SZABLON UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
SZABLON UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu w
pomiędzy:
1) Miastem Stołecznym Warszawa w imieniu i na rzecz którego działa Zarząd Transportu Miejskiego, xx. Xxxxxxx 00, 00-000 Xxxxxxxx, reprezentowane na podstawie pełnomocnictwa nr GP-OR.0052.5237.2013 z dnia 16 grudnia 2013 r. udzielonego Panu Xxxxxxxxxx Xxxxxxx – Dyrektorowi Zarządu Transportu Miejskiego,
zwanym dalej „Zleceniodawcą lub Administratorem”
a
1) [imię nazwisko/firma], [adres], [w przypadku podmiotów zarejestrowanych w KRS: zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy w , Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS ], nr PESEL , nr NIP _ , nr REGON ,
zwanym dalej „Podmiotem przetwarzającym”
zwanymi dalej łącznie „Stronami”, zaś oddzielnie „Stroną”.
Zważywszy, że:
PREAMBUŁA
1) Strony zawarły umowę („Umowa główna”), w związku
z wykonywaniem której Zleceniodawca powierzy Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową;
2) Celem Umowy powierzenia jest ustalenie warunków, na jakich Podmiot przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Zleceniodawcy;
3) Strony, zawierając Umowę powierzenia dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1);
Strony zgodnie postanowiły, co następuje.
§ 1.
DEFINICJE
O ile niniejsza Umowa powierzenia nie stanowi inaczej, zastosowane definicje będą miały następujące znaczenie:
Podwykonawca podmiot, któremu Podmiot przetwarzający powierzył przetwarzanie danych osobowych
Umowa powierzenia niniejsza Umowa
Umowa główna umowa z dnia pomiędzy
, której przedmiotem jest
Umowa podpowierzenia umowa zawarta przez Podmiot przetwarzający z Podwykonawcą zgodnie z
§ 8 ust. 2 niniejszej umowy
Dane osobowe dane osobowe w rozumieniu art. 4 pkt 1 RODO
RODO rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1)
Ustawa ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2018, poz. 1000)
§ 2.
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Zleceniodawca jest Administratorem, w rozumieniu art. 4 pkt 7 RODO, w zakresie danych osobowych wskazanych w § 3 niniejszej umowy.
2. W związku z zawarciem Umowy głównej Administrator powierza i poleca Podmiotowi przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania w imieniu Administratora, na zasadach i w celu określonym w niniejszej umowie.
3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
4. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO.
§ 3
CHARAKTER I CEL PRZETWARZANIA DANYCH
1. Przetwarzanie obejmować będzie wyłącznie takie dane, które są niezbędne do realizacji przedmiotu Umowy głównej.
2. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie niniejszej umowy następujące rodzaje danych: (do określenia indywidualnie)
Dane zwykłe
a) imię i nazwisko,
b) numer ewidencyjny PESEL / NIP
c) adres e-mail,
d) obywatelstwo
e) nr służbowy kierowcy
f) zdjęcie kierowcy
g) stanowisko
h) forma zatrudnienia
i) rodzaj umowy
j) rodzaj uprawnień / prawo jazdy
k) data ważności prawa jazdy
3. Przetwarzanie danych będzie dotyczyć następujących kategorii osób:
a) Użytkownicy Systemu Cerber po stronie Administratora (ZTM)
b) Użytkownicy Systemu Cerber po stronie Operatora
c) Kierowcy (pracownicy operatora) wykonujący usługi przewozowe na rzecz ZTM w ramach zawartych kontraktów
4. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wytworzenia, testowania oraz utrzymania oprogramowania Cerber 2.0.
5. Realizacja Umowy głównej wiąże się z przetwarzaniem, które będzie miało charakter
elektroniczny
§ 4.
OBOWIĄZKI PRZETWARZAJĄCEGO
1. Podmiot przetwarzający oświadcza, że dysponuje doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającym mu prawidłowe wykonanie usług objętych niniejszą umową w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z aktualnymi przepisami o ochronie danych osobowych. Jednocześnie oświadcza, że zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odpowiadało wymogom RODO.
2. W szczególności, Podmiot przetwarzający oświadcza i gwarantuje, że:
1) spełnia wymagania określone w aktualnych przepisach o ochronie danych osobowych, tzn. spełnia wymagania określone w RODO, w szczególności zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO, by przetwarzanie spełniało wymogi RODO, w tym art. 25 i 32 i chroniło prawa osób, których dane dotyczą;
2) osoby wyznaczone przez niego do realizacji Umowy powierzenia, spełniają wymagania aktualnych przepisów o ochronie danych osobowych, w szczególności w zakresie znajomości tych przepisów i są upoważnione przez Podmiot przetwarzający do przetwarzania danych osobowych, zgodnie z tymi przepisami w celu realizacji niniejszej umowy;
3) osoby wyznaczone przez niego do realizacji Umowy powierzenia zapoznały się z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych obowiązującymi u Administratora;
4) osoby wyznaczone przez niego do realizacji Umowy powierzenia zobowiązały się do zachowania tajemnicy (o której mowa w art. 28 ust. 3 lit b RODO) w związku z przetwarzaniem danych osobowych w celu realizacji Umowy powierzenia, tzn. zachowania w tajemnicy danych osobowych oraz informacji dotyczących sposobów ich zabezpieczeń, zarówno w czasie trwania Umowy powierzenia, jak i po jej zakończeniu, bez względu na czas trwania ich stosunku pracy lub stosunku cywilno-prawnego z Podmiotem przetwarzającym.
3. Podmiot przetwarzający oświadcza, że (pozostawić odpowiedni zapis)
⎯ wyznaczył Inspektora Ochrony Danych w osobie: …………….., o którym mowa w aktualnych przepisach o ochronie danych osobowych;
⎯ nie wyznaczył Inspektora Ochrony Danych, o którym mowa w aktualnych przepisach o ochronie danych osobowych;
i gwarantuje, że w przypadku jakiejkolwiek zmiany w powyższym zakresie w trakcie okresu trwania Umowy powierzenia, powiadomi Administratora w formie pisemnej, bez zbędnej zwłoki.
4. Podmiot przetwarzający zobowiązuje się w szczególności, do:
1) podjęcia, przed rozpoczęciem przetwarzania powierzonych danych, o których mowa w § 3 ust. 1, środków zabezpieczających dane osobowe oraz spełnienia wymagań, o których mowa w ust. 1 i 2;
2) przetwarzania powierzonych danych osobowych:
a) wyłącznie w celu i zakresie określonym w § 3 ust. 2, 3, 4 niniejszej umowy,
b) nie dłużej, niż jest to konieczne do realizacji Umowy głównej,
c) z zapewnieniem wymagań, o których mowa w ust. 1 i 2.
3) wspomagania Administratora, przy uwzględnieniu charakteru przetwarzania danych osobowych:
a) w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w RODO, poprzez odpowiednie środki techniczne i organizacyjne;
b) w wywiązywaniu się z obowiązków określonych w art. 32 - 36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym), w zakresie posiadanych informacji.
4) wypełnienia obowiązku informacyjnego wobec osób, których dane będzie przetwarzać, a który to obowiązek wynika z aktualnych przepisów o ochronie danych osobowych, tzn. RODO.
5. Podmiot przetwarzający zobowiązuje się niezwłocznie, a najpóźniej w terminie do 72 godzin od wystąpienia zdarzenia, zawiadamiać Administratora o każdym, związanym z realizacją Umowy powierzenia:
1) żądaniu udostępnienia danych osobowych;
2) udostępnieniu danych osobowych uprawnionemu podmiotowi;
3) żądaniu osoby, której dane dotyczą, związanym z wypełnianiem jej praw wynikających z RODO.
6. Podmiot przetwarzający powiadamia Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż do 24 godzin od stwierdzenia naruszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane na formularzu, którego wzór stanowi Załącznik nr 1 do niniejszej umowy wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
7. Podmiot przetwarzający przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. Jeżeli Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
8. Planując dokonanie zmian w sposobie przetwarzania danych, Podmiot przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Podmiot przetwarzający zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Podmiot przetwarzający.
9. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych (wymóg art. 30 ust. 2 RODO). Podmiot przetwarzający udostępniania na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych Podmiotu przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Podmiotu przetwarzającego.
10. Jeżeli Podmiot przetwarzający wykorzystuje w celu realizacji Umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Podmiot przetwarzający informuje o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.
§ 5.
ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO
1. Jako podmiot, któremu Administrator powierza i poleca przetwarzanie danych osobowych, Podmiot przetwarzający ponosi odpowiedzialność w zakresie przestrzegania aktualnych przepisów o ochronie danych osobowych, w zakresie obowiązków, jakie RODO nakłada wprost na podmiot przetwarzający oraz przez cały okres trwania Umowy powierzenia - w zakresie przestrzegania postanowień Umowy głównej i Umowy powierzenia.
2. Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Podmiot przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
3. Podmiot przetwarzający, odpowiednio do okresu trwania Umowy powierzenia - zgodnie z art. 28 ust. 10 i art. 82 ust. 2 RODO ponosi odpowiedzialność za szkody, jakie z jego winy powstaną po stronie Administratora w wyniku przetwarzania danych osobowych, niezgodnego z Umową główną – w zakresie ochrony danych osobowych, Umową powierzenia lub aktualnymi przepisami prawa o ochronie danych osobowych.
4. Podmiot przetwarzający jest zobowiązany do niezwłocznego informowania Administratora o wszelkich zapytaniach kierowanych do Podmiotu przetwarzającego ze strony uprawnionych organów kontrolnych w sprawie realizacji Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia oraz o zapowiedzianych lub rozpoczynających się u niego kontrolach w tym zakresie, jak również o stwierdzonych nieprawidłowościach.
5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, o których mowa w niniejszej umowie, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podwykonawcę spoczywa na Podmiocie przetwarzającym.
6. Administrator danych upoważnia i zobowiązuje Podmiot przetwarzający do zapoznania osób upoważnionych do przetwarzania danych osobowych z aktualnymi przepisami o ochronie danych osobowych.
7. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.
§ 6.
PRZEKAZANIE DANYCH NA NOŚNIKU INFORMATYCZNYM
1. O ile z Umowy głównej wynika konieczność fizycznego przekazania danych osobowych na nośniku informatycznym, Podmiot przetwarzający zobowiązuje się:
1) nie wykonywać żadnych zbędnych kopii powierzonych danych;
2) w zależności od decyzji Administratora zwrócić lub usunąć powierzone dane Administratorowi oraz usunąć wszelkie ich istniejące kopie, niezwłocznie po zakończeniu świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Czynność tę należy potwierdzić protokołem i niezwłocznie przekazać Administratorowi.
2. Przekazanie potwierdzone zostanie Protokołem przekazania podpisanym przez obie strony.
3. W każdym przypadku Podmiot przetwarzający zobowiązuje się do usunięcia wszelkich istniejących kopii powierzonych danych, o ile musiał takie kopie wykonać dla prawidłowej realizacji Umowy głównej, chyba że przepisy prawa obligują Podmiot przetwarzający do ich przechowywania, o czym Podmiot przetwarzający poinformuje pisemnie Administratora, wskazując te przepisy.
§ 7.
OBOWIĄZKI I PRAWA ADMINISTRATORA
1. Administratorowi przysługuje prawo do:
1) kontroli, zgodnie z art. 28 ust. 3 lit. h RODO, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy, w tym żądania przedłożenia dokumentów, których posiadanie i prowadzenie przez podmiot przetwarzający wynika wprost z RODO;
2) żądania wstrzymania przetwarzania danych osobowych w przypadku przetwarzania ich niezgodnie z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia;
3) żądania natychmiastowego zwrotu Administratorowi powierzonych danych, w przypadku, o którym mowa w pkt 2.
2. Kontrola będzie przeprowadzona po uprzednim zawiadomieniu Podmiotu przetwarzającego o terminie kontroli. Kontrola przeprowadzona będzie w godzinach pracy Podmiotu przetwarzającego.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji. Podmiot przetwarzający zobowiązuje się przyczyniać się do tych czynności.
5. Podmiot przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie w ramach działań, o którym mowa w ust. 3 stanowić będzie naruszenie aktualnych przepisów o ochronie danych osobowych.
6. Przed przystąpieniem do podpisania Umowy głównej Administrator weryfikuje, czy podmiot przetwarzający daje rękojmię bezpiecznego i zgodnego z prawem przetwarzania danych osobowych.
7. Weryfikacja, o której mowa w punkcie powyżej następuje za pośrednictwem Załącznika nr 2 do niniejszej Umowy, który wypełnia podmiot przetwarzający.
§ 8.
TRANSFER I DALSZE POWIERZENIE PRZETWARZANIA DANYCH
1. Podmiot przetwarzający nie ma zgody Administratora na transfer danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (państwa trzeciego) lub organizacji międzynarodowej w rozumieniu aktualnych przepisów o ochronie danych osobowych.
2. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania kolejnemu podmiotowi – Podwykonawcy, jedynie w ściśle określonym celu i zakresie, wyłącznie pod warunkiem uprzedniego poinformowania Administratora w formie
pisemnej o zamiarze wyboru Podwykonawcy i uzyskania na to pisemnej szczegółowej zgody Administratora, a dokument ten stanowi integralną część Umowy powierzenia.
3. Podwykonawca winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej umowie.
4. W przypadku powierzenia przetwarzania danych osobowych przez Podmiot przetwarzający Podwykonawcy, zgodnie z ust. 2, Podmiot przetwarzający:
1) zawiera z Podwykonawcą, na piśmie, odrębną umowę powierzenia przetwarzania danych osobowych (zwaną dalej umową podpowierzenia), w rozumieniu art. 28 ust. 4 RODO, z określeniem stosownego do Umowy powierzenia celu, czasu i zakresu przetwarzania danych osobowych oraz rodzaju danych osobowych i kategorii osób, których te dane dotyczą;
2) bierze na siebie pełną odpowiedzialność za działania Podwykonawcy niezgodne z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej w zakresie ochrony danych osobowych lub Umowy powierzenia, a Stroną dla Administratora, w ewentualnych sporach wynikających z niewłaściwego wykonania przez Podwykonawcę tych umów, jest zawsze Podmiot przetwarzający;
3) działa, w stosunku do Podwykonawcy, jak administrator danych (powierzonych danych osobowych), a Podwykonawca pełni rolę podmiotu przetwarzającego;
4) zawiera w umowie podpowierzenia zapis dotyczący uprawnień Administratora do kontroli Podwykonawcy w zakresie bezpieczeństwa powierzonych mu danych osobowych w ramach umowy podpowierzenia;
5) zawiera w umowie podpowierzenia zapis, zgodnie z którym Podwykonawca – bez uszczerbku dla zobowiązań Podmiotu przetwarzającego – przyjmuje na siebie całość tych obowiązków, jakie ciążą na Podmiocie przetwarzającym, a wynikających z aktualnych przepisów o ochronie danych osobowych oraz niniejszej Umowy powierzenia, w szczególności obowiązki określone w § 4 Umowy powierzenia;
6) przekazuje Administratorowi kopię umowy podpowierzenia zawartej z Podwykonawcą celem załączenia do Umowy powierzenia, jako jej integralnej części.
7) Podmiot przetwarzający, w przypadku gdy w umowie podpowierzenia dopuszcza, za zgodą Administratora, kolejne podpowierzenia, zapewnia Administratorowi posiadanie przez niego, na każdym etapie realizacji Umowy powierzenia, aktualnego wykazu wszystkich podmiotów przetwarzających w ramach realizacji Umowy powierzenia.
5. Podmiot przetwarzający, w przypadku przekroczenia zakresu przetwarzania danych osobowych poza zakres wyznaczony Umową powierzenia, staje się administratorem tych danych przetwarzanych poza zakresem.
6. Podmiot przetwarzający nie ma prawa przekazać Podwykonawcy całości wykonania Umowy.
§ 9.
CZAS TRWANIA UMOWY
1. Umowę zawarto na czas obowiązywania umowy głównej.
2. Każda ze stron jest uprawniona do rozwiązania niniejszej umowy z zachowaniem jednomiesięcznego okresu wypowiedzenia, ze skutkiem na koniec miesiąca.
3. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z umową;
3) powierzył przetwarzanie danych osobowych Podwykonawcy bez zgody Administratora.
§ 10.
ZASADY ZACHOWANIA POUFNOŚCI
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej umowy, chyba, że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych w tym szczególnych kategorii danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 11.
KARY UMOWNE
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą umową. W takim przypadku Administrator jest uprawniony do nałożenia na Podmiot przetwarzający kary umownej w wysokości 25.000 zł. netto za każdy stwierdzony przypadek przetwarzania danych niezgodnie z umową, bez konieczności wykazywania wysokości poniesionej szkody przez Administratora.
2. Podmiot przetwarzający w przypadku niedopełnienia obowiązków określonego w § 7, ustęp 3 w terminie 14 dni będzie zobowiązany do zapłaty na rzecz Administratora kary umownej w wysokości 1.000 zł netto za każdy rozpoczęty dzień opóźnienia.
3. Kary umowne określone w niniejszym paragrafie sumują się do łącznej kwoty 100.0000 zł netto.
4. Podmiot przetwarzający jest zobowiązany do zapłaty kar umownych, o których mowa powyżej w terminie 14 dni od dnia otrzymania od Administratora wezwania do zapłaty kary umownej.
5. Administrator jest uprawniony do dochodzenia odszkodowania przewyższającego wysokość kar umownych.
§ 12.
POSTANOWIENIA KOŃCOWE
1. Do kontaktów wyznaczono:
1) po stronie Administratora:
imię i nazwisko ,
nr tel ,
e-mail ,
2) po stronie Podmiotu przetwarzającego:
imię i nazwisko ,
nr tel ,
e-mail: …………………….…..
2. Wszelkie zmiany i uzupełnienia postanowień Umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.
3. Prawem właściwym dla niniejszej Umowy powierzenia jest prawo polskie.
4. Strony zobowiązują się dołożyć należytych starań w celu polubownego rozwiązywania wszelkich sporów wynikających z Umowy powierzenia.
5. Spory, których Stronom nie uda się rozwiązać polubownie w terminie 30 dni od daty ich powstania (tj. od daty powiadomienia drugiej Strony o możliwości poddania sporu pod rozstrzygnięcie sądu) będą rozstrzygane przez sąd właściwy dla Administratora.
6. Niniejsza Umowa powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
………………………………. ………………………………………. Administrator Podmiot przetwarzający
Załącznik nr 1
…………………………,dn r.
FORMULARZ
ZGŁOSZENIA NARUSZENIA DLA PODMIOTU PRZETWARZAJĄCEGO
Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze- pływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz zgodnie z umową z dnia ……………………. niniejszym zgłaszam zajście incydentu naruszenia ochrony danych osobowych.
Dane Podmiotu przetwarzającego | |
Dane kontaktowe IOD Podmiotu przetwarzającego lub inny punkt kontaktowy Podmiotu przetwarzającego | |
Miejsce i dzień naruszenia | |
Kategoria i przybliżona liczba osób, których dane dotyczą | |
Kategorie i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie | |
Opis charakteru naruszenia ochrony danych | |
Możliwe konsekwencje naruszenia ochrony danych | |
Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych |
[podpis osoby uprawnionej
do reprezentowania Podmiotu przetwarzającego]
Załącznik nr 2
Formularz oceny podmiotu przetwarzającego
1. Cel i zastosowanie dokumentu
Rozporządzeni Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakłada na ZTM obowiązek weryfikacji podmiotów przetwarzających, którym ZTM powierza przetwarzanie danych osobowych pod kątem zapewnienia przez nich wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu właściwą ochronę powierzonych danych osobowych.
Dokument ma zastosowanie wyłącznie do podmiotów przetwarzających dane osobowe na pisemne polecenie ZTM w związku z podpisaną między stronami umową powierzenia danych osobowych do przetwarzania.
Podmiot przetwarzający wypełnia dokument zgodnie ze stanem faktycznym i za dane w nim zawarte bierze pełna odpowiedzialność.
Podmiot przetwarzający wskazuje w tabeli, informacje oraz zabezpieczenia techniczne i organizacyjne dotyczące wyłącznie zleconych mu do przetwarzania danych osobowych przez ZTM.
2. Tabela oceny podmiotu przetwarzającego (wypełnia podmiot przetwarzający)
L.p. | Pytania | Odpowiedzi |
Bezpieczeństwo fizyczne (środki techniczne i organizacyjne) | ||
1 | Czy są wewnętrzne procedury bezpieczeństwa fizycznego uwzględniające bezpieczeństwo przetwarzanych danych osobowych? Jeśli tak, to proszę je wymienić. | |
2 | Czy dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest zabezpieczony? Jeśli tak, to w jaki sposób? | |
3 | Czy na terenie, na którym przetwarzane są dane osobowe jest zainstalowany monitoring wizyjny i przez jaki czas przechowywane są nagrania? | |
4 | Czy na terenie, na którym przetwarzane są dane osobowe istnieje elektroniczny system kontroli dostępu? Jeśli nie, to w jaki sposób kontrolowany jest dostęp do pomieszczeń? | |
5 | Czy na terenie, na którym przetwarzane są dane osobowe jest ochrona fizyczna? Jeśli nie, to w jaki sposób chroniony | |
jest ten teren? | ||
6 | Czy na terenie, na którym przetwarzane są dane osobowe jest zainstalowany system alarmowy? Jeśli nie, to w jaki sposób chroniony jest ten teren? | |
7 | Czy na terenie, na którym przetwarzane są dane osobowe czynności sprzątające wykonuje firma zewnętrzna? Jeśli tak jakie zastosowano zabezpieczenia przed dostępem osób nieupoważnionych do danych osobowych? | |
Bezpieczeństwo informatyczne | ||
1 | Czy dane osobowe będą przetwarzane poza granicami Unii Europejskiej i Europejskiego Obszaru Gospodarczego? Jeśli tak, to proszę podać w jakich państwach. | |
2 | Czy Podmiot przetwarzający wykorzystuje techniki kryptograficzne? Jeśli tak, to jakie? | |
3 | Czy dane osobowe będą przetwarzane na przenośnych nośnikach danych? Jeśli tak, to jak je zabezpieczono? | |
4 | Czy zastosowano zabezpieczenie przed złośliwym oprogramowaniem? Jeśli tak, to jakie? | |
5 | Czy zastosowana jest polityka haseł? Jeśli tak, to w jaki sposób? | |
6 | Jakie zabezpieczenia zastosowano na styku z siecią publiczną (internet)? | |
7 | Czy dane będą przetwarzane w chmurze, z wykorzystaniem usługi hostingu, lub w inny sposób przetwarzane przez podmioty trzecie? | |
Bezpieczeństwo organizacyjne | ||
1 | Czy został wyznaczony Inspektor Ochrony Danych? Jeśli tak, to podaj jego imię, nazwisko oraz dane kontaktowe (adres e-mail i numer telefonu). | |
2 | Czy Podmiot przetwarzający ma zamiar podpowierzyć przekazane mu przez ZTM dane osobowe innym podmiotom? Jeśli tak, to proszę o ich wylistowanie (nazwa i adres). | |
3 | Czy wszystkie osoby przetwarzające dane osobowe przeszły odpowiednie | |
przeszkolenie i zostały upoważnione do przetwarzania danych osobowych? | ||
4 | Czy Podmiot przetwarzający posiada procedury dotyczące bezpiecznego przetwarzania danych osobowych? Jeśli tak, to proszę je wymienić. | |
5 | Czy Podmiot przetwarzający stosuje anonimizację, pseudonimizację, lub szyfrowanie? Jeśli tak, to proszę wskazać w jakim zakresie. | |
6 | W jaki sposób zapewniana jest zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania? | |
7 | W jaki sposób zapewniana jest zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego? |
3. Ocena Podmiotu przetwarzającego (wypełnia pracownik ZTM)
……………………………………………………………
Pieczątka i czytelny podpis Inspektor Ochrony Danych ZTM
……………………………………………………………
Pieczątka i czytelny podpis pracownika ZTM (właściciela biznesowego)
Po analizie tabeli samooceny Podmiotu przetwarzającego stwierdzam, że Podmiot przetwarzający daje / nie daje* gwarancję wdrożenia odpowiednich środków
technicznych i
organizacyjnych mających na celu właściwą ochronę powierzonych danych osobowych.
Oceniający bierze pod uwagę wszystkie aspekty przetwarzania danych osobowych takie jak: zakres przekazanych do przetwarzanych danych, ich wrażliwość, liczba rekordów przekazanych, sposób przekazywania danych, potencjalne skutki naruszeń oraz ryzyko wycieku danych osobowych, etc.
Jeśli podmiot przetwarzający nie daje gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu właściwą ochronę powierzonych danych osobowych należy zaprzestać współpracy z takim podmiotem.
*wskazać nazwę systemu informatycznego i niepotrzebne skreślić