UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Załącznik nr 5 - Wzór umowy dotyczącej przetwarzania danych osobowych

Niniejszy dokument nie jest wzorem umowy, zawiera jedynie istotne postanowienia

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(zwana dalej „Umową”)

zawarta w pomiędzy:

……………………………………………………………………………………………………………, prowadzącą/ym działalność

gospodarczą pod firmą ………………………………………………………………………. w …………………………………………….. (….

– …….) przy ul. , legitymującą/ym się numerem NIP:

………………………………………………….., REGON: , PESEL:

…………………………………………………………, zwaną/ym dalej „Administratorem”; a

Fabryką Sztuki w Łodzi, xx. Xxxxxxxxxxxxxx 0, 00-000 Xxxx, numer NIP: 000-00-00-000, REGON: 100300259, wpisana do rejestru instytucji kultury prowadzonego przez Prezydenta Miasta Łodzi, Wydział Kultury Urzędu Miasta Łodzi pod numerem RIK 1/2007,

zwaną dalej „Podmiot Przetwarzający” reprezentowaną łącznie przez:

………………………………….

zwanymi dalej łącznie „Stronami”, o następującej, zgodnie ustalonej przez Strony, treści:

§ 1 POLECENIE DOKONYWANIA

PRZETWARZANIA DANYCH OSOBOWYCH W IMIENIU ADMINISTRATORA

1. W celu wykonywania umowy (zwanej dalej „Umową

p o d s t a w o w ą ” ) , k t ó r e j p r z e d m i o t e m j e s t

……………………………………………………………………………………………………………………………………………………………………

……………………………………………………………………………………………………, Administrator powierza Podmiotowi przetwarzającemu dokonywanie, w imieniu Administratora, przetwarzania danych osobowych w

zakresie i na zasadach określonych w Umowie.

2. Podmiot przetwarzający uprawniony jest do dokonywania przetwarzania Danych osobowych

w imieniu Administratora wyłącznie w celu i w sposób określonych w Umowie.

§ 2 RODZAJ DANYCH OSOBOWYCH I KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ

1. Polecenie dokonywania przetwarzania danych osobowych, będące przedmiotem Umowy, obejmuje dane osobowe w następującym zakresie (zwane dalej „Danymi osobowymi”).

2. Dane osobowe dotyczą następujących kategorii osób: 1) ……;

2) ……;

§ 3 CZYNNOŚCI PRZETWARZANIA OBJĘTE POWIERZENIEM, CHARAKTER I CELE PRZETWARZANIA DANYCH OSOBOWYCH

1. Administrator powierza Podmiotowi przetwarzającemu dokonywanie, w imieniu Administratora, przetwarzania Danych osobowych w zakresie następujących czynności: zbieranie, utrwalanie,

organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie,

przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

2. Administrator powierza Podmiotowi przetwarzającemu dokonywanie przetwarzania Danych osobowych w celu wykonywania Umowy podstawowej.

§ 4 OŚWIADCZENIA PODMIOTU PRZETWARZAJĄCEGO

Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje – w szczególności poprzez wiedzę fachową, doświadczenie, wiarygodność i zasoby – wdrożenia środków technicznych

i organizacyjnych – by przetwarzanie Danych osobowych na podstawie Umowy spełniało obowiązujących przepisów o ochronie danych osobowych, w tym zwłaszcza w zakresie bezpieczeństwa Danych osobowych.

§ 5 OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

Podmiot przetwarzający zobowiązany jest do:

1) podjęcia przed rozpoczęciem dokonywania przetwarzania Danych osobowych na podstawie Umowy i stosowania przez cały czas trwania przetwarzania Danych osobowych środków organizacyjnych i

technicznych zapewniających odpowiedni stopień bezpieczeństwa Danych osobowych;

2) prowadzania wymaganej obowiązującymi przepisami o ochronie danych osobowych dokumentacji ochrony danych, w tym wszelkich polityk, rejestrów, wykazów zbiorów;

3) współpracowania, na każde żądanie, z jakimkolwiek organem nadzorczym uprawnionym do kontroli przestrzegania przepisów o ochronie danych w zakresie i sposób określonych przez ten organ;

4) dokumentowania wszelkich naruszeń ochrony Danych Osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działania zaradcze;

5) zapewnienia by:

− dostęp do Danych osobowych miały wyłącznie osoby upoważnione do tego przez Podmiot przetwarzający;

− osoby upoważnione do przetwarzania Danych osobowych zobowiązały się na piśmie do zachowania w tajemnicy tych Danych osobowych oraz sposobów ich zabezpieczenia.

§ 6 OBOWIĄZEK INFORMOWANIA I WSPOMAGANIA ADMINISTRATORA

1. Podmiot przetwarzający zobowiązany jest do niezwłocznego poinformowania Administratora [za pośrednictwem poczty elektronicznej na adres: ……] o:

1) jakimkolwiek postępowaniu lub orzeczeniu dotyczącym Danych osobowych, w tym zwłaszcza ich prawidłowego zabezpieczenia;

2) stwierdzonym przez Podmiot przetwarzający naruszeniu ochrony danych osobowych, w tym w szczególności Danych osobowych lub zagrożeniu takiego naruszenia wraz ze wskazaniem

(opisem):

a) charakteru naruszenia ochrony danych osobowych, w tym kategorii i przybliżonej liczby osób, których dane dotyczą;

b) możliwych konsekwencji naruszenia ochrony danych osobowych;

c) środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego

ewentualnych negatywnych skutków;

3) zapowiedzi albo rozpoczęciu przez organ nadzorczy kontroli lub postępowania wyjaśniającego dotyczącego Danych osobowych.

2. Podmiot przetwarzający zobowiązany jest do wspomagania Administratora, w sposób przez niego określony, we wszelkich sprawach dotyczących Danych osobowych, w szczególności poprzez:

1) udzielanie pisemnych wyjaśnień lub informacji;

2) udostępnianie dokumentów lub innego rodzaju zapisów;

3) umożliwianie:

a) wglądu lub zapisania informacji przechowywanych w systemach informatycznych;

b) dokonywania przeglądów stanu systemów informatycznych;

c) przeprowadzania testów zabezpieczeń systemów informatycznych.

3. Obowiązek, o którym mowa w ust. 2 powyżej dotyczy także wspierania Administratora

w wywiązywaniu się z obowiązku udzielania osobie, której dane dotyczą informacji na temat

przetwarzania jej danych osobowych oraz wszelkich innych obowiązków Administratora, wynikających z korzystania przez osobę, której dane dotyczą z przysługujących jej praw zgodnie z obowiązującymi przepisami prawa o ochronie danych osobowych.

§ 7 KORZYSTANIE Z USŁUG INNEGO PODMIOTU PRZETWARZAJĄCEGO

1. Podmiot przetwarzający nie może, w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych, korzystać z usług innego podmiotu

przetwarzającego (zwanego dalej „Innym podmiotem przetwarzającym”) bez uprzedniej zgody

Administratora wyrażonej w formie pisemnej pod rygorem nieważności.

2. Oświadczenie o wyrażeniu zgody, o której mowa w ust. 1 powyżej powinno obejmować:

1) imię i nazwisko/nazwę oraz dane kontaktowe Innego podmiotu przetwarzającego;

2) określenie czynności przetwarzania Danych osobowych, w celu wykonywania których Podmiot przetwarzający będzie korzystać z usług Innego podmiotu przetwarzającego;

3) rodzaj danych osobowych i kategorie osób, których dotyczą;

4) szczególne wymogi Administratora w zakresie zabezpieczenia Danych osobowych.

3. Zgoda, o której mowa w ust. 1 powyżej może zostać w każdym czasie odwołana przez Administratora

– w takim wypadku Podmiot przetwarzający zobowiązany jest do niezwłocznego zaprzestania

korzystania z usług Innego podmiotu przetwarzającego w celu wykonywania czynności przetwarzania

Danych osobowych.

4. Strony zgodnie postanawiają, że w przypadku gdy Xxxx podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych osobowych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków Innego podmiotu przetwarzającego spoczywa na Podmiocie przetwarzającym.

§ 7 KORZYSTANIE Z USŁUG INNEGO PODMIOTU PRZETWARZAJĄCEGO

1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego (zwanego dalej „Innym podmiotem przetwarzającym”) w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych.

2. Podmiot przetwarzający zobowiązany jest do uprzedniego poinformowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających – w takim wypadku Administrator uprawniony jest do wyrażenia wiążącego sprzeciwu wobec takich zmian.

3. Informacja obejmująca zamierzone zmiany, o których mowa w ust. 2 powyżej, winna zostać przekazana za pośrednictwem poczty elektronicznej na adres: …… i powinna zawierać:

1) imię i nazwisko/nazwę oraz dane kontaktowe Innego podmiotu przetwarzającego;

2) określenie czynności przetwarzania Danych osobowych, w celu wykonywania których Podmiot przetwarzający będzie korzystać z usług Innego podmiotu przetwarzającego;

§ 8 PRAWO AUDYTU

ORAZ OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

1. Administrator uprawniony jest do przeprowadzania audytu Podmiotu przetwarzającego w zakresie zgodności wykonywania przez niego czynności przetwarzania Danych osobowych z postanowieniami Umowy oraz obowiązującymi przepisami o ochronie danych, w szczególności w celu sprawdzenia wykonywania przez Podmiot przetwarzający ciążących na nim obowiązków.

2. O zamiarze przeprowadzenia audytu Administrator zobowiązany jest zawiadomić Podmiot przetwarzający z co najmniej ….dniowym wyprzedzeniem, przy czym w przypadku uzyskania przez Administratora informacji o rażącym naruszeniu przez Podmiot przetwarzający obowiązków

wynikających z Rozporządzenia lub Umowy, Administrator uprawniony jest do przeprowadzenia audytu bez uprzedniego zawiadomienia.

3. Administrator ma prawo wskazać osoby upoważnione do przeprowadzenia audytu w jego imieniu.

4. Administrator uprawniony jest do przekazania Podmiotowi przetwarzającemu, po przeprowadzonym audycie, pisemnych zaleceń i wytycznych wraz z terminem ich realizacji, nie krótszym niż ……

(słownie: ……) dni. Podmiot przetwarzający zobowiązany jest do wykonania sformułowanych zaleceń pokontrolnych, dotyczących w szczególności zabezpieczenia Danych osobowych pod względem

technicznym i organizacyjnym oraz sposobu wykonywania czynności ich przetwarzania.

§ 9 CZAS TRWANIA PRZETWARZANIA

1. Podmiot przetwarzający uprawniony jest do wykonywania czynności przetwarzania w imieniu

Administratora przez czas obowiązywania Umowy.

2. Umowa zawarta jest na czas obowiązywania Umowy podstawowej, przy czym rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy Podstawowej powoduje jednoczesne odpowiednio

rozwiązanie, wypowiedzenie lub wygaśnięcie Umowy bez konieczności składania przez Strony dodatkowych oświadczeń w tym zakresie, chyba że Strony postanowią inaczej, z zastrzeżeniem postanowień poniższych.

3. Administrator jest uprawniony do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku:

1) dokonywania przez Podmiot przetwarzający przetwarzania Danych osobowych w celu lub w sposób inny niż określony w Umowie;

2) korzystania przez Podmiot przetwarzający, w celu wykonywania w imieniu Administratora wszystkich lub wybranych czynności przetwarzania Danych osobowych, z usług Innego podmiotu przetwarzającego bez zgody Administratora lub wbrew sprzeciwowi Administratora.

4. Strony zgodnie postanawiają, że wypowiedzenie Umowy w przypadkach określonych w ust. 3 powyżej powoduje jednoczesne wypowiedzenie Umowy podstawowej z winy Podmiotu przetwarzającego bez konieczności składania dodatkowych oświadczeń, chyba że co innego wynika z oświadczenia o wypowiedzeniu Umowy złożonego przez Administratora.

§ 10 POSTĘPOWANIE Z DANYM OSOBOWYMI PO ZAKOŃCZENIU ICH PRZETWARZANIA

1. Po zakończeniu przetwarzania Danych osobowych, niezależnie od sposobu lub przyczyny, Podmiot przetwarzający zobowiązany jest, na swój koszt i ryzyko, do:

1) niezwłocznego zwrócenia Danych osobowych Administratorowi i następnie usunięcia wszelkich istniejących ich kopii;

lub

2) niezwłocznego usunięcia Danych osobowych

według wyboru Administratora.

2. Dane osobowe lub ich kopie powinny zostać usunięte przez Xxxxxxx przetwarzający w terminie 14 (słownie: czternastu) dni od dnia zakończenia przetwarzania na podstawie Umowy.

3. Podmiot przetwarzający zobowiązany jest do przekazania Administratorowi w terminie 7 (słownie: siedmiu) dni od dnia usunięcia Danych osobowych, protokołu usunięcia Danych osobowych.

§ 11 PRAWO WŁAŚCIWE, JURYSDYKCJA SĄDÓW POLSKICH ORAZ UMOWA PROGORACYJNA

1. Xxxxxx zgodnie postanawiają, że Umowa podlega prawu polskiemu.

2. Spory o charakterze sprawy cywilnej mogące wyniknąć na tle realizacji Umowy, Strony poddają jurysdykcji sądów polskich, zaś w zakresie właściwości miejscowej właściwemu rzeczowo sądowi powszechnemu w ……

§ 12 POSTANOWIENIA KOŃCOWE

1. Ilekroć w Umowie przewidziane jest uprawnienie lub obowiązek zawiadomienia drugiej Strony, zawiadomienie, aby mogło zostać uznane za skuteczne, powinno być wysłane listem poleconym lub pocztą elektroniczną na następujące adresy Stron:

− Administrator ;

− Podmiot przetwarzający: …………………………………………………………………………………………….

2. Wszystkie nagłówki Umowy zostały w niej umieszczone w celu zwiększenia jej przejrzystości i nie mają znaczenia dla wykładni jej postanowień.

3. Wszelkie zmiany Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

4. W sprawach nieuregulowanych Umową w zakresie przetwarzania Danych osobowych zastosowanie mają obowiązujące przepisy prawa o ochronie danych osobowych.

5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze

Stron.

ADMINISTRATOR: PODMIOT PRZETWARZAJĄCY:

Document Metadata

Table of Contents

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Document Metadata