Umowa powierzenia przetwarzania danych osobowych do Umowy ………………………….. zawarta dnia …………………….. pomiędzy:

Umowa powierzenia przetwarzania danych osobowych

do Umowy …………………………..

zawarta dnia ……………………..

pomiędzy:

Skarbem Państwa - Prokuraturą Okręgową w Krakowie, 00-000 Xxxxxx, xx. Xxxxxxxxxxx 0,

zwaną w dalszej części umowy „Administratorem danych”
lub „Administratorem”

reprezentowaną przez:

……………………….……………………….. – Prokuratora Okręgowego w Krakowie

oraz

……………………………………………...…………………………..(dane podmiotu)

zwaną w dalszej części umowy „Podmiotem przetwarzającym”

reprezentowaną przez:

…………………………………………………...………………………………………

§ 1

Postanowienia ogólne

1. Strony zawarły umowę w dniu …………… (Umowa podstawowa nr ….).

2. Administrator oświadcza, że jest administratorem - w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
   27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
   z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”
   lub „Rozporządzeniem” oraz w rozumieniu art. 4 pkt 1 Ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku
   z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r. poz. 1206), zwaną dalej ustawa DODO lub „Ustawa”) - w stosunku do danych osobowych powierzonych Podmiotowi przetwarzającemu.

3. Administrator powierza, w rozumieniu art. 28 ust. 3 RODO oraz art. 24 ust. 1 ustawy DODO Podmiotowi przetwarzającemu przetwarzanie danych osobowych na zasadach określonych w Umowie podstawowej oraz w niniejszej Umowie. W przypadku jakichkolwiek sprzeczności pomiędzy Umową podstawową, a niniejszą Umową pierwszeństwo mają przepisy niniejszej Umowy i w tym zakresie jej postanowienia traktuje się jako zmianę Umowy podstawowej.

4. Celem nin. Umowy jest ustalenie warunków, na jakich Podmiot przetwarzający będzie wykonywał operacje przetwarzania danych osobowych w imieniu Administratora.

5. Zasady przetwarzania danych osobowych winny odpowiadać postanowieniom Rozporządzenia oraz Ustawy DODO.

6. W ramach realizacji niniejszej Umowy, Podmiot przetwarzający uprawniony
   jest do przetwarzania powierzonych przez Administratora danych osobowych
   tj. wykonywania następujących czynności na danych osobowych, o których mowa w art. 4 pkt 2 RODO oraz w art. 4 pkt 14 Xxxxxx XXXX, tj.:

a) zbierania poprzez gromadzenie danych osobowych powierzonych
do przetwarzania przez Administratora;

b) utrwalania, organizowania oraz porządkowania polegającego na nadaniu danym osobowym powierzonym do przetwarzania odpowiedniej struktury celem usprawnienia ich przetwarzania w sposób zgodny z prawem,

c) przechowywania przez które rozumie się przetrzymywanie danych osobowych na nośniku danych,

d) pobierania przez które rozumie się wykonanie kopii danych osobowych
na nośniku poprzez ich transmisję z wykorzystaniem sieci telekomunikacyjnej
z innego nośnika,

e) przeglądania, przez które rozumie się zapoznanie się z treścią danych osobowych,
f) wykorzystywania, przez które rozumie się użycie danych osobowych,
g) ujawnianie poprzez przesłanie, innego rodzaju udostępnianie osobom wyłącznie upoważnionym,

h) usuwania polegającego na wykonaniu operacji wykasowania powierzonych danych osobowych, która prowadzi do braku możliwości ich dalszego przetwarzania z wykorzystaniem takich rozwiązań które uniemożliwiają odczytanie usuniętych danych osobowych;

i) niszczenia, polegającego na fizycznej destrukcji nośnika danych lub jego części, na którym znajdują się powierzone dane osobowe

– o ile jest to konieczne do zrealizowania celu, o którym mowa w ust. 4 powyżej i jest zgodne z zasadami określonymi w niniejszej Umowie.

7. Strony wskazują, że niniejsza Umowa zawierana jest w celu prawidłowego wykonania Umowy podstawowej i żadnej ze Stron nie przysługuje od drugiej Strony jakiekolwiek dodatkowe wynagrodzenie związane z przetwarzaniem
   lub powierzeniem do przetwarzania danych osobowych.

8. Zawarcie niniejszej Umowy wypełnia wymóg udokumentowania polecenia wydanego przez Administratora dotyczącego przetwarzania danych
   przez Podmiot przetwarzający, o którym mowa w art. 28 ust. 3 lit. a) RODO
   oraz w art. 34 ust. 5 Ustawy DODO.

§ 2

Powierzenie przetwarzania danych osobowych

1. Administrator powierza Podmiotowi przetwarzającemu (zgodnie z art. 28 Rozporządzenia oraz zgodnie z art. 34 Ustawy) dane osobowe do przetwarzania,
   na zasadach i w celu określonym w niniejszej Umowie.

2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem, Ustawą DODO
   oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia oraz Ustawy DODO.

4. W przypadku, gdyby w toku realizacji niniejszej Umowy, doszło do zmian wymagań prawnych związanych z przetwarzaniem danych osobowych,
   w szczególności wymagań dotyczących zabezpieczenia danych osobowych, Podmiot przetwarzający zobowiązany jest do zapewnienia przetwarzania danych osobowych, w tym ich zabezpieczenia w sposób zgodny z aktualnymi przepisami o ochronie danych osobowych.

§ 3

Zakres i cel przetwarzania danych

1. Przetwarzanie danych obejmować będzie następujące rodzaje danych osobowych: zwykłe dane osobowe oraz dane szczególnej kategorii danych pracowników oraz innych osób, których dane widnieją w aktach Prokuratury Okręgowej w Krakowie.

2. Powierzone przez Administratora danych dane osobowe będą przetwarzane
   przez Podmiot przetwarzający wyłącznie w celu realizacji Umowy z dnia ……………..… nr …………..…………… w zakresie ……….………………...

§ 4

Obowiązki podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia oraz w art. 39 Ustawy.

2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności
   przy przetwarzaniu powierzonych danych osobowych.

3. Podmiot przetwarzający zobowiązuje się do zapewnienia szkolenia z zakresu ochrony danych osobowych oraz nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.

4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy,
   (o której mowa w art. 28 ust 3 pkt b Rozporządzenia oraz w art. 34 ust 5 pkt 3 ustawy DODO) przetwarzanych danych przez osoby, które upoważnia
   do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.

5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych
   z przetwarzaniem, w szczególności rozwiązaniu lub wygaśnięciu niniejszej Umowy, zakończenia przez Administratora współpracy z osobą, której dane osobowe dotyczą lub skorzystania przez te osoby z praw im przysługujących, zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie
   ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

6. W przypadku rozwiązania lub wygaśnięcia niniejszej Umowy lub Umowy podstawowej Podmiot przetwarzający dokonuje czynności, o których mowa
   w ust. 5 powyżej w dniu rozwiązania lub wygaśnięcia niniejszej Umowy
   lub Umowy podstawowej.

7. W przypadku, gdy obowiązek, o którym mowa w ust. 5 powyżej aktualizuje się w związku z zakończeniem przez Administratora współpracy z osobą,
   której dane osobowe dotyczą lub skorzystania przez te osoby z praw
   im przysługujących, a dane osobowe podlegające zwrotowi dotyczą konkretnej osoby obowiązek ich zwrotu aktualizuje się z dniem, w którym Administrator zwrócił się ze stosownym wnioskiem do Podmiotu przetwarzającego.

8. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia oraz w Ustawie DODO.

9. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w ciągu 24 h
   od pierwszego zgłoszenia. Podmiot przetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach
   z chwilą ich dokonania, a w szczególności stwierdzenia naruszenia. Powiadomienie o stwierdzeniu naruszenia winno być przesłane
   do Administratora wraz z niezbędnymi dokumentami dotyczącymi naruszenia,
   w celu umożliwienia spełnienia obowiązku powiadomienia organu nadzorczego.

§ 5

Prawo kontroli

1. Podmiot przetwarzający zobowiązany jest do przekazania, na pisemne żądanie Administratora i w terminie przez niego wskazanym, informacji dotyczących przetwarzania przez Podmiot przetwarzający powierzonych danych osobowych, w tym sposobów realizacji obowiązku zabezpieczenia danych osobowych
   oraz danych osobowych niezbędnych Administratorowi do wykonania zobowiązań wynikających z odpowiedzialności za powierzone dane osobowe. Na każde żądanie Administratora Podmiot przetwarzający zobowiązany
   jest wykazać, że spełnia przesłanki, o których mowa w art. 28 ust. 1 RODO
   oraz w art. 39 Ustawy DODO.

2. Po uprzednim poinformowaniu Podmiotu przetwarzającego, Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia oraz Ustawy DODO
   ma prawo kontroli sposobu przetwarzania danych, zastosowanych środków
   przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu
   do pomieszczeń, w których są przetwarzane dane i wglądu do dokumentacji związanej z przetwarzaniem danych.

3. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego.

4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych
   nie dłuższym niż 7 dni.

5. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz w art. 34 ust. 5 Ustawy DODO.

6. Podmiot przetwarzający zobowiązany jest do umożliwienia przeprowadzenia przez Organ nadzorczy kontroli w każdym czasie zgodności przetwarzania danych osobowych z przepisami prawa na zasadach opisanych w RODO
   oraz w Ustawie DODO.

§ 6

Dalsze powierzenie danych do przetwarzania

1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową
   do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy
   po uzyskaniu uprzedniej pisemnej pod rygorem nieważności zgody Administratora danych. W celu dalszego powierzenia Podmiot przetwarzający zobowiązany jest zawrzeć z podwykonawcą pisemną umowę powierzenia przetwarzania danych osobowych o treści i zakresie jak najbardziej zbliżonym do niniejszej Umowy i przewidujące ochronę powierzonych danych osobowych na poziomie nie mniejszym aniżeli przewiduje niniejsza Umowa.

2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie
   na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada
   na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

3. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych, tj. odpowiada za działania i zaniechania podwykonawców,
   jak za własne.

§ 7

Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający jest zobowiązany do przestrzegania przepisów RODO oraz Ustawy DODO oraz odrębnych przepisów o ochronie danych osobowych.

2. Podmiot przetwarzający powinien przetwarzać powierzone dane osobowe
   w sposób określony przez Administratora, o ile nie jest on sprzeczny
   z obowiązującymi przepisami prawa.

3. Podmiot przetwarzający będzie przetwarzał dane osobowe
   w pomieszczeniach/obszarach i przy użyciu systemów informatycznych zabezpieczonych przed dostępem osób nieupoważnionych.

4. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności
   za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

5. W przypadku, gdy Administrator miałby ponieść jakąkolwiek odpowiedzialność związaną z naruszenie niniejszej Umowy przez Podmiot przetwarzający wówczas Podmiot przetwarzający zobowiązuje się zwolnić go z tej odpowiedzialności, a w przypadku, gdy nie byłoby to możliwe zobowiązuje się pokrycia wszelkich kosztów wynikłych z niedochowania zobowiązań przyjętych w niniejszej Umowie. Podmiot przetwarzający odpowiada za szkody spowodowane nie zastosowaniem odpowiednich środków bezpieczeństwa.

6. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych,
   w szczególności prowadzonych przez inspektorów upoważnionych
   przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

§ 8

Inspektor Ochrony Danych Osobowych

1. Administrator powołał Inspektora Ochrony Danych Osobowych (IOD).

2. IOD / Koordynatorem Umowy Powierzenia ze strony Administratora jest:
   1) imię i nazwisko: Xxxxxxxxx Xxxxxxx,

2) adres e-mail: xxx.xxxxx@xxxxxxxxxxx.xxx.xx .

3. Podmiot przetwarzający powołał Inspektora Ochrony Danych.

4. IOD ze strony Podmiotu przetwarzającego będzie:

a) imię i nazwisko: …………..

b) stanowisko: …………..

c) adres e-mail: …………..

5. Inspektor Ochrony Danych powołany przez Podmiot przetwarzający będzie wykonywał obowiązki Inspektora Ochrony Danych wynikające z przepisów
   o ochronie danych osobowych oraz będzie współpracował z Inspektorem Ochrony Danych / Koordynatorem Umowy Powierzenia wskazanym
   przez Administratora w celu zapewnienia przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa.

§ 9

Czas obowiązywania umowy, rozwiązanie umowy

1. Niniejsza Xxxxx obowiązuje od dnia jej zawarcia przez czas nieokreślony/określony* od ………... do ……….. .

2. Każda ze stron może wypowiedzieć niniejszą Umowę z zachowaniem …….…… okresu wypowiedzenia.

3. Niniejsza Umowa wygasa również lub ulega rozwiązaniu chwilą wygaśnięcia
   lub rozwiązania Umowy Podstawowej.

4. Administrator danych może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:

1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

2. przetwarza dane osobowe w sposób niezgodny z Umową;

3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych.

§ 10

Zasady zachowania poufności

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych
   od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.

2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem
   do zachowania w tajemnicy danych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu
   niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 11

Oświadczenia

1. Oświadczenie Administratora - Administrator oświadcza, iż jest Administratorem danych oraz jest uprawniony do ich przetwarzania w zakresie w jakim powierzył je Podmiotowi przetwarzającemu.

2. Oświadczenie Podmiotu przetwarzającego – Podmiot przetwarzający oświadcza, iż w ramach prowadzonej działalności posiada niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania niniejszej Umowy.

§ 12

Postanowienia końcowe

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach
   dla każdej ze Stron.

2. W sprawach nieuregulowanych zastosowanie będą miały przepisy polskiego prawa oraz przepisy prawa wspólnotowego, w tym RODO oraz Ustawy DODO.

3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora danych.

4. Wszelkie oświadczenia Stron dotyczące niniejszej Umowy, w tym
   w szczególności zmiany lub uzupełnienia Umowy wymagają formy pisemnej pod rygorem nieważności.

5. W przypadku, w którym zaszłaby konieczność przetwarzania innych danych osobowych aniżeli wskazane w niniejszej Umowie, Strony zawrą stosowny aneks do niniejszej Umowy.

6. Bieżąca komunikacja Stron odbywa się w formie pisemnej / za pośrednictwem poczty elektronicznej e-mail (w formie dokumentowanej).

……………………………………. ………………………………

Administrator danych Podmiot przetwarzający