Wzór umowy powierzenia danych osobowych
Załącznik Nr 22 do PBDO
Wzór umowy powierzenia danych osobowych
zawarta w dniu r. pomiędzy:
………………………………………………………… ul. …………………………………….., wpisaną do
…………………………………………. prowadzonego przez …………………………….., pod nr
………………………., NIP …………………….., REGON …………………….., reprezentowaną przez
………………………………………….. reprezentowaną przez
……………………………………………………………… zwaną dalej „Administratorem”
a
………………………………………………………… ul. …………………………………….., wpisaną do
…………………………………………. prowadzonego przez …………………………….., pod nr
………………………., NIP …………………….., REGON …………………….., reprezentowaną przez
………………………………………….. zwaną dalej „Przetwarzający”
dalej łącznie jako: „Strony”. o następującej treści:
Preambuła
Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom przepisów prawa polskiego oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/697 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 94/46/WE (ogólne rozporządzenie o ochronie danych osobowych), dalej RODO.
§1
Powierzenie przetwarzania danych
1. W związku z zawarciem w dniu pomiędzy Wójtem Gminy, a (nazwa firmy - Wykonawcy) z
siedzibą w..................... reprezentowaną przez Panią/Pana ...................... umowy nr zwanej
dalej „Umową serwisową" (przykład umowy):
a) Administrator, stosownie do art. 28 RODO, powierza przetwarzanie danych osobowych niezbędnych przy wykonywaniu usługi serwisowej tzn. ,
b) Na warunkach określonych niniejszą Umową i Umową serwisową, na czas wykonywania Umowy głównej, powierza Przetwarzającemu przetwarzanie w rozumieniu RODO danych osobowych zwykłych/szczególnej kategorii*:
• pracowników administratora,
• klientów administratora,
• itd.,
• …………………………….., w postaci:
• imię i nazwisko,
• dane adresowe,
• PESEL,
• NIP,
• .......................................,
c) Przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w zakresie i w celu przewidzianym w Umowie serwisowej.
2. Dane osobowe, w zależności od potrzeb, będą przetwarzane przez Przetwarzającego w siedzibie Administratora lub w siedzibie Przetwarzającego.
3. Zakres czynności wykonywanych na danych osobowych obejmuje: przechowywanie danych, przeglądanie danych, wprowadzanie danych, modyfikowanie danych, opracowywanie danych, generowanie wydruków z danymi osobowym itd.
4. Przetwarzanie danych osobowych powierzonych Przetwarzającemu do przetwarzania będzie miało charakter ciągły i odbywać się będzie w formie elektronicznej lub papierowej poprzez wykonywanie wszystkich czynności (operacji na danych osobowych) uzasadnionych wykonywaniem lub realizacją Umowy Serwisowej.
Obowiązki przetwarzającego
1. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
2. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
3. Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.
4. Przetwarzający zobowiązuje się dopuszczenia do obsługi, służącego do przetwarzania powierzonych danych osobowych systemu informatycznego, wyłącznie osób posiadających wydane przez niego upoważnienie do przetwarzania danych osobowych,
5. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich u Przetwarzającego, jak i po jego ustaniu.
6. Przetwarzający zobowiązuje się do prowadzenia ewidencji upoważnień do przetwarzania powierzonych danych osobowych, dochowania szczególnej staranności, aby osoby upoważnione do przetwarzania tych danych zachowały je w tajemnicy, również po zakończeniu realizacji niniejszej Umowy powierzenia, między innymi poprzez poinformowanie ich o prawnych konsekwencjach naruszenia poufności danych oraz odebranie oświadczeń o obowiązku zachowania w tajemnicy tych danych,
7. Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania powierzonych danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania tych danych,
8. Przetwarzający zobowiązuje się do przechowywania dokumentów dotyczących powierzonych do przetwarzania danych osobowych w specjalnie do tego przeznaczonych szafach, zamykanych na zamek lub w zamykanych na zamek pomieszczeniach, niedostępnych dla osób nieupoważnionych do przetwarzania danych i osobowych.
9. Przetwarzający będzie pomagał Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
10. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki tj. nie później niż w terminie 48 godzin zgłasza je Administratorowi.
§ 3
Odpowiedzialność Przetwarzającego
1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. W przypadku naruszenia obowiązujących przepisów prawa lub niniejszej Umowy z przyczyn leżących po stronie Przetwarzającego, w następstwie, czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą finansową, Przetwarzający zobowiązuje się pokryć Administratorowi poniesione z tego tytułu koszty. Zobowiązanie Przetwarzającego powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku pociągnięcia Administratora do odpowiedzialności i jej podstawach prawnych i faktycznych, w celu umożliwienia Przetwarzającemu zajęcia stanowiska i odniesienia się do podstaw takiej odpowiedzialności. Po otrzymaniu pisemnego powiadomienia Przetwarzający może przystąpić do toczącej się sprawy.
3. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych powierzonych na podstawie niniejszej Umowy, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez powołany Urząd Ochrony Danych Osobowych.
§4
Dalsze powierzenie danych do przetwarzania- Podpowierzenie
1. Przetwarzający może powierzyć dane osobowe objęte niniejszą umową („podpowierzenie”) w celu jej wykonania, innym podwykonawcom („podpowierzającym”), po uzyskaniu pisemnej (w tym elektronicznej) zgody Administratora.
2. Dokonując podpowierzenia Przetwarzający ma obowiązek zobowiązać Podpowierzającego do realizacji co najmniej równorzędnych gwarancji i obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia.
3. Jeżeli podpowierzający nie wywiąże się ze spoczywających na nim obowiązków i gwarancji ochrony danych, pełna odpowiedzialność wobec Administratora spoczywa na Przetwarzającym.
§ 5
Prawo kontroli
1. Administrator zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
2. Administrator będzie realizował prawo kontroli w godzinach pracy Przetwarzającego i z minimum 3- dniowym jego uprzedzeniem.
3. Przetwarzający zobowiązuje się do usunięcia ewentualnych uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora lecz nie dłuższym niż 7 dni.
4. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.2.
§6
Czas obowiązywania Umowy powierzenia
1. Niniejsza Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy serwisowej, o której mowa § 1 ust. 1 tj. od dnia ........................... do dnia ...........................
2. Po zakończeniu przetwarzania w imieniu Administratora, Przetwarzający powinien – zgodnie z decyzją Administratora – zwrócić lub usunąć dane osobowe, chyba że prawo Unii lub prawo państwa członkowskiego, któremu podlega Przetwarzający, nakładają obowiązek przechowywania danych osobowych. Informacja w tym zakresie zostanie przekazywana Przetwarzającemu, w formie pisemnej, przez Administratora, na co najmniej 2 dni robocze przed zakończeniem obowiązywania niniejszej Umowy.
3. W przypadku usunięcia danych - Przetwarzający zobowiązany jest pisemnie (w tym elektronicznie) poinformować Administratora o wykonaniu tej operacji .
§7
Warunki wypowiedzenia Umowy powierzenia
1. Umowa powierzenia może zostać wypowiedziana ze skutkiem natychmiastowym bez okresu wypowiedzenia w przypadku, gdy:
• kontrola Prezesa UODO wykaże, że Przetwarzający nie podjął odpowiednich środków zabezpieczających przetwarzania danych osobowych lub gdy Przetwarzający nie stosował się do wymogów przewidzianych w RODO,
• Przetwarzający pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
• Przetwarzający wykorzystał dane w celu i w zakresie niezgodnym z niniejszą Umową powierzenia,
• Przetwarzający powierzył wykonanie przedmiotu Umowy powierzenia osobie trzeciej bez zgody Administratora,
• zostanie wszczęte postępowanie sądowe przeciw Przetwarzającemu lub Administratorowi w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia,
• w sytuacji rozwiązania Umowy serwisowej, o której mowa § 1 ust. 1 niniejszej Umowy powierzenia, przez którąkolwiek ze Stron, z przyczyn i w terminie określonym w Umowie serwisowej.
2. Wypowiedzenie Xxxxx powierzenia przez którąkolwiek ze Stron jest równoznaczne z wypowiedzeniem Umowy serwisowej, o której mowa w § 1 ust. 1.
§8
Zasady zachowania poufności
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej ("dane poufne").
2. Przetwarzający oświadcza, ze w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba ze konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym w szczegó1nosci danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§9
Postanowienia końcowe
1. W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie będą miały przepisy Kodeksu cywilnego, RODO oraz inne przepisy prawa powszechnie obowiązującego.
3. Zmiany Umowy powierzenia wymagają zachowania formy pisemnej, w postaci aneksu, pod rygorem nieważności.
4. Wszelkie spory związane z wykonaniem niniejszej Umowy powierzenia oraz wynikłe na tle niniejszej Umowy powierzenia, rozstrzygane będą przez sąd właściwy dla siedziby Administratora.
5. Niniejsza Umowa powierzenia wchodzi w życie z dniem jej podpisania.
6. Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
.................................................. ....................................................
(Administrator) (Przetwarzający)