Umowa powierzenia przetwarzania danych osobowych
Załącznik do umowy nr.....................
Umowa powierzenia przetwarzania danych osobowych
nr (zwana dalej „Umową”)
zawarta w dniu .......................... r. w Warszawie pomiędzy:
Państwowym Funduszem Rehabilitacji Osób Niepełnosprawnych, xx. Xxxx Xxxxx XX 00, 00-000 Xxxxxxxx, zwanym w dalszej części niniejszej umowy „Zleceniodawcą”
reprezentowanym przez:
...................................................................................
a
...................................................................................
Podmiotem przetwarzającym zwanym w dalszej części niniejszej umowy „Wykonawcą”
reprezentowanym przez:
...................................................................................
o następującej treści:
§ 1
POSTANOWIENIA OGÓLNE
1. Zleceniodawca i Wykonawca oświadczają, że zawarli w dniu umowę
nr ………………………………… w sprawie usługi polegającej na zaprojektowaniu metodyki zarządzania ryzykiem w PFRON, implementacji metodyki do narzędzia informatycznego wspierającego proces zarządzania ryzykiem w PFRON i wdrożeniu oprogramowania w organizacji wraz ze świadczeniem asysty technicznej oraz przeprowadzeniu szkoleń w zakresie obsługi narzędzia informatycznego, zwaną dalej „Umową Główną”.
2. Zleceniodawca oświadcza, że jest administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”) w stosunku do danych osobowych powierzonych Wykonawcy.
3. Zleceniodawca powierza, w rozumieniu art. 28 ust. 3 RODO, Wykonawcy przetwarzanie danych
osobowych na zasadach określonych w Umowie Głównej i niniejszej Umowie.
4. Powierzone Wykonawcy dane osobowe obejmują wszystkie niezbędne dane zebrane i zawarte w szczególności w drukach, formularzach, a zwłaszcza w systemach informatycznych wykorzystywanych w ramach świadczenia usług objętych Umową Główną.
5. W ramach realizacji niniejszej Umowy, Wykonawca uprawniony jest do przetwarzania powierzonych przez Zleceniodawcę danych osobowych, tj. wykonywania następujących czynności na danych osobowych, o których mowa w art. 4 pkt 2 RODO: zbierania, utrwalania, przechowywania, modyfikowania, przeglądania, wykorzystywania, o ile jest to konieczne do zrealizowania celu, o którym mowa w ust. 6 pkt 4 poniżej.
6. Strony niniejszej Umowy określają następujący zakres powierzenia:
1) przedmiot przetwarzania: wykonanie Umowy Głównej,
2) czas trwania przetwarzania: okres obowiązywania Umowy Głównej,
3) charakter przetwarzania: ciągły i subsydiarny w stosunku do wykonania Umowy Głównej.
4) cel przetwarzania: zaprojektowanie metodyki zarządzania ryzykiem w PFRON, implementacja metodyki do narzędzia informatycznego wspierającego proces zarządzania ryzykiem w PFRON i wdrożenie oprogramowania w organizacji wraz ze świadczeniem asysty technicznej oraz przeprowadzenie szkoleń w zakresie obsługi narzędzia informatycznego,
5) sposób przetwarzania: zautomatyzowany i niezautomatyzowany,
6) rodzaj danych osobowych: dane osobowe ze zbiorów Zleceniodawcy / dane zwykłe oraz dane wrażliwe,
7) kategorie osób, których dane dotyczą: beneficjenci PFRON, pracownicy PFRON, podmioty
trzecie z którymi XXXXX współpracuje.
§ 2
ZASADY PRZETWARZANIA DANYCH OSOBOWYCH
1. Wykonawca oświadcza, że przed rozpoczęciem przetwarzania powierzonych danych wdroży odpowiednie środki techniczne i organizacyjne mające na celu spełnienia wymogów określonych w RODO oraz ochronę praw osób, których dane dotyczą.
2. Wykonawca w szczególności zobowiązuje się:
a) zapewnić, aby osoby upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
b) zastosować środki określone w art. 32 RODO,
c) pomagać, w miarę swoich możliwości, administratorowi poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
d) uwzględniając charakter przetwarzania i dostępne informacje, pomagać administratorowi wywiązywać się z obowiązków określonych w art. 33-36 RODO,
e) udostępniać administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO,
f) umożliwić administratorowi lub audytorowi upoważnionemu przez administratora do przeprowadzania audytów, w tym inspekcji, i przyczyniać się do nich,
g) informować administratora, jeśli jego zdaniem, wydane mu przez administratora polecenie narusza postanowienia RODO lub inne przepisy Unii lub państwa członkowskiego o ochronie danych,
h) informować administratora, jeśli w trakcie obowiązywania niniejszej Umowy stanie się on współadministratorem, w rozumieniu art. 26 ust. 1 RODO,
i) korzystać z usług innego podmiotu, zwanego dalej „Podwykonawcą”, wyłącznie za pisemną zgodą administratora,
j) jeśli przepis ust. 1 lit. i ma zastosowanie, korzystać z usług Podwykonawcy, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
3. Wykonawca jest uprawniony do przetwarzania danych osobowych wyłącznie na
udokumentowane polecenie Zleceniodawcy.
4. Za polecenie zgodne z powyższym uznaje się Umowę oraz każde kolejne polecenie przekazane przez Zleceniodawcę w formie pisemnej lub elektronicznej.
5. Wykonawca po zakończeniu przetwarzania danych osobowych bądź rozwiązania lub wygaśnięcia niniejszej Umowy, zobowiązuje się jest do zwrotu administratorowi wszelkich powierzonych danych osobowych oraz trwałego usunięcia wszelkich istniejących i będących w jego posiadaniu kopii powierzonych danych. Poprzez trwałe usunięcie danych należy
rozumieć takie zniszczenie tych danych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
6. Usunięcie danych zostanie potwierdzone przez Wykonawcę Protokołem usunięcia danych, którego wzór stanowi Załącznik nr 1 do niniejszej Umowy, przekazanym na adres: Prezes Zarządu Państwowego Funduszu Rehabilitacji Osób Nieoprawnych, xx. Xxxx Xxxxx XX 00, 00-000 Xxxxxxxx oraz elektronicznie na adres w ciągu 7 dni od daty usunięcia
danych lecz nie później niż 14 dni od zakończenia przetwarzania danych osobowych.
7. W przypadku, gdyby w toku realizacji niniejszej Umowy, doszło do zmian wymagań prawnych związanych z przetwarzaniem danych osobowych, w szczególności wymagań dotyczących zabezpieczenia danych osobowych, Wykonawca zobowiązuje jest do zapewnienia przetwarzania danych osobowych, w tym ich zabezpieczenia w sposób zgodny z aktualnymi przepisami o ochronie danych osobowych.
8. Wykonawca może przetwarzać dane osobowe wyłącznie na terenie Europejskiego Obszaru Gospodarczego, zwanego dalej „EOG”. W skład EOG wchodzą następujące państwa: wszystkie państwa członkowskie Unii Europejskiej oraz Islandia, Norwegia, Liechtenstein.
9. Postanowienia niniejszego paragrafu stosuje się odpowiednio w stosunku do Podwykonawcy, o których mowa w § 4 niniejszej Umowy.
§ 3
KONTROLA PRZETWARZANIA DANYCH OSOBOWYCH
1. Niezależnie od pozostałych postanowień niniejszej Umowy, Wykonawca podczas realizacji niniejszej Umowy, zobowiązany jest do informowania Zleceniodawcę o wszelkich okolicznościach mających lub mogących mieć wpływ na bezpieczeństwo powierzonych danych osobowych.
2. Wykonawca zobowiązuje się do przekazania, na każde pisemne żądanie Zleceniodawcy wszelkich informacji dotyczących przetwarzania powierzonych danych osobowych, w tym sposobów realizacji obowiązku zabezpieczenia danych osobowych oraz wszelkich danych niezbędnych do wykonania zobowiązań wynikających z odpowiedzialności za powierzone dane osobowe. W szczególności zobowiązuje się do przedstawienia, na pisemne żądanie Zleceniodawcy, dokumentacji opisującej sposób przetwarzania danych osobowych objętych Umową oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a także informacji dotyczących implementacji rozwiązań opisanych w powyżej wskazanej dokumentacji.
3. Wykonawca zobowiązuje się na każde pisemne żądanie Zleceniodawcy w terminie wskazanym przez Zleceniodawcę poddać się audytowi w zakresie realizacji obowiązków wynikających z niniejszej Umowy oraz przepisów o ochronie danych osobowych. W ramach audytu Wykonawca zobowiązuje się do umożliwienia osobom działającym w imieniu Zleceniodawcy wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe, oraz udzielania informacji dotyczących przebiegu przetwarzania powierzonych danych osobowych, zapewnienia wglądu w dokumentację wymaganą przepisami RODO i odrębnymi przepisami, umożliwienia przeprowadzania oględzin nośników i systemów teleinformatycznych służących do przetwarzania powierzonych danych osobowych. Wykonawca zobowiązuje się usunąć wszelkie nieprawidłowości lub niezgodności z przepisami RODO, stwierdzone w trakcie audytu.
4. Wykonawca zobowiązuje się do umożliwienia przeprowadzenia przez Organ nadzorczy kontroli zgodności przetwarzania danych osobowych z przepisami prawa na zasadach opisanych w RODO.
5. Do prowadzenia audytu w sposób opisany w niniejszym paragrafie ze strony Zleceniobiorcy
uprawnionym będzie osoba wskazana imiennie i pisemnie upoważniona przez Zleceniodawcę.
§ 4
KORZYSTANIE Z PODWYKONAWCÓW
1. Wykonawca może dalej powierzyć przetwarzanie danych osobowych Podwykonawcy, jeśli wynika to z zakresu Umowy Głównej, po uzyskaniu uprzedniej zgody Zleceniodawcy na powierzenie Podwykonawcy przetwarzania danych osobowych w określonym celu i zakresie, wyrażonej w formie pisemnej pod rygorem nieważności. W celu dalszego powierzenia Podwykonawcy przetwarzania danych osobowych, Wykonawca zobowiązuje się zawrzeć z Podwykonawcą pisemną umowę powierzenia przetwarzania danych osobowych o treści i zakresie jak najbardziej zbliżonym do niniejszej Umowy i przekazać jej kopię Zleceniodawcy.
2. W przypadku skorzystania z usług Podwykonawcy, Wykonawca zobowiązuje się do zapewniania, iż Podwykonawca nie będzie przetwarzał danych osobowych powierzonych przez Zleceniodawcę w celu i zakresie szerszym niż wynikający z niniejszej Umowy i zobowiązany będzie do zachowania wszelkich wymagań określonych w § 2 niniejszej Umowy.
3. Wykonawca zobowiązuje się, że nie może korzystać z Podwykonawców w celu realizacji Umowy Głównej lub niniejszej Umowy w sytuacji, gdy dalsze powierzenie przetwarzania danych osobowych Podwykonawcy będzie wiązało się transferem danych osobowych poza EOG.
4. Wykonawca oświadcza, że przyjmuje na siebie pełną odpowiedzialność wobec Zleceniodawcy za działania i zaniechania Podwykonawcy.
§ 5
ODPOWIEDZIALNOŚĆ I OŚWIADCZENIA PODMIOTU PRZETWARZAJĄCEGO
1. Wykonawca zobowiązuje się do przestrzegania przepisów RODO oraz odrębnych przepisów
o ochronie danych osobowych.
2. Wykonawca będzie przetwarzał powierzone dane wyłącznie w sposób określony przez Zleceniodawcę.
3. Wykonawca będzie przetwarzał dane osobowe w pomieszczeniach/obszarach i przy użyciu
systemów informatycznych zabezpieczonych przed dostępem osób nieupoważnionych.
4. Wykonawca, w tym w szczególności jego pracownicy/współpracownicy, którzy przetwarzają dane osobowe powierzone przez Zleceniodawcę, zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych powierzonych mu w czasie obowiązywania niniejszej Umowy lub uzyskanych w związku z jej wykonywaniem. Obowiązek wskazany w zdaniu poprzedzającym obowiązuje bezterminowo, mimo rozwiązania lub wygaśnięcia niniejszej Umowy.
5. Wykonawca zobowiązuje się niezwłocznie powiadomić Zleceniodawcę na adres: Prezes Zarządu Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych, xx. Xxxx Xxxxx XX 00, 00-000 Xxxxxxxx, o fakcie:
a) wszczęcia kontroli lub postępowania administracyjnego przez Organ nadzorczy, w rozumieniu art. 4 pkt 21 RODO, w odniesieniu do danych osobowych powierzonych na podstawie niniejszej Umowy,
b) wydanych przez Organ nadzorczy decyzjach administracyjnych i rozpatrywanych skargach w zakresie wykonywania przez Podmiot przetwarzający przepisów o ochronie danych osobowych dotyczących powierzonych danych,
c) innych działaniach uprawnionych organów wobec powierzonych danych osobowych,
d) innych zdarzeniach mających lub mogących mieć wpływ na przetwarzanie powierzonych danych osobowych, w szczególności o wszystkich przypadkach naruszenia powierzonych danych osobowych w terminie 12 godzin od stwierdzenia naruszenia,
e) złożenia do Wykonawcy jakiejkolwiek skargi, żądania, pytania oraz innych oświadczeń
osób fizycznych, których dane osobowe przetwarza na podstawie niniejszej Umowy.
6. W przypadku naruszenia przepisów o ochronie danych osobowych w związku z realizacją niniejszej Umowy, a w następstwie tego Zleceniodawca jako administrator, zostanie zobowiązany w szczególności do wypłaty odszkodowania lub ukarany grzywną, Wykonawca zobowiązuje się, o ile zażąda tego pisemnie Zleceniodawca do przystąpienia do każdego sporu, którego wytoczenie nastąpi i pokrycia roszczeń kierowanych do Zleceniodawcy w każdym przypadku gdy roszczenia te na podstawie dostępnych dowodów obiektywnie uznane zostano za zasadne, w szczególności gdy roszczenia te zostaną zasądzone prawomocnym orzeczeniem sądu lub nałożone na podstawie orzeczenia lub decyzji innego uprawnionego organu. W takim wypadku Wykonawca zobowiązuje się do zwrotu Zleceniodawcy wszelkich poniesionych przez niego kosztów związanych z ww. postępowaniami.
7. Podmiot przetwarzający ponosi odpowiedzialność za szkody powstałe w związku z przetwarzaniem powierzonych mu danych osobowych niezgodnie z niniejszą Umową i powszechnie obowiązującymi przepisami prawa.
§ 6
INSPEKTOR OCHRONY DANYCH (dalej „IOD”)
1. Zleceniodawca wyznaczył Inspektora Ochrony Danych.
2. Inspektorem Ochrony Danych/Koordynatorem Umowy powierzenia ze strony Zleceniodawcy jest:
a) imię i nazwisko: Xxxxxxx Xxxxxxxxxxx,
b) stanowisko: Inspektor Ochrony Danych,
c) adres e-mail: xxx@xxxxx.xxx.xx.
3. Wykonawca wyznaczył Inspektora Ochrony Danych/nie wyznaczył Inspektora Ochrony Danych
/zamierza wyznaczyć Inspektora Ochrony Danych/nie zamierza wyznaczać Inspektora Ochrony Danych.
4. Inspektorem Ochrony Danych/Koordynatorem Umowy Powierzenia ze strony Podmiotu
przetwarzającego jest:
a) imię i nazwisko ,
b) stanowisko ,
c) adres e-mail: ……………………………….……….....
5. Inspektor Ochrony Danych wyznaczony przez Podmiot przetwarzający/Koordynator Umowy Powierzenia/będzie wykonywał obowiązki Inspektora Ochrony Danych wynikające z przepisów o ochronie danych osobowych oraz będzie współpracował z Inspektorem Ochrony Danych/Koordynatorem Umowy Powierzenia wskazanym przez Zleceniodawcę w celu zapewnienia przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa.
§ 7
OBOWIĄZYWANIE UMOWY
1. Umowa obowiązuje od…………………………… i zostaje zawarta na czas określony, tożsamy
z okresem obowiązywania Umowy Głównej/ określony do dnia………….…………………………...
2. Niniejsza Umowa wygasa lub ulega rozwiązaniu z chwilą wygaśnięcia lub rozwiązania Umowy Głównej.
3. Zleceniodawca jest uprawniony do rozwiązania niniejszej Umowy ze skutkiem natychmiastowym w przypadku nienależytego wykonywania zobowiązań wynikających z niniejszej Umowy przez Wykonawcę.
4. Każda ze Stron jest uprawniona do rozwiązania niniejszej Umowy ze skutkiem natychmiastowym w przypadku, gdy dalsze przetwarzanie danych osobowych przez Wykonawcę nie będzie niezbędne do realizacji Umowy Głównej.
§ 8
POSTANOWIENIA KOŃCOWE
1. Wszelkie zmiany niniejszej Umowy mogą nastąpić tylko w formie pisemnej pod rygorem
nieważności.
2. W sprawach nieuregulowanych niniejszą Umową mają zastosowania właściwe przepisy prawa,
w tym w szczególności RODO.
3. Wszelkie spory powstałe w związku z realizacją postanowień niniejszej Umowy będą rozstrzygane przez sąd powszechny, właściwy miejscowo dla siedziby Zleceniodawcy.
4. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, dwa egzemplarze dla Zamawiającego oraz jeden egzemplarz dla Wykonawcy.
Zleceniodawca
………………………………..
Wykonawca:
………………………………..
Załącznik:
1. Wzór protokołu usunięcia danych osobowych
Załącznik nr 1 do Umowy powierzenia przetwarzania danych osobowych Wzór protokołu usunięcia danych osobowych
PROTOKÓŁ USUNIĘCIA DANYCH OSOBOWYCH
W imieniu …………………………………………………………………………………….. (zwanego w Umowie
„Wykonawcą”) oświadczamy, iż dane osobowe przetwarzane przez ……………………………………………..
na zlecenie Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych (zwanego w Umowie
„Zleceniodawcą’) z siedzibą w Warszawie przy xx. Xxxx Xxxxx XX 00, 00-000 Xxxxxxxx, jako administratora, zostały w dniu r. trwale usunięte.
Poprzez trwałe usunięcie danych osobowych należy rozumieć takie zniszczenie tych danych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (art. 4 pkt 1 RODO).
Niniejszy fakt trwałego usunięcia danych osobowych potwierdzają:
imię i nazwisko , stanowisko data, podpis osobisty
imię i nazwisko , stanowisko data, podpis osobisty
imię i nazwisko , stanowisko | data, podpis osobisty |
Podpisany protokół należy przesłać na adres:
• Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych, xx. xx. Xxxx Xxxxx XX 00, 00-000 Xxxxxxxx