Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zwana „Umową’’
zawarta w dniu [...] [...] 2020 roku w Warszawie pomiędzy:
Skarbem Państwa - Głównym Inspektoratem Ochrony Środowiska z siedzibą w Warszawie (kod: 00-922), xx. Xxxxxxxx 00/00, XXX 000-00-00-000, REGON 000861593, reprezentowanym przez Dyrektora Generalnego Głównego Inspektoratu Ochrony Środowiska - Panią Xxxxxx Xxxxxxxxxxx, zwanym dalej „Administratorem” z jednej strony,
a
……………………………………………….z siedzibą w …………………………………….., ul.
………………………………, kod pocztowy ……………………. działającą na podstawie wpisu do Krajowego Rejestru Sądowego w Sądzie Rejonowym dla
……………………………w,……………………… Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS ……………………., posiadającą NIP: ,
Regon:……………………….., zwanym dalej „Wykonawcą”, reprezentowaną na podstawie pełnomocnictwa z dnia …………………..przez: …………………………….
Preambuła
Zważywszy, że w dniu [...] [ ] 2020 r. Strony zawarły umowę o współpracy w przedmiocie szkoleń
on-line w formie webinaru za pomocą platformy szkoleniowej (zwaną dalej: „Umową o współpracy”), w związku z którą Podmiot przetwarzający będzie przetwarzał dane osobowe, w rozumieniu art. 4 pkt 2 w zw. z pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego „Rozporządzeniem”, Strony postanawiają zawrzeć Umowę o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe, o których mowa w § 2 ust. 1, w trybie art. 28 Rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe, o których mowa w § 2 ust. 1, zgodnie z Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa lub wolności osób, których dane osobowe dotyczą.
3. Podmiot przetwarzający oświadcza, iż znane są mu treść oraz cele Rozporządzenia, spełnia wymagania w nim określone, w tym stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia, a także spełnia wymogi określone w przepisach powszechnie obowiązujących dotyczących ochrony danych osobowych, a urządzenia i systemy informatyczne służące do przetwarzania powierzonych mu danych osobowych są zgodne z wymaganiami Rozporządzenia.
§ 2
Zakres i cel przetwarzania danych
1. Podmiot przetwarzający będzie przetwarzał następujące dane osobowe, zwane „Danymi Osobowymi”:
- dane osobowe pracowników Administratora, zawarte w nich imiona i nazwiska osób, stanowisko służbowe oraz służbowy adresy email.
2. Podmiot przetwarzający będzie przetwarzał Dane Osobowe w zakresie niezbędnym do realizacji Umowy o współpracy. W szczególności zakres czynności podejmowanych na danych osobowych obejmował będzie ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie., w kierunku realizacji szkolenia oraz udokumentowania jego odbycia przez osoby uczestniczące.
3. Powierzone przez Administratora Xxxx Xxxxxxx będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji Umowy o współpracy.
§ 3
Obowiązywanie Umowy
1. Umowa zostaje zawarta na czas realizacji umowy o współpracy .
2. Administrator może wypowiedzieć Umowę ze skutkiem natychmiastowym albo z zachowaniem okresu wypowiedzenia nie dłuższego niż 1 miesiąc, jeżeli:
1) Prezes Urzędu Ochrony Danych Osobowych w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych wydał ostateczną decyzję, w której stwierdził naruszenie przez Podmiot przetwarzający ochrony Danych Osobowych;
2) wydano prawomocne orzeczenie zasądzające od Podmiotu przetwarzającego odszkodowanie za szkodę w związku z naruszeniem przez Podmiot przetwarzający Rozporządzenia.
3. Administrator może wypowiedzieć Umowę ze skutkiem natychmiastowym albo z zachowaniem okresu wypowiedzenia nie dłuższego niż 1 miesiąc, jeżeli przyczyny wypowiedzenia Umowy wskazane w ust. 2 dotyczą podmiotu, któremu Podmiot przetwarzający powierzył przetwarzanie Danych Osobowych.
4. Administrator może wypowiedzieć Umowę ze skutkiem natychmiastowym albo z zachowaniem okresu wypowiedzenia nie dłuższego niż 1 miesiąc, jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu Ochrony Danych Osobowych uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, lub jeżeli w toku postępowania w sprawie naruszenia przepisów o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych zobowiąże podmiot, któremu jest zarzucane naruszenie, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania.
5. Administrator może wypowiedzieć Umowę ze skutkiem natychmiastowym albo z zachowaniem okresu wypowiedzenia nie dłuższego niż 1 miesiąc, jeżeli Podmiot przetwarzający narusza zobowiązania wynikające z Umowy lub Umowy o współpracy, które wiążą się z ochroną Danych Osobowych.
6. Administrator może wypowiedzieć Umowę ze skutkiem natychmiastowym albo z zachowaniem okresu wypowiedzenia nie dłuższego niż 1 miesiąc w przypadku wygaśnięcia, wypowiedzenia, rozwiązania lub odstąpienia od Umowy o współpracy, z zastrzeżeniem przypadków, w których dalsze obowiązywanie Umowy jest konieczne z uwagi na obowiązujące przepisy prawa.
§ 4
Skutki rozwiązania lub wygaśnięcia Umowy
1. Podmiot przetwarzający, z dniem wygaśnięcia, wypowiedzenia, rozwiązania lub odstąpienia od Umowy, zobowiązuje się przekazać Administratorowi przetwarzane na podstawie Umowy Dane Osobowe w formie bazy danych uzgodnionej co do swojej formy z Administratorem, oraz trwale usunąć te Dane Osobowe z wszystkich nośników, w tym zarówno w wersji elektronicznej, jak i papierowej, w szczególności ze sporządzonych kopii zapasowych, oraz usunąć wszelkie ich istniejące kopie i zobowiązuje się zniszczyć wszelkie informacje mogące posłużyć do odtworzenia, w całości lub części, powierzonych danych osobowych, chyba że prawo Unii Europejskiej lub przepisy prawa polskiego nakazują przechowywanie danych osobowych. Zobowiązanie obejmuje również te podmioty, którym Podmiot przetwarzający powierzył przetwarzanie Danych Osobowych.
2. Podmiot przetwarzający sporządzi z czynności usunięcia Danych Osobowych protokół, który przekaże Administratorowi na adres jego siedziby, w terminie 7 dni roboczych od dnia usunięcia Danych Osobowych, o którym mowa w ust. 1.
3. Niewykonanie przez Podmiot przetwarzający obowiązku, o którym mowa w ust. 2, stanowi podstawę do wstrzymania wypłaty Wynagrodzenia z Umowy o współpracy, bez negatywnych skutków finansowych dla Administratora.
4. Podmiot przetwarzający zobowiązany jest zapewnić wykonanie obowiązków wskazanych w ust. 1 i 2 przez podmiot, któremu powierzył wykonanie całości lub części Umowy.
5. Podmiot przetwarzający w całości odpowiada za działania lub zaniechania podmiotów, którym Podmiot przetwarzający powierzył przetwarzanie Danych Osobowych.
§ 5
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych Danych Osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot przetwarzający zobowiązany jest:
1) zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem Rozporządzenia, zmianą, utratą, uszkodzeniem lub zniszczeniem;
2) dopuścić do przetwarzania Danych Osobowych wyłącznie osoby posiadające wydane przez niego upoważnienie; w celu wykonania Umowy Administrator upoważnia Podmiot przetwarzający do udzielania ww. upoważnień;
3) w odniesieniu do osób upoważnionych przez Podmiot przetwarzający do przetwarzania Danych Osobowych - zapewnić kontrolę nad tym, jakie Dane Osobowe, kiedy, przez kogo oraz komu są przekazywane zwłaszcza, gdy przekazywane są za pomocą teletransmisji danych;
4) prowadzić ewidencję osób upoważnionych przez niego do przetwarzania Danych Osobowych;
5) zapewnić, aby osoby, o których mowa w pkt 4, zobowiązały się do zachowania w tajemnicy Danych Osobowych oraz sposobów ich zabezpieczeń, w szczególności Podmiot przetwarzający zobowiązany jest do odebrania od tych osób stosownych oświadczeń zobowiązujących te osoby do zachowania w tajemnicy Danych Osobowych oraz sposobów ich zabezpieczenia także po wygaśnięciu zawartych z tymi osobami umów o pracę, umów cywilnoprawnych lub porozumień, na podstawie których osoby te świadczyły pracę lub usługi na rzecz Podmiotu przetwarzającego;
6) udostępnić na żądanie Administratora informacje w związku z koniecznością wywiązywania się przez niego z obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32-34 Rozporządzenia;
7) wykonywać obowiązki przewidziane w Rozporządzeniu dla podmiotu przetwarzającego dane osobowe oraz w przepisach powszechnie obowiązujących dotyczących ochrony danych osobowych, w tym prowadzić rejestr wszystkich czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 Rozporządzenia, z zastrzeżeniem art. 30 ust. 5 Rozporządzenia;
8) zapewnić środki techniczne i organizacyjne w celu wywiązania się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie realizacji jej praw określonych w rozdziale III Rozporządzenia;
9) w terminie 7 dni od zgłoszenia żądania przez Administratora do podjęcia działań związanych ze zgłoszonym przez osobę fizyczną żądaniem na podstawie art. 15–21 Rozporządzenia – wykonać żądanie Administratora oraz poinformować go o podjętych w tym zakresie działaniach;
10) na każde żądanie Administratora – w terminie przez niego wskazanym – udostępnić mu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia; niezależnie od tego obowiązku, Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia lub innych przepisów Unii Europejskiej lub przepisów prawa polskiego o ochronie danych;
11) współpracować z organem nadzorczym ochrony danych osobowych;
12) w przypadku takiego obowiązku, wynikającego z art. 37 ust. 1 Rozporządzenia, wyznaczyć inspektora ochrony danych osobowych spełniającego wymagania określone w art. 37 ust. 5 Rozporządzenia oraz informować Zamawiającego o jego zmianie w terminie 2 dni od wyznaczenia nowego inspektora;
13) w przypadku wyznaczenia inspektora danych osobowych, o którym mowa w pkt 12, zapewnić jego status określony w art. 38 Rozporządzenia.
14) wypełnić wszelkie obowiązki, w szczególności informacyjne, wynikające z Rozporządzenia, w przypadku pozyskiwania przez Podmiot przetwarzający Danych Osobowych od osoby, której dane dotyczą, w związku z realizacją Umowy o współpracy.
3. Podmiot przetwarzający zobowiązuje się dołożyć najwyższej staranności przy przetwarzaniu powierzonych Danych Osobowych.
4. Podmiot przetwarzający nie będzie udostępniał Danych Osobowych osobom trzecim, z zastrzeżeniem § 7.
5. Podmiot przetwarzający przetwarza Dane Osobowe wyłącznie w zakresie przewidzianym w Umowie, co dotyczy też przekazywania Danych Osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej przepisów prawa polskiego; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Zamawiającego o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 6
Obowiązki i prawa Administratora
1. Administrator, zgodnie z art. 28 ust. 3 lit. h Rozporządzenia, ma prawo do przeprowadzenia audytu, w tym inspekcji, Podmiotu przetwarzającego w zakresie stosowania przez niego Rozporządzenia i przepisów powszechnie obowiązujących dotyczących ochrony danych osobowych oraz w zakresie wywiązania się z obowiązków wynikających z Umowy. W wypadku wykazania jakichkolwiek uchybień Administrator zobowiązuje Podmiot przetwarzający do ich usunięcia we wskazanym przez Administratora terminie (nie dłuższym niż 7 dni), a w razie niezastosowania się do zaleceń Administratora może wypowiedzieć Umowę ze skutkiem natychmiastowym.
2. Audyt, w tym inspekcję, o których mowa w ust. 1, Zamawiający może przeprowadzić w każdym czasie obowiązywania Umowy.
§ 7
Dalsze powierzenie Danych Osobowych do przetwarzania
1. Podmiot przetwarzający może powierzyć Dane Osobowe do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy o współpracę.
2. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
3. Przekazanie powierzonych Danych Osobowych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii Europejskiej lub przepisów prawa polskiego. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Podwykonawca, o którym mowa w ust. 1, powinien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie Danych Osobowych odpowiadało wymogom Rozporządzenia.
5. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za jakiekolwiek niewywiązanie się lub nienależyte wywiązanie się ze spoczywających na podwykonawcy obowiązków w zakresie prawidłowej realizacji Umowy, w tym ochrony danych.
§ 8
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie Danych Osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania Danych Osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora na adres e-mail wskazany w § 6 ust. 2 Umowy o współpracy, o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający Danych Osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu
dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych Danych Osobowych.
3. W przypadku sytuacji naruszenia ochrony Danych Osobowych przez Podmiot przetwarzający lub podmiot, któremu Podmiot przetwarzający powierzył przetwarzanie Danych Osobowych, Podmiot przetwarzający w terminie 12 godzin od stwierdzenia naruszenia zobowiązany jest poinformować osoby do kontaktu działające w imieniu Administratora, na adres e-mail wskazany w § 6 ust. 2 Umowy o współpracy, o takim naruszeniu. Zgłoszenie musi zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 Rozporządzenia.
4. Podmiot przetwarzający ponosi wszelką odpowiedzialność, tak wobec osób trzecich, jak i wobec Administratora, za szkody powstałe w związku z nienależytą ochroną powierzonych Danych Osobowych lub nienależytym ich przetwarzaniem.
5. W przypadku gdyby jakikolwiek podmiot trzeci wystąpił z roszczeniami wobec Administratora z tytułu naruszenia odpowiednio ich praw przez Podmiot przetwarzający lub podmiot, któremu Podmiot przetwarzający powierzył przetwarzanie Danych Osobowych, Podmiot przetwarzający w szczególności:
1) wstąpi do postępowania sądowego wszczętego przeciwko Administratorowi;
2) zapewni należytą ochronę interesów Administratora, w szczególności poprzez współdziałanie oraz udzielanie wszelkich informacji Administratorowi;
3) w zakresie, w jakim jest to dozwolone przepisami prawa, zwolni Administratora z wszelkich zobowiązań z tytułu naruszenia praw przysługujących osobie fizycznej na mocy Rozporządzenia;
4) w przypadku gdy Administrator wykonał obowiązki nałożone przez sądy lub organ nadzorczy ochrony danych osobowych - zwróci Administratorowi kwotę zapłaconych odszkodowań, kar lub innych należności;
5) zwróci Administratorowi wszelkie poniesione koszty związane z wystąpieniem przeciwko Administratorowi osób trzecich z tytułu naruszenia praw osób fizycznych.
§ 9
Kary umowne
1. W przypadku naruszenia przez Podmiot przetwarzający któregokolwiek z postanowień wynikających z Umowy, Administrator może żądać od Podmiotu przetwarzającego kary umownej w wysokości 10% wynagrodzenia określonego w Umowie o współpracy.
2. W przypadku wypowiedzenia Umowy, o którym mowa w § 3 ust. 2-5, lub odstąpienia od Umowy przez Administratora z przyczyn leżących po stronie Podmiotu przetwarzającego, Administrator może żądać od Podmiotu przetwarzającego kary umownej w wysokości 100% wynagrodzenia określonego w Umowie o współpracy.
3. Administrator ma prawo do żądania od Podmiotu przetwarzającego odszkodowania przewyższającego wysokość zastrzeżonej kary umownej na zasadach ogólnych w przypadku, gdy wielkość szkody przekracza wysokość zastrzeżonej kary umownej.
§ 10
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 11
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
2. W sprawach nieuregulowanych zastosowanie będą miały odpowiednie przepisy prawa Unii Europejskiej oraz prawa polskiego.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy Administratora.
Administrator Podmiot przetwarzający