwarza dane powierzone zobowiązuje się w terminie wskazanym w ust. 1 do zwrócenia lub przekazania i usunięcia tych danych Administratorowi.
§ 10
Kary umowne
1. Strony oświadczają, że obowiązującą je formą odszkodowania są kary umowne.
2. Podmiot przetwarzający zobowiązany jest zapłacić karę umowną za:
1) każdy dzień zwłoki w wywiązywaniu się ze swoich obowiązków określonych w §3, §4 i §9 – w wysokości ……. zł brutto.
2) rozwiązanie umowy z winy Podmiotu przetwarzającego, na podstawie jednej z przesłanek wymienionych w §8 ust. 1 pkt. 1)-6) – w wysokości zł brutto.
3. Administrator zastrzega sobie prawo do dochodzenia na zasadach ogólnych odszkodowania, które przewyższa wysokość określonych kar umownych.
§ 11 Zmiana umowy
1. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.
2. W przypadku istotnej zmiany przepisów dotyczących ochrony danych osobowych strony zobowiązują się do dokonania zmiany niniejszej umowy w zakresie niezbędnym do dostosowania jej zapisów do obowiązujących przepisów prawa.
§ 12 Wynagrodzenie
1. Wynagrodzenie należne Podmiotowi przetwarzającemu na podstawie umowy głównej obejmuje wynagrodzenie należne z tytułu postanowień niniejszej umowy.
2. Podmiot przetwarzający nie jest uprawniony do żądania od Administratora jakiegokolwiek dodatkowego wynagrodzenia lub zwrotu kosztów poniesionych w związku z wykonywaniem postanowień umowy dotyczących powierzenia przetwarzania danych osobowych.
§ 13 Odwołanie
W sprawach nieuregulowanych w niniejszej umowie mają zastosowanie przepisy Kodeksu Cywilnego, RODO oraz ustawy z dnia 10 maja 2018 o ochronie danych osobowych (Dz.U. z 2018 poz. 1000 ze zm.).
§ 14 Sąd właściwy
1. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla miejsca siedziby Administratora.
2. W przypadku dalszego powierzenia Podmiot przetwarzający zobowiązuje się do określenia w umowie dalszego powierzenia jako właściwego sądu wskazanego w ust. 1.
§ 15
Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
......................................... ……………………………………………
Administrator Podmiot przetwarzający