UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …………….. w Siedlcach pomiędzy
Centrum Medyczno - Diagnostycznym spółka z ograniczoną odpowiedzialnością z siedzibą w Siedlcach ul. Xxxxxxx 0, adres do doręczeń ul. Xxxxxxxxxxx 00, 00-000 Xxxxxxx, NlP: 000-00-00-000 wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000036205, reprezentowaną przez Prezesa Zarządu - Xxxxx Xxxx i Wiceprezesa Zarządu - Xxxxxx Xxxxxxxxxx,; zwaną dalej Administratorem lub Stroną
a
Wprowadź nazwę spółki z siedzibą: Wprowadź siedzibę spółki, ul. Wprowadź adres spółki; wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w ………………., Wprowadź nr wydziału Wydział Gospodarczy pod numerem KRS: Wprowadź nr KRS; REGON: Wprowadź nr REGON; NIP Wprowadź nr NIP; o kapitale zakładowym w wysokości: Wprowadź wysokość kapitału zakładowego zł i kapitale wpłaconym w wysofkości: Wprowadź wysokość kapitału wpłaconego zł; zwaną dalej Przetwarzającym lub Stroną
reprezentowaną przez:
Wprowadź dane osoby reprezentującej
Wprowadź dane osoby reprezentującej
łącznie zwane Stronami
Mając na uwadze, że:
Strony zawarły umowę na zakup 1 szt. mammografu cyfrowego wraz z dostawą, instalacją, serwisowaniem oraz przeszkoleniem personelu z dnia Wprowadź datę zawarcia umowy głównej (dalej: Umowa Główna), w związku z którą Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą umową (dalej: Umowa);
celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora;
Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) (dalej: RODO) oraz krajowym przepisom regulujących przetwarzanie i ochronę danych osobowych.
w celu wywiązania się z zobowiązań nałożonych przepisem art. 28 RODO, Strony zawierają umowę o poniższej treści
§1
Definicje
Administrator – oznacza podmiot, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych;
Przetwarzający - oznacza podmiot, który przetwarza dane osobowe na wyraźne polecenie Administratora;
Umowa Główna - oznacza umowę, w związku z którą zawierana jest umowa powierzenia (przetwarzanie danych jest konieczne do wykonania Umowy Głównej);
Umowa – niniejsza umowa powierzenia przetwarzania danych osobowych;
Dalszy Podmiot Przetwarzający - oznacza podmiot, z którego usług korzysta Przetwarzający przy wykonywaniu praw i obowiązków określonych w Umowie, który będzie miał dostęp do danych osobowych, tj. podmiot, któremu Przetwarzający za zgodą Administratora podpowierzył w całości lub częściowo przetwarzanie danych osobowych;
przetwarzanie – oznacza operacje na danych osobowych, które będzie wykonywał Przetwarzający na polecenie Administratora w celu określonym w Umowie, spośród operacji takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa przez Przetwarzającego lub Dalszy Podmiot Przetwarzający, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych;
EOG - oznacza Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.) czyli, na dzień zawarcia Umowy, państwa należące do Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein;
państwo trzecie – oznacza państwo spoza obszaru EOG;
Personel - oznacza osoby przetwarzające powierzone dane osobowe z upoważnienia Przetwarzającego.
§ 2
Oświadczenie Administratora
Administrator niniejszym oświadcza, że:
pełni funkcję Administratora danych osobowych, które powierza Przetwarzającemu,
przetwarza dane osobowe zgodnie z prawem,
przekazywane dane osobowe zostały zebrane w sposób legalny, dla oznaczonych, zgodnych z prawem celów oraz są poddawane dalszemu przetwarzaniu zgodnemu z tymi celami,
dane osobowe są merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
dane osobowe przechowywane są w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
realizuje wszelkie obowiązki nałożone przez przepisy na Administratora w zakresie zabezpieczenia danych osobowych,
przetwarzanie danych osobowych powierzonych Przetwarzającemu na podstawie niniejszej Umowy nie będzie naruszać jakichkolwiek praw osób trzecich oraz osób, których dane dotyczą, ani też przepisów prawa, o ile Przetwarzający będzie przestrzegać obowiązujących przepisów prawa, a także postanowień Umowy.
§3
Przedmiot,
charakter i cel przetwarzania danych osobowych
Przedmiotem Umowy jest powierzenie Przetwarzającemu przez Administratora danych osobowych do przetwarzania w związku i w celu realizacji Umowy Głównej.
Przetwarzający może przetwarzać dane osobowe powierzone przez Administratora wyłącznie na udokumentowane polecenie Administratora, w celu wykonania zobowiązań wynikających z Umowy Głównej, tj. zakup 2 szt. mammografów cyfrowych wraz z dostawą, instalacją, serwisowaniem oraz przeszkoleniem personelu.
Ust. 2 nie stosuje się, jeżeli obowiązek przetwarzania danych osobowych nakładają na Przetwarzającego przepisy prawa. W takiej sytuacji Przetwarzający informuje Administratora przed rozpoczęciem przetwarzania o tym obowiązku, chyba że przepisy te zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny.
Zawarcie Umowy stanowi udokumentowane polecenie Administratora do przetwarzania przez Przetwarzającego danych osobowych, z wyłączeniem przekazywania danych osobowych do państwa trzeciego. Za udokumentowane polecenie uważa się również polecenia przekazane zgodnie z Umową na wskazany w Umowie adres e-mail lub na piśmie.
Charakter przetwarzania danych dotyczy przetwarzania danych osobowych w formie papierowej lub elektronicznej, w tym przy wykorzystaniu systemów informatycznych.
Strony zgodnie oświadczają, że w ramach realizacji Umowy Przetwarzający nie będzie podejmował decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołałyby skutki prawne lub w podobny sposób istotnie wpłynęły na podmiot danych.
§ 4
Kategorie osób, których dane dotyczą oraz rodzaj danych osobowych
Kategorie osób, których dane dotyczą |
Kategorie danych osobowych z podziałem na rodzaje |
Operacje przetwarzania |
Np. pracownicy Administratora |
|
|
|
|
|
… |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
§ 5
Dalsze Podmioty Przetwarzające
Administrator wyraża zgodę na korzystanie przez Przetwarzającego z usług Dalszych Podmiotów Przetwarzających przy przetwarzaniu danych osobowych w celu prawidłowej realizacji Umowy Głównej.
Lista Dalszych Podmiotów Przetwarzających, z których korzysta lub zamierza korzystać Przetwarzający na dzień rozpoczęcia obowiązywania Umowy znajduje się w Załączniku nr 1 do Umowy. Zawierając Umowę Administrator akceptuje powierzenie przetwarzania danych osobowych Dalszym Podmiotom Przetwarzającym określonym w Załączniku nr 1 do Umowy.
W przypadku zamiaru skorzystania przez Przetwarzającego z usług innych Dalszych Podmiotów Przetwarzających niż określone w Załączniku nr 1 do Umowy, Przetwarzający przekaże Administratorowi informację o Dalszym Podmiocie Przetwarzającym na co najmniej 30 dni przed zamiarem dokonania dalszego powierzenia przetwarzania danych osobowych.
Informacja o Dalszym Podmiocie Przetwarzającym zostanie przekazana w formie pisemnej i będzie zawierała następujące dane:
nazwę, adres siedziby, nr tel. kontaktowego i adres e-mail Dalszego Podmiotu Przetwarzającego,
miejsce przetwarzania danych osobowych,
cel dalszego powierzenia przetwarzania danych osobowych (funkcję Dalszego Podmiotu Przetwarzającego),
dane kontaktowe inspektora ochrony danych osobowych Dalszego Podmiotu Przetwarzającego, jeśli ma to zastosowanie,
dane przedstawiciela Dalszego Podmiotu Przetwarzającego, jeśli ma to zastosowanie.
Zmiana Załącznika nr 1 nie stanowi zmiany Umowy.
W terminie 14 dni od dnia otrzymania informacji o Dalszym Podmiocie Przetwarzającym, Administrator może zgłosić sprzeciw wobec przekazania danych osobowych Dalszemu Podmiotowi Przetwarzającemu.
Sprzeciw wymaga zachowania formy pisemnej pod rygorem nieważności. Skuteczne złożenie sprzeciwu nastąpi w drodze jednostronnego oświadczenia skierowanego do Przetwarzającego i nie wymaga dla swojej ważności wprowadzenia aneksu do Umowy.
Jeżeli zgłoszenie sprzeciwu wobec powierzenia przetwarzania danych osobowych Dalszemu Podmiotowi Przetwarzającemu uniemożliwi dalsze wykonywanie Umowy przez Przetwarzającego, oznaczało to będzie wypowiedzenie Umowy ze skutkiem na koniec miesiąca następującego po miesiącu, w którym złożono sprzeciw. W takim wypadku dalsza realizacja Umowy Głównej może mieć miejsce jedynie z wyłączeniem konieczności przetwarzania danych osobowych przez Przetwarzającego.
W przypadku rozwiązania Umowy na skutek złożenia sprzeciwu, odpowiednie zastosowanie mają postanowienia § 14.
Sprzeciw Administratora nie będzie odnosił skutku w postaci wypowiedzenia Xxxxx, jeżeli Przetwarzający wycofa się z zamiaru dalszego powierzenia danych osobowych podmiotowi wobec którego Administrator złożył sprzeciw lub skorzysta z usług innego Dalszego Podmiotu Przetwarzającego, zaakceptowanego przez Administratora
Niezłożenie przez Administratora sprzeciwu w wyznaczonym terminie upoważnia Przetwarzającego do dokonania dalszego powierzenia.
Umowa pomiędzy Przetwarzającym a Dalszym Podmiotem Przetwarzającym będzie nakładać na Dalszy Podmiot Przetwarzający te same obowiązki dotyczące zgodnego z prawem przetwarzania danych osobowych, w tym w szczególności zobowiązanie do zapewnienia zabezpieczeń technicznych i organizacyjnych, które będą adekwatne do rodzaju powierzonych danych osobowych oraz ryzyka naruszenia praw osób, których dane osobowe dotyczą. Uprawnienia Dalszych Podmiotów Przetwarzających, w tym zakres i cele dalszego powierzenia przetwarzania danych osobowych, nie mogą być szersze niż uprawnienia Przetwarzającego określone w Umowie.
Jeżeli Dalszy Podmiot Przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie tych obowiązków spoczywa na Przetwarzającym.
Wszelkie uprawnienia Administratora przewidziane w niniejszej Umowie względem Przetwarzającego przysługują Administratorowi odpowiednio względem Dalszych Podmiotów Przetwarzających.
Przetwarzający zobowiązuje się przedłożyć Administratorowi kopię umowy zawartej z Dalszym Podmiotem Przetwarzającym na każde żądanie Administratora, w ciągu 3 dni roboczych od uzyskania żądania przez Przetwarzającego, na adres e-mail wskazany przez Administratora w Umowie. Obowiązkowi temu czyni zadość przedłożenie kopii, z której usunięto postanowienia zawierające tajemnicę przedsiębiorstwa Przetwarzającego lub Dalszego Podmiotu Przetwarzającego oraz zawartych w nich danych osobowych.
Przetwarzający poinformuje Administratora o rozwiązaniu umowy z Dalszym Podmiotem Przetwarzającym w terminie 5 dni roboczych, na adres e-mail wskazany przez Administratora w Umowie.
§ 6
Miejsce przetwarzania danych osobowych
Przetwarzający oświadcza, że w związku z realizacją Umowy nie będzie przekazywał danych osobowych do państwa trzeciego, w tym nie będzie korzystał z Dalszych Podmiotów Przetwarzających, które przetwarzają dane osobowe w państwie trzecim, chyba że obowiązek taki nakładają na Przetwarzającego przepisy prawa.
Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać dane osobowe do państwa trzeciego, informuje o tym Administratora na piśmie, w celu umożliwienia Administratorowi podjęcia decyzji lub działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
§
7
Zabezpieczenia techniczne, organizacyjne i rejestr
Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Przetwarzający oświadcza i zapewnia, że wdrożył środki techniczne i organizacyjne, zapewniające stopień bezpieczeństwa odpowiadający temu ryzyku, zgodnie wymogami art. 32 RODO, w tym między innymi w stosownym przypadku:
pseudonimizację i szyfrowanie danych osobowych,
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Przetwarzający oświadcza, że zapewnia co najmniej podstawowe środki ochrony danych osobowych, w tym w zakresie
zabezpieczeń organizacyjnych:
wprowadził dokument regulujący zasady ochrony danych osobowych,
przeprowadza szkolenia wstępne i okresowe z ochrony danych osobowych i bezpieczeństwa informacji dla Personelu,
nadaje Personelowi upoważnienia do przetwarzania danych osobowych, które systematycznie weryfikuje;
zabezpieczeń fizycznych:
wydzielił obszary bezpieczne w których przetwarzane są dane osobowe,
zastosował odpowiednie środki bezpieczeństwa tj. kontrolę dostępu do pomieszczeń, zapewnił możliwość skutecznego zamykania pomieszczeń i wyposażenia oraz egzekwuje ich wykonanie;
zabezpieczeń dotyczących kontroli dostępu:
każdy współpracownik Przetwarzającego posiada odrębne, unikalne konto dostępowe do komputera i systemów informatycznych, w których przetwarzane są dane osobowe,
Przetwarzający stosuje politykę silnych haseł, zmiany haseł i blokowania kont,
Przetwarzający wprowadził szyfrowanie urządzeń mobilnych przetwarzających dane osobowe,
dostęp zdalny do danych osobowych jest centralnie zarządzany i kontrolowany;
zabezpieczeń dotyczących bezpieczeństwa operacyjnego:
systemy informatyczne i aplikacje Przetwarzającego służące do przetwarzania danych osobowych są regularnie aktualizowane, weryfikowane pod kątem podatności na ataki oraz zabezpieczone przez systemy antywirusowe,
stosuje ochronę przed nieuprawnionym dostępem do systemów i sieci przez zaporę ogniową (firewall),
stosuje filtrowanie dostępów do stron internetowych.
wdrożył systemy monitorujące ruch sieciowy, a wykrywane anomalie są logowane i raportowane.
Przetwarzający oświadcza, iż jest świadomy ciążących na nim obowiązków określonych w ust. 1 i 2, oraz że w przypadku przeprowadzenia kontroli przez Administratora, będzie zobowiązany do wykazania pozostałych zastosowanych zabezpieczeń technicznych i organizacyjnych, nawet jeśli stanowią one tajemnicę przedsiębiorstwa.
Przetwarzający oświadcza i zapewnia, że prowadzi rejestr kategorii czynności przetwarzania danych osobowych dla powierzonych danych osobowych, zgodnie z art. 30 ust. 2 RODO, chyba że Przetwarzający objęty jest zwolnieniem z tego obowiązku na podstawie art. 30 ust. 5 RODO.
§
8
Personel Przetwarzającego
Przetwarzający dopuści do przetwarzania danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do realizacji Umowy Głównej.
Przetwarzający zapewnia, że osoby działające z jego upoważnienia i mające dostęp do danych osobowych zostaną zobowiązane do zachowania tajemnicy przetwarzanych danych osobowych lub podlegają ustawowemu obowiązkowi zachowania tajemnicy. Przy czym zobowiązanie do zachowania tajemnicy istniało będzie zarówno w trakcie realizacji Umowy, jak również po jej rozwiązaniu oraz po rozwiązaniu stosunku prawnego pomiędzy Przetwarzającym, a upoważnioną osobą.
Przetwarzający oświadcza, że Personel Przetwarzającego został zapoznany z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem danych osobowych.
§
9
Niezbędne wsparcie dla Administratora
Strony ustalają, że podczas realizacji niniejszej Umowy będą ze sobą ściśle współpracować, informując się wzajemnie o wszelkich okolicznościach mających lub mogących mieć wpływ na wykonanie niniejszej Umowy.
Uwzględniając charakter przetwarzania danych osobowych oraz dostępne informacje, Przetwarzający pomaga Administratorowi poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych wywiązać się z obowiązków:
informacyjnych wobec osoby, której dane dotyczą, zgodnie z art. 12-14 RODO. Treść i forma przedstawiania klauzuli informacyjnej przedstawianej przez Przetwarzającego w imieniu Administratora powinna zostać ustalona pomiędzy Stronami przed rozpoczęciem zbierania danych;
odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 15-22 RODO poprzez zapewnienie Administratorowi, na jego żądanie, następujących możliwości:
wykonania kopii danych osobowych,
sprostowania danych osobowych,
przeniesienia danych osobowych,
zaprzestania, usunięcia i ograniczenia przetwarzania danych osobowych;
wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanym danym osobowym;
zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia osób, których dane osobowe dotyczą, poprzez natychmiastowe zgłoszenie Administratorowi naruszenia ochrony danych osobowych, zgodnie z art. 33-34 RODO;
w przypadku przetwarzania danych osobowych wiążącego się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych – dokonania oceny skutków planowanego przetwarzania dla ochrony danych osobowych, zgodnie z art. 35-36 RODO.
§
10
Naruszenie ochrony danych osobowych
W przypadku stwierdzenia przez Przetwarzającego naruszenie ochrony danych osobowych, Przetwarzający niezwłocznie zgłosi Administratorowi takie naruszenie, jednak nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.
Zgłoszenie będzie zawierało co najmniej:
opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane osobowe dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczyło naruszenie,
imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub wskazanie innej osoby, od której można uzyskać więcej informacji,
opis możliwych konsekwencji naruszenia ochrony danych osobowych,
opis środków zastosowanych lub proponowanych przez Przetwarzającego w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków służących zminimalizowaniu ewentualnych negatywnych skutków naruszenia,
opis okoliczności zdarzenia stanowiącego naruszenie ochrony danych osobowych oraz jego ustalonych lub podejrzewanych przyczyn.
Informacja o naruszeniu ochrony danych osobowych zostanie przekazana przez Przetwarzającego na adres e-mail wskazany przez Administratora w Umowie.
W przypadku stwierdzenia naruszenia ochrony danych osobowych, do czasu poinformowania Administratora, Przetwarzający podejmuje niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zminimalizowaniu ewentualnych negatywnych konsekwencji naruszenia.
Przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z prawem lub Umową przetwarzania przez Przetwarzającego powierzonych przez Administratora danych osobowych.
§
11
Informowanie Administratora
Przetwarzający niezwłocznie, jednak nie później niż w terminie 3 dni roboczych, poinformuje Administratora o:
wszelkich zgłoszonych żądaniach osób, których dane dotyczą i ustali z nim sposób postępowania w stosunku do zgłoszonego żądania,
wszelkich postępowaniach z udziałem Przetwarzającego, w szczególności administracyjnych lub sądowych, dotyczących przetwarzania danych osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu sądowym dotyczących przetwarzania danych osobowych, skierowanych do Przetwarzającego, a także o wszelkich planowanych postępowaniach lub o realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Przetwarzającego danych osobowych, w szczególności prowadzonych przez organ nadzorczy,
poleceniach wydanych przez Administratora dotyczących przetwarzania danych osobowych, które zdaniem Przetwarzającego stanowią naruszenie przepisów RODO lub innych przepisów prawa o ochronie danych osobowych.
Powyższe informacje zostaną przekazane na adres e-mail wskazany przez Administratora w Umowie.
§
12
Kontrola Przetwarzania
Administratorowi przysługuje prawo kierowania zapytań do Przetwarzającego w zakresie prawidłowości wykonania obowiązków dotyczących powierzonych mu na podstawie niniejszej Umowy danych.
Przetwarzający zobowiązuje się udzielić odpowiedzi na zapytanie niezwłocznie, nie później jednak niż w terminie 5 dni roboczych od daty wpłynięcia zapytania, na adres e-mail wskazany przez Administratora w Umowie.
W związku z obowiązkiem Administratora dotyczącym zapewnienia bezpieczeństwa danym osobowym, Administrator jest uprawniony do przeprowadzenia u Przetwarzającego kontroli (w tym inspekcji, audytów) zgodności przetwarzania danych osobowych z przepisami prawa, w szczególności z RODO oraz Umową, z wyłączeniem:
informacji zawierających tajemnicę przedsiębiorstwa (wyłączeniu nie podlegają jednak informacje o zastosowanych zabezpieczeniach technicznych i organizacyjnych służących ochronie przetwarzanych w imieniu Administratora danych osobowych) lub
przeprowadzania testów penetracyjnych lub innych podobnych testów systemów Przetwarzającego.
Administrator może dokonać kontroli przetwarzania samodzielnie lub za pośrednictwem upoważnionego przez niego audytora, po przedłożeniu przez audytora pełnomocnictwa do działania w imieniu Administratora.
Administrator jest uprawniony do przeprowadzenia kontroli przetwarzania w przypadku gdy:
obowiązek przeprowadzenia kontroli przetwarzania został nałożony przez organ nadzorczy lub
przeprowadzenie kontroli przetwarzania jest konieczne dla wyjaśnienia naruszenia ochrony powierzonych danych osobowych lub
Administrator powziął uzasadnioną wątpliwość w zakresie zgodnego z prawem i Umową przetwarzania powierzonych danych osobowych przez Przetwarzającego.
Prowadzenie audytu nie może powodować nadmiernych obciążeń dla Przetwarzającego. W szczególności audyt nie może być prowadzony poza zwykłymi godzinami pracy Przetwarzającego w danym budynku, lokalu lub innym pomieszczeniu, chyba że przeprowadzenie audytu jest uzasadnione nagłą potrzebą.
W przypadku wszczęcia oczywiście nieuzasadnionej kontroli przez Administratora, Przetwarzający jest uprawniony dochodzić od Administratora zwrotu rzeczywiście poniesionych, udokumentowanych kosztów przeprowadzenia kontroli.
W przypadku gdy przeprowadzenie kontroli okaże się uzasadnione, tj. potwierdzone zostanie niezgodne z prawem lub Umową przetwarzanie powierzonych danych osobowych przez Przetwarzającego, Administrator jest uprawniony dochodzić od Przetwarzającego zwrotu rzeczywiście poniesionych, udokumentowanych kosztów przeprowadzenia kontroli.
Administrator jest zobowiązany zawiadomić Przetwarzającego o zamiarze przeprowadzenia kontroli na co najmniej 5 dni roboczych przed planowaną datą rozpoczęcia kontroli, chyba że występuje konieczność niezwłocznego przeprowadzenia kontroli, z uwagi na uzasadnione ryzyko naruszenia ochrony danych osobowych.
W zawiadomieniu Administrator wskazuje dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli przetwarzania. Zawiadomienie należy przekazać na adres e-mail wskazany przez Przetwarzającego w Umowie.
Jeżeli przeprowadzenie kontroli nie będzie możliwe w terminie wskazanym przez Administratora w zawiadomieniu, Przetwarzający poinformuje Administratora o pierwszym możliwym terminie przeprowadzenia kontroli przetwarzania, w ciągu kolejnych 5 dni roboczych. Informacja zostanie przekazana na adres e-mail wskazany przez Administratora w Umowie.
Kontrola przetwarzania, w zakresie dotyczącym obszarów przetwarzania danych osobowych (np. pomieszczeń i systemów informatycznych Przetwarzającego), nie może trwać dłużej niż 3 dni robocze.
Kontrola przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z kontroli. Protokół będzie zawierał wnioski z kontroli oraz uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania danych osobowych przez Przetwarzającego.
§ 13
Czas trwania Umowy
Strony oświadczają, że zawierają niniejszą Umowę na czas trwania Umowy Głównej.
Umowa ulega rozwiązaniu również w przypadku, gdy do wykonania Umowy Głównej nie jest już konieczne przetwarzanie danych osobowych przekazanych Przetwarzającemu przez Administratora.
Strony mogą wypowiedzieć niniejszą Umowę z zachowaniem 3-miesięcznego okresu wypowiedzenia lub zawierając stosowne porozumienie, zważając iż wypowiedzenie niniejszej Umowy może uniemożliwić realizację Umowy Głównej, a tym samym skutkować jej rozwiązaniem.
Administrator ma prawo rozwiązać Umowę w trybie natychmiastowym, gdy wyniki kontroli ujawnią, że Przetwarzający przetwarza dane osobowe w sposób niezgodny z Umową lub obowiązkami nałożonymi przez obowiązujące przepisy, a Przetwarzający w wyznaczonych przez Administratora terminie nie usunie wskazanych naruszeń.
§
14
Okres przetwarzania danych osobowych
Przetwarzający może przetwarzać dane osobowe wyłącznie przez okres obowiązywania Umowy Głównej, chyba że Administrator i Przetwarzający ustalą inny okres przetwarzania danych osobowych w drodze odrębnego porozumienia albo Umowa ulegnie rozwiązaniu w przypadkach określonych w § 13.
W okresie do 30 dni od rozwiązania Umowy Głównej lub Umowy, w zależności od żądania Administratora, Przetwarzający zwróci i trwale usunie albo trwale usunie powierzone do przetwarzania dane osobowe z wszelkich papierowych i elektronicznych nośników danych, programów i aplikacji, w tym z wszelkich istniejących kopii, w tym kopii zapasowych. Poprzez trwałe usunięcie danych należy rozumieć takie zniszczenie tych danych lub taką ich modyfikację, która w żaden sposób nie pozwoli na ustalenie tożsamości podmiotu danych. W przypadku braku stanowiska ze strony Administratora w wyżej wskazanym terminie, Przetwarzający jest zobowiązany do usunięcia danych w sposób wskazany w zdaniach poprzedzających.
Jeżeli, zgodnie z żądaniem Administratora, Przetwarzający jest obowiązany zwrócić Administratorowi dane osobowe, zwrot powinien nastąpić przez bezpieczny transfer plików w formacie żądanym przez Administratora lub na nośniku fizycznym dostarczonym przez Administratora. Zmiana formatu pliku nie powinna pociągać za sobą dodatkowych kosztów dla Przetwarzającego.
Jeżeli na mocy odpowiednich przepisów prawa Przetwarzający będzie zobowiązany do przechowywania danych osobowych jeszcze przez jakiś czas po zakończeniu okresu przechowywania, Przetwarzający niezwłocznie poinformuje Administratora o wystąpieniu takiego obowiązku. W takiej sytuacji Przetwarzający na żądanie Administratora przekaże Administratorowi kopie przetwarzanych danych, a w dalszym ciągu będzie przetwarzał dane osobowe wyłącznie w zakresie i celu wykonania obowiązków wynikających z przepisów prawa, a po o ich spełnieniu niezwłocznie i trwale usunie dane osobowe.
Na żądanie Administratora Przetwarzający przekaże niezwłocznie protokół zwrotu lub usunięcia danych osobowych albo wystosuje odpowiednie oświadczenie w powyższym zakresie.
Przetwarzający zapewnia, że wszelkie Dalsze Podmioty Przetwarzające zwrócą i trwale usuną przetwarzane dane osobowe w terminie i na zasadach określonych w ust. 1-5.
§ 15
Poufność
Strony zobowiązują się do zachowania w tajemnicy wszelkich powierzonych danych osobowych, informacji, w tym w szczególności informacji o stosowanych zabezpieczeniach technicznych i organizacyjnych, innych danych, materiałów, dokumentów pochodzących od Stron i od współpracujących z nimi osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
Strony oświadczają, że w związku z zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody drugiej Strony w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
Klauzula poufności wiąże Strony także po rozwiązaniu Umowy.
§16
Postanowienia
końcowe
W celu wykonania praw i obowiązków wynikających z niniejszej Umowy i przepisów prawa, Strony ustalają następujące adresy do kontaktu:
po stronie Administratora - e-mail: xxxxx.xxxxxxxxxxxx@xxxxxxx.xxx.xx;
po stronie Przetwarzającego - e-mail: wprowadź adres e-mail.
Wszelkie pisma związane z realizacją Umowy doręczane będą na adres korespondencyjny wskazany w komparycji Umowy, chyba że postanowienia Umowy przewidują prowadzenie korespondencji w formie elektronicznej, poprzez wskazane przez Strony adresy e-mail.
W sprawach nieuregulowanych w Umowie stosuje się odpowiednie postanowienia Umowy Głównej, odrębnej umowy o poufności (jeśli została zawarta), przepisy prawa polskiego, w szczególności przepisy Kodeksu cywilnego oraz aktów prawnych regulujących zasady ochrony danych osobowych, w tym przepisy RODO.
W granicach wyznaczonych przez bezwzględnie obowiązujące przepisy prawa, nieważność któregokolwiek z postanowień Umowy pozostaje bez wpływu na ważność pozostałych postanowień Umowy. W przypadku uznania niektórych postanowień Umowy za nieważne, Strony będą dążyć do zastąpienia nieważnych postanowień, postanowieniami wywołującymi taki sam skutek gospodarczy
Bez uszczerbku dla odpowiedzialności określonej w przepisach RODO, jeżeli Przetwarzający naruszy Umowę i RODO przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.
W przypadku rozbieżności pomiędzy postanowieniami Umowy a postanowieniami Umowy Głównej, w zakresie powierzenia przetwarzania danych osobowych zastosowanie mają postanowienia Umowy.
Umowa stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych osobowych pomiędzy Administratorem i Przetwarzającym w związku z realizacją Umowy Głównej oraz zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Administratorem i Przetwarzającym w tym zakresie.
Żadna ze Stron nie może dokonać cesji całości ani części niniejszej Umowy bez uzyskania wcześniejszej, pisemnej zgody drugiej Strony.
Wszelkie spory nie dające się rozstrzygnąć na drodze polubownej, będą rozstrzygane przez sąd właściwy dla siedziby Administratora.
Właściwym organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych.
Wszelkie zmiany do Umowy wymagają formy pisemnej pod rygorem nieważności
Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
____________________________ _________________________________
(Przetwarzający) (Administrator)
Załączniki:
Lista Dalszych Podmiotów Przetwarzających
Załącznik nr 1 do umowy powierzenia przetwarzania danych osobowych z dnia Wprowadź datę zawarcia umowy r.
Lista Dalszych Podmiotów Przetwarzających (DPP),
zaakceptowanych przez Administratora
Nazwa DPP |
Adres, siedziba, nr tel. kontaktowego i adresu e-mail DPP |
Miejsce przetwarzania danych |
Cel dalszego powierzenia |
Dane kontaktowe IOD, jeśli ma to zastosowanie |
Dane kontaktowe przedstawiciela, jeśli ma to zastosowanie |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
str. 11