POROZUMIENIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
POROZUMIENIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarte w Warszawie w dniu r. pomiędzy:
Województwem Mazowieckim z siedzibą w Warszawie (03-719) przy ul. Xxxxxxxxxxxxxx 00, NIP 1132453940, REGON 015528910, reprezentowanym przez:
Xxxxxxxx Xxxxxxxx – Dyrektora Mazowieckiego Zarządu Nieruchomości w Warszawie (00-024) Al. Xxxxxxxxxxxxx 00, działającego na podstawie uchwały nr 2099/209/16 Zarządu Województwa Mazowieckiego z dnia 27 grudnia 2016 r. w sprawie udzielenia pełnomocnictwa Dyrektorowi Mazowieckiego Zarządu Nieruchomości w Warszawie,
zwanym dalej Zleceniodawcą, a
…………………………………………………………………………………… reprezentowaną przez:
………………………. – ……………………………………………, zwaną dalej Zleceniobiorcą, zwanymi dalej wspólnie Stronami.
Zważywszy, że:
Zleceniodawca jest Administratorem Danych Osobowych i przetwarza dane osób fizycznych, w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanym RODO),
Strony łączy Umowa nr ……….. z dnia …….. w zakresie: usługi polegającej na
……………………………………….. nieruchomości zlokalizowanej w Warszawie przy xx Xxxx Xxxxx 0 (dalej Umowa).
Strony wspólnie postanowiły podpisać niniejsze Porozumienie powierzenia przetwarzania danych osobowych (dalej: Porozumienie) dla dostosowania współpracy Stron do postanowień ww. regulacji prawnych o następującej treści:
§ 1
Zakres i cel powierzenia przetwarzania danych osobowych
1. Zleceniodawca oświadcza, że przetwarza dane osobowe osób fizycznych (dalej: Dane Osobowe):
1) pracowników w związku z wykonywaniem zadań administratora danych osobowych odnoszących się do ich zatrudnienia,
2) osób fizycznych biorących w najem lokale mieszkalne administrowane przez Zleceniodawcę,
3) najemców, dzierżawców – w celu realizacji umów najmu i dzierżawy,
4) pracowników:
a) Urzędu Marszałkowskiego Województwa Mazowieckiego w Warszawie, w zakresie:
– imię;
– nazwisko;
– numer telefonu;
– numer pokoju;
– nazwa departamentu;
– nazwa wydziału;
– miejsce zatrudnienia;
– wizerunek;
– numer rejestracyjny pojazdu;
– marka i model pojazdu.
2. Dane osobowe powierzone przez podmiot określony w ust. 1 pkt. 4), będą przetwarzane przez MZN i Zleceniobiorcę, w okresie obowiązywania niniejszej umowy, wyłącznie w celu:
1) wydawania kluczy;
2) wykonywania prac konserwacyjno-remontowych na terenie nieruchomości;
3) zapewnienia bezpieczeństwa obiektu (użytkowanej powierzchni) i osób z niego korzystających;
4) obsługi parkingu.
3. Zleceniodawca oświadcza, że jest Administratorem Danych Osobowych osób wskazanych w ust.1 w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – zwanym dalej „Rozporządzeniem” – oraz w rozumieniu Ustawy o ochronie danych osobowych z 10 maja 2018 r. (Dz.U. z 2019 r., poz. 1781) – zwanej dalej „Ustawą” – a Zleceniobiorca przyjmuje do wiadomości, że Zleceniodawca jest Administratorem Danych Osobowych.
4. W związku ze współpracą Stron przy realizacji Umowy Zleceniodawca w trybie art. 28 Rozporządzenia, powierza niniejszym Zleceniobiorcy w celu i zakresie niezbędnym do realizacji współpracy Xxxx Xxxxxxx:
a) pracowników Zleceniodawcy w zakresie danych z monitoringu wizyjnego obsługiwanego przez pracowników Zleceniobiorcy,
b) pracowników podmiotu i w zakresie określonym w ust. 1 pkt. 4).
5. Zakres Danych Osobowych wymienionych w ust. 4 jest maksymalnym katalogiem danych, które mogą być przetwarzane w związku z realizacją Umowy. W rzeczywistości dane, do których będzie miał dostęp Zleceniobiorca, mogą być przekazywane przez Zleceniodawcę
w mniejszym zakresie bez uszczerbku dla postanowień współpracy. Zakres danych może ulec zmianie w przypadku zmiany aktualnie obowiązujących przepisów prawa.
6. Zleceniodawca zapewnia, że osoby, których Dane Osobowe dotyczą i o których mowa wyżej w ust. 4 otrzymały wystarczające informacje na temat przetwarzania swoich danych osobowych zgodnie z zapisami art. 12 – 14 Rozporządzenia.
§ 2
Obowiązki Zleceniobiorcy
1. Zleceniobiorca zobowiązany jest do przestrzegania niniejszego Porozumienia, w tym do przetwarzania Danych Osobowych odpowiednio do zakresu swoich obowiązków i kompetencji, zgodnie z Umową, o której mowa wyżej, przestrzegając:
– postanowień Umowy,
– obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Ustawy oraz Rozporządzenia.
2. Zleceniobiorca zobowiązuje się:
a) przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzykom związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,
b) dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych,
c) udzielić upoważnień do przetwarzania danych osobowych wszystkim pracownikom i współpracownikom Zleceniobiorcy, tj. osobom, które będą przetwarzały powierzone dane w celu realizacji współpracy, o której mowa w § 1 niniejszej Umowy,
d) prowadzić ewidencję osób upoważnionych do przetwarzania powierzonych Danych Osobowych,
e) zapewnić zachowanie w tajemnicy (o której mowa w art.28 ust.3 pkt b Rozporządzenia) przetwarzanych danych oraz sposobów ich zabezpieczenia, zarówno w trakcie współpracy, jak i po ustaniu współpracy ze Zleceniodawcą.
3. Zleceniobiorca zobowiązuje się:
a) w miarę swoich możliwości, pomóc Zleceniodawcy poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą)
b) wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych, zgłaszać je Zleceniodawcy niezwłocznie, jednak nie później niż w terminie 24 godzin od chwili stwierdzenia naruszenia.
4. Informacja stwierdzająca naruszenia zasad ochrony danych winna zawierać co najmniej:
a) opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy,
b) opis możliwych konsekwencji naruszenia,
c) opis zastosowanych lub proponowanych do zastosowania przez Zleceniobiorcę środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.
5. Zleceniobiorca po zakończeniu trwania współpracy w terminie 15 dni jest zobowiązany do usunięcia lub/i zwrotu Zleceniodawcy powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej.
§ 3
Prawo do kontroli
1. Zleceniodawca, zgodnie z art. 28 ust.3 pkt h) Rozporządzenia, ma prawo kontroli, czy środki zastosowane przez Zleceniobiorcę przy przetwarzaniu danych spełniają postanowienia Umowy i Rozporządzenia.
2. Zleceniobiorca, na każdy pisemny wniosek Zleceniodawcy, zobowiązany jest do udzielenia pisemnej informacji dotyczących przetwarzania powierzonych mu danych osobowych - w terminie 14 dni od dnia otrzymania takiego wniosku.
3. Zleceniodawca ma prawo do faktycznej weryfikacji sposobu przetwarzania powierzonych Zleceniobiorcy Danych Osobowych – po zgłoszeniu zamiaru takiej weryfikacji przez Zleceniodawcę z wyprzedzeniem minimum 7 dni.
4. Zleceniobiorca udostępni Zleceniodawcy wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
5. Po stwierdzeniu przez Zleceniodawcę naruszeń ochrony powierzonych Danych Osobowych, Zleceniobiorca jest zobowiązany do ich usunięcia w terminie wskazanym przez Zleceniodawcę, nie dłuższym niż 7 dni.
§ 4
Podpowierzenie
1. Zleceniodawca może upoważnić Zleceniobiorcę do powierzania przetwarzania Danych Osobowych wskazanych w § 1 ust. 4 powyżej podwykonawcy - jedynie w celu niezbędnym do realizacji współpracy, o której mowa w § 1 niniejszego Porozumienia. Zleceniobiorca jest zobowiązany do uzyskania pisemnej zgody Zleceniodawcy na powierzenie podwykonawcy przetwarzania Danych Osobowych wskazanych w § 1 ust. 4 powyżej.
2. Zleceniobiorca zobowiązany jest do przekazania Zleceniodawcy listy podwykonawców, którym w celu realizacji Umowy powierza Dane Osobowe do przetwarzania, w terminie 7 dni od daty podpisania niniejszego Porozumienia.
3. Zleceniobiorca jest zobowiązany do zapewnienia, że podwykonawcy, o których mowa w ust.1 i 2 powyżej spełniają lub spełnią takie same wymagania i obowiązki ochrony danych
osobowych, jak Zleceniobiorca, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków organizacyjnych i technicznych, aby przetwarzanie Danych Osobowych odpowiadało wymogom aktualnie obowiązujących przepisów prawa w zakresie ich ochrony.
4. Zleceniobiorca ponosi pełną odpowiedzialność wobec Zleceniodawcy za naruszenie niniejszego Porozumienia przez podwykonawców o których mowa w ust. 1 i 2 powyżej
§ 5
Odpowiedzialność
1. Zleceniobiorca jest odpowiedzialny za udostępnienie lub wykorzystanie Danych Osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Zleceniobiorca ponosi pełną odpowiedzialność wobec Zleceniodawcy za naruszenie postanowień ochrony Danych Osobowych przez podwykonawców, o których mowa w § 4 powyżej.
3. Zleceniobiorca jest zobowiązany do niezwłocznego poinformowania Zleceniodawcy o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Zleceniobiorcę powierzonych Danych Osobowych wskazanych w § 1 ust. 4 powyżej oraz o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Zleceniobiorcy, a także wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Zleceniobiorcę tych danych.
§ 6
Poufność
1. Zleceniobiorca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Zleceniodawcy i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”), zarówno w trakcie realizacji współpracy, o której mowa w § 1 niniejszego Porozumienia jak i po jego zakończeniu .
2. Zleceniobiorca oświadcza, że z zastrzeżeniem § 4 niniejszego Porozumienia, w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Zleceniodawcy w innym celu niż realizacja współpracy, o której mowa w § 1 niniejszego Porozumienia lub wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych poufnych gwarantowały zabezpieczenie danych poufnych, w tym w szczególności Danych
Osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 7
Kary i zwrot kosztów
1. Zleceniobiorca zobowiązany jest do naprawienia szkody powstałej w wyniku nienależytego przetwarzania powierzonych jej przez Zleceniodawcę Danych Osobowych.
2. Warunkiem poniesienia przez Zleceniobiorcę odpowiedzialności za nienależyte przetwarzanie Danych Osobowych jest pisemne lub mailowe powiadomienie Zleceniobiorcy przez Zleceniodawcę o każdym rzekomym naruszeniu ochrony Danych Osobowych, o zgłoszonych roszczeniach, czy wszczętych postępowaniach mogących skutkować odszkodowaniami lub nałożeniem kar finansowych – niezwłocznie po dowiedzeniu się przez Zleceniodawcę o takich zdarzeniach, w terminie umożliwiającym Zleceniobiorcy wsparcie Zleceniodawcy w podjęciu obrony i działań zaradczych, przy czym termin zgłoszenia nigdy nie będzie dłuższy niż 7 dni roboczych.
§ 8
Postanowienia końcowe
1. Wszelkie zmiany niniejszego Porozumienia wymagają formy pisemnej pod rygorem nieważności.
2. Porozumienie obowiązuje przez czas trwania Umowy i przestaje wiązać Strony z dniem, z którym przestają być związane postanowieniami Umowy.
3. Zleceniodawca może rozwiązać niniejsze Porozumienie ze skutkiem natychmiastowym, gdy Zleceniobiorca:
a/ pomimo zobowiązania do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
b/ przetwarza dane osobowe w sposób niezgodny z Umową,
c/ powierzył przetwarzanie powierzonych sobie danych osobowych innemu podmiotowi bez zgody Zleceniodawcy.
4. Strony zgodnie uznają, że naruszenia Porozumienia, wskazane wyżej w ust. 3, stanowić będą również naruszenia Umowy i mogą stanowić przesłankę do jej wypowiedzenia przez Zleceniodawcę bez wypowiedzenia ze skutkiem natychmiastowym.
5. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
6. W sprawach nieuregulowanych zastosowanie mają przepisy Kodeksu Cywilnego, Rozporządzenia oraz Ustawy.
7. Porozumienie wchodzi w życie z dniem ………………………………….