PROJEKT)
1010-KLL2.261.3.2021.1 Załącznik nr 6 do Zaproszenia
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
(PROJEKT)
zawarta w dniu w Bielsku-Białej pomiędzy:
Ministrem Finansów, Funduszy i Polityki Regionalnej z siedzibą w Warszawie, przy ul. Wspólnej 2/4, 00-926 Warszawa,
NIP: ……………………………....……, REGON: ,
reprezentowanym przez:
………………………………….. – ………………..…………………………………….., działającego na podstawie Upoważnienia nr …………… z dnia 24 marca 2020 r., zwanym dalej „Powierzającym”,
a
nazwa Wykonawcy ,
adres siedziby ,
NIP: …………………………….……., REGON ,
reprezentowanym przez:
………………………………….. – ………………..……………………………………..,
………………………………….. – ………………..…………………………………….., zwanym dalej „Podmiotem przetwarzającym”,
zwanymi dalej łącznie „Stronami”, o następującej treści:
§ 1
PRZEDMIOT UMOWY POWIERZENIA
1. W związku z zawarciem w dniu ………………….. Umowy ……………………….
(numer i nazwa umowy cywilnoprawnej), zwanej dalej „Umową główną”, pomiędzy Skarbem Państwa – Krajową Informacją Skarbową, a Podmiotem przetwarzającym, celem wykonania Umowy głównej, koniecznym stało się zawarcie niniejszej umowy powierzenia przetwarzania danych osobowych, zwanej dalej „Umową powierzenia”.
2. Powierzający na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1), zwanego dalej „Rozporządzeniem”, powierza Podmiotowi przetwarzającemu na podstawie niniejszej Umowy powierzenia przetwarzanie danych osobowych niezbędnych do realizacji Umowy głównej.
3. Powierzający oświadcza, że jest Administratorem danych osobowych, które powierza do przetwarzania Podmiotowi przetwarzającemu.
4. Podmiot przetwarzający oświadcza, że przetwarzanie powierzonych mu danych osobowych będzie odbywało się w sposób uzgodniony z Krajową Informacją Skarbową z siedzibą w Bielsku-Białej, przy ul. Sixta 17.
5. Podmiot przetwarzający przyjmuje do przetwarzania dane osobowe, o których mowa w § 2 ust. 1 oraz zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie głównej.
6. Podmiot przetwarzający przyjmuje do wiadomości, iż w zakresie przestrzegania przepisów Rozporządzenia ponosi odpowiedzialność jak administrator za swoje działania oraz działania osób, którym przekazał dalsze przetwarzanie danych osobowych.
7. Podmiot przetwarzający oświadcza, że zgodnie z art. 28 ust. 1 Rozporządzenia zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą.
8. Poprzez zawarcie Umowy powierzenia, Powierzający poleca przetwarzanie danych osobowych Podmiotowi przetwarzającemu, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit a w związku z art. 29 Rozporządzenia.
§ 2
ZAKRES I CEL PRZETWARZANIA DANYCH
1. Powierzający powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe …………….. (należy podać rodzaj danych i kategorię osób, których dane dotyczą) w postaci:
1) ……………………………….
2) ……………………………….
3) ………………………………..
2. W celu wykonania Umowy głównej, Powierzający powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w zakresie umożliwienia Wykonawcy przeprowadzenia analizy semantycznej interakcji pomiędzy Krajową
Informacją Skarbową a podatnikami, celem zidentyfikowania najczęściej występujących zagadnień oraz określenia potencjału automatyzacji przez zastosowanie rozwiązań sztucznej inteligencji (SI).
§ 3
OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
1. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2. Podmiot przetwarzający jest zobowiązany do stosowania środków bezpieczeństwa spełniających wymogi Rozporządzenia.
3. Podmiot przetwarzający jest zobowiązany do dokonania wszelkich czynności wynikających z Umowy powierzenia, Rozporządzenia oraz innych obowiązujących przepisów prawa z należytą starannością.
4. Podmiot przetwarzający jest zobowiązany do zabezpieczenia powierzonych danych osobowych przy ich przetwarzaniu poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, zgodnie z art. 32 Rozporządzenia.
5. Podmiot przetwarzający jest zobowiązany do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone mu dane osobowe w celu i w zakresie określonym w Umowie powierzenia.
6. Podmiot przetwarzający jest zobowiązany do zobowiązania osób upoważnionych do przetwarzania danych osobowych w celu i zakresie określonym w niniejszej Umowie powierzenia do zachowania w tajemnicy (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia, zarówno w trakcie realizacji Umowy powierzenia, jak i po zakończeniu realizacji Umowy powierzenia, poprzez odebranie od tych osób indywidualnych stosownych oświadczeń oraz ich przechowywania przez okres 6 lat.
7. Podmiot przetwarzający jest zobowiązany do prowadzenia w formie pisemnej lub w formie elektronicznej rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Powierzającego, zawierającego informacje, o których
mowa w art. 30 ust. 2 Rozporządzenia.
8. Podmiot przetwarzający zobowiązuje się wyznaczyć inspektora ochrony danych w przypadku, gdy będzie do tego zobowiązany na podstawie art. 37 Rozporządzenia.
9. Podmiot przetwarzający jest zobowiązany do niezwłocznego, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, zgłaszania Powierzającemu na adres email: xxxx.xxx@xx.xxx.xx każdego przypadku naruszenia ochrony powierzonych mu do przetwarzania danych osobowych. Zgłoszenie powinno zawierać informacje, o których mowa w art. 33 ust. 3 Rozporządzenia.
10. Podmiot przetwarzający nie może dalej powierzyć przetwarzania powierzonych mu danych osobowych, o których mowa w § 2 ust. 1 niniejszej Umowy powierzenia innym podmiotom bez uprzedniej pisemnej zgody Powierzającego. Osoby fizyczne, za wyjątkiem osób prowadzących działalność gospodarczą, współpracujące z Podmiotem przetwarzającym na podstawie umów cywilno- prawnych są traktowane jak personel Podmiotu przetwarzającego i nie stanowią innych podmiotów - podmiotów podprzetwarzających w rozumieniu Rozporządzenia, w odniesieniu do niniejszej Umowy powierzenia.
11. Powierzając przetwarzanie danych osobowych innym podmiotom, za zgodą Powierzającego, Podmiot przetwarzający jest obowiązany zapewnić w dalszej umowie powierzenia spełnianie przez inny podmiot wymogów w zakresie ochrony danych osobowych na poziomie, co najmniej takim samym, jak przewidziany w niniejszej Umowie powierzenia.
12. Podmiot przetwarzający nie jest uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych mu danych osobowych.
13. Podmiot przetwarzający udostępnia Powierzającemu na każde jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie powierzenia.
14. Podmiot przetwarzający stosownie do regulacji art. 28 ust. 3 lit. f Rozporządzenia, pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw (zgodnie z art. 28 ust. 3 pkt e Rozporządzenia) oraz z obowiązków określonych w art. 32-36 Rozporządzenia.
§ 4
PRAWA POWIERZAJĄCEGO
1. Powierzający może uzależnić udzielenie zgody na dalsze powierzenie przetwarzania danych osobowych, o których mowa w § 2 ust. 1 niniejszej Umowy powierzenia, od spełnienia innych warunków związanych z przetwarzaniem lub ochroną powierzanych danych osobowych.
2. Powierzający ma prawo przeprowadzenia kontroli przetwarzania powierzonych Podmiotowi przetwarzającemu danych osobowych, przestrzegania przez Podmiot przetwarzający wszelkich obowiązków związanych z przetwarzaniem powierzonych mu danych osobowych, w szczególności kontroli dokumentów, urządzeń, pomieszczeń i systemów informatycznych związanych z przetwarzaniem danych osobowych, ich bezpieczeństwa, sposobu postępowania z dokumentami lub nośnikami zawierającymi dane osobowe.
3. W celu wykonania kontroli Powierzający ma prawo, w szczególności do:
1) wstępu do pomieszczeń, w których Podmiot przetwarzający przetwarza powierzone mu dane osobowe,
2) żądania złożenia przez Podmiot przetwarzający pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego w wyznaczonym przez Powierzającego terminie,
3) przeprowadzenia oględzin dokumentów a także urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych osobowych.
4. O zamiarze przeprowadzenia kontroli Powierzający powiadomi Podmiot przetwarzający z wyprzedzeniem co najmniej 7 dni kalendarzowych ze wskazaniem osób upoważnionych do przeprowadzenia czynności kontrolnych w imieniu Powierzającego.
5. W przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu przez Podmiot przetwarzający zobowiązań wynikających z Umowy powierzenia, Rozporządzenia oraz innych przepisów prawa powszechnie obowiązującego, Powierzający może przeprowadzić kontrolę, o której mowa w ust. 2, w każdym czasie bez uprzedniego powiadomienia Podmiotu przetwarzającego.
6. Na zakończenie kontroli Powierzający sporządza protokół, który podpisują i otrzymują Powierzający i Podmiot przetwarzający.
7. Podmiot przetwarzający może wnieść jednostronnie zastrzeżenia do protokołu.
8. Po kontroli Powierzający może zredagować i żądać wykonania zaleceń pokontrolnych przez Podmiot przetwarzający, o ile są one zgodne z Umową powierzenia i Rozporządzeniem oraz określić termin ich realizacji.
9. W przypadku stwierdzenia przez Powierzającego w toku prowadzonej kontroli uchybień, Powierzającemu przysługuje prawo do:
1) żądania natychmiastowego wstrzymania przetwarzania danych osobowych i wyznaczenia Podmiotowi przetwarzającemu terminu na usunięcie uchybień,
2) wypowiedzenia Umowy powierzenia w trybie natychmiastowym.
10. Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Podmiotu przetwarzającego, serwery i nośniki te nie mogą znajdować się poza obszarem Unii Europejskiej i Europejskiego Obszaru Gospodarczego.
§ 5
WSPÓŁDZIAŁANIE STRON
1. Strony ustalają, że podczas realizacji niniejszej Umowy powierzenia będą ze sobą ściśle współpracować informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie powierzenia, w szczególności Podmiot przetwarzający będzie informował Powierzającego o wszelkich przypadkach naruszenia zasad przetwarzania i ochrony danych osobowych lub o ich niewłaściwym użyciu oraz o wszelkich czynnościach w sprawach dotyczących ochrony danych osobowych podejmowanych w związku z postępowaniem przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej „PUODO” oraz przed innymi organami i urzędami, w szczególności: policją, sądem, Najwyższą Izbą Kontroli, itp.
2. Podmiot przetwarzający jest obowiązany niezwłocznie informować Powierzającego o wszelkich zdarzeniach dotyczących bezpieczeństwa przetwarzania powierzonych danych osobowych, w szczególności w przypadkach: wystąpienia lub podejrzenia wystąpienia incydentu bezpieczeństwa lub podjęcia próby dokonania czynności w celu wywołania incydentu bezpieczeństwa.
3. Podmiot przetwarzający informuje Powierzającego o naruszeniach poprzez wysłanie wiadomości elektronicznej na wskazany przez Powierzającego w § 3 ust. 9 adres poczty elektronicznej.
4. Informację o naruszeniu oraz o sposobie zapobiegnięcia naruszeniu lub
ograniczeniu skutków tego naruszenia Podmiot przetwarzający przekazuje Powierzającemu niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia informacji o naruszeniu.
5. Ponadto, Podmiot przetwarzający przekazuje Powierzającemu cyklicznie zestawienie ww. zdarzeń wraz z informacją o skutkach zdarzenia oraz sposobie przeciwdziałania naruszeniom albo też skutkom naruszeń/incydentów w terminach (należy określić terminy poinformowania).
§ 6
CZAS OBOWIĄZYWANIA UMOWY POWIERZENIA I USUNIĘCIE DANYCH
1. Niniejsza Umowa powierzenia zostaje zawarta na czas realizacji przez Podmiot przetwarzający Umowy głównej.
2. Podmiot przetwarzający, po rozwiązaniu lub wygaśnięciu niniejszej Umowy powierzenia, zobowiązuje się niezwłocznie, nie później niż w terminie 7 dni, trwale usunąć wszelkie powierzone mu dane osobowe z własnych systemów informatycznych oraz z własnych nośników elektronicznych, a także trwale zniszczyć wszelkie ich istniejące kopie pozostające w jego dyspozycji, w sposób uniemożliwiający ich odtworzenie. Usunięcie dotyczy również wszelkich łączy oraz replikacji utworzonych przez Podmiot przetwarzający.
3. Wykonanie obowiązku, o którym mowa w ust. 2 zostanie potwierdzone przez Podmiot przetwarzający przekazanym Powierzającemu protokołem, uwzględniającym dalsze powierzenia, nie później niż w terminie 7 dni od dnia wykonania obowiązku.
4. Po zakończeniu obowiązywania niniejszej Umowy powierzenia, Podmiot przetwarzający jest obowiązany do niezwłocznego przekazania Powierzającemu pisemnego oświadczenia, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone.
§ 7
WARUNKI WYPOWIEDZENIA UMOWY POWIERZENIA
1. Umowa powierzenia może zostać wypowiedziana przez Powierzającego ze skutkiem natychmiastowym bez zachowania terminu wypowiedzenia w przypadku, gdy Umowa główna zostanie rozwiązana przez którąkolwiek ze Stron z przyczyn i w terminie określonym w Umowie głównej.
2. Powierzający może rozwiązać Umowę powierzenia z Podmiotem przetwarzającym ze skutkiem natychmiastowym z winy Podmiotu
przetwarzającego w przypadku gdy:
1) Podmiot przetwarzający wykorzystał powierzone mu dane osobowe w sposób niezgodny z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego;
2) Podmiot przetwarzający dopuszcza się zwłoki w dotrzymaniu terminu, o którym mowa w § 4 ust. 8 niniejszej Umowy powierzenia;
3) zostanie wszczęte postępowanie sądowe lub administracyjne przeciw Podmiotowi przetwarzającemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
3. Umowa powierzenia może zostać wypowiedziana za 7 dniowym okresem wypowiedzenia w przypadku, gdy:
1) kontrola PUODO wykaże, że Podmiot przetwarzający nie podjął środków zabezpieczających, o których mowa w Rozporządzeniu;
2) Podmiot przetwarzający dopuszcza się zwłoki w dotrzymaniu terminu, określonego w zaleceniach pokontrolnych, o których mowa w § 4 ust. 8 niniejszej Umowy powierzenia;
3) Podmiot przetwarzający wykorzystał dane w celu i w zakresie niezgodnym z niniejszą Umową powierzenia;
4) Podmiot przetwarzający dalej powierzył przetwarzanie danych osobowych podmiotowi trzeciemu bez zgody Powierzającego, zostanie wszczęte postępowanie sądowe przeciw Powierzającemu bądź Podmiotowi przetwarzającemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono niniejszą Umową powierzenia.
4. W przypadkach, o których mowa w ust. 1-3, Podmiot przetwarzający zobowiązany jest niezwłocznie, najpóźniej trzeciego dnia roboczego po otrzymaniu wypowiedzenia, zrealizować zobowiązania, o których mowa w § 6 ust. 2-4.
§ 8
ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą Umową powierzenia, a w szczególności za bezpodstawne udostępnienie lub przekazywanie danych osobowych nieuprawnionym podmiotom lub osobom.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Powierzającego o jakimikolwiek postępowaniu, w szczególności administracyjnym
lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Podmiotu przetwarzającego tych danych osobowych.
3. Jeżeli w związku z niniejszym powierzeniem przetwarzania danych osobowych Powierzający będący Administratorem zostanie prawomocnym orzeczeniem zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany grzywną, lub na mocy ostatecznej decyzji administracyjnej zostanie na niego nałożona administracyjna kara pieniężna, Podmiot przetwarzający zobowiązuje się zrekompensować Powierzającemu udokumentowane straty z tego tytułu do wysokości poniesionego odszkodowania, zadośćuczynienia uiszczonej grzywny lub administracyjnej kary pieniężnej.
4. Zobowiązanie Podmiotu przetwarzającego, o którym mowa w ust. 3 powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia z roszczeniem wobec Powierzającego i jego podstawach prawnych i faktycznych, w celu umożliwienia Podmiotowi przetwarzającemu zajęcia stanowiska, odniesienia się do podstaw takiej odpowiedzialności i ewentualnego przystąpienia do sprawy na etapie sądowym.
5. Podmiot przetwarzający ponosi odpowiedzialność odszkodowawczą względem Powierzającego w zakresie strat rzeczywiście poniesionych przez Powierzającego.
6. Podmiot przetwarzający odpowiada za wszelkie szkody wyrządzone Powierzającemu lub osobom trzecim wynikające z niezgodnego z Umową powierzenia, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego przetwarzania powierzonych mu danych osobowych, w szczególności za udostępnienie danych osobom nieupoważnionym.
§ 9
KARY UMOWNE
1. Podmiot przetwarzający zobowiązany jest do uiszczenia na rzecz Powierzającego kary umownej:
1) w kwocie 100 000 zł za doprowadzenie lub przyczynienie się do niepowołanego ujawnienia powierzonych danych osobowych także przez osoby działające w imieniu Podmiotu powierzającego;
2) w kwocie 100 000 zł za dalsze podpowierzenie danych osobowych z naruszeniem § 3 ust. 10-11;
3) w kwocie 100 000 zł za naruszenie obowiązków o których mowa w § 6 ust. 2-4;
4) w kwocie 50 000 zł za utrudnienie lub uniemożliwienie Powierzającemu przeprowadzenia kontroli o której mowa w § 4 umowy;
5) w kwocie 20 000 zł za naruszenie określonego w § 3 ust. 9 terminu lub sposobu zawiadomienia Powierzającego o każdym przypadku naruszenia ochrony danych osobowych, w stosunku do każdego ze zdarzeń;
2. Kary umowne mogą być dochodzone z każdego tytułu odrębnie i podlegają łączeniu.
3. Termin zapłaty kary umownej wynosi 7 dni od daty doręczenia Podmiotowi przetwarzającemu zawiadomienia o obciążeniu karą umowną.
4. W przypadku opóźnienia w zapłacie kary umownej, Powierzającemu przysługuje prawo naliczenia odsetek ustawowych za opóźnienie.
5. Gdy szkoda rzeczywista będzie wyższa niż kara umowna, Powierzający będzie uprawniony do dochodzenia odszkodowania uzupełniającego do wysokości poniesionej szkody.
§ 10
ZASADA ZACHOWANIA POUFNOŚCI
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Powierzającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych, o których mowa w ust. 1, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Powierzającego w innym celu niż określony w § 2 Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.
3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych o których mowa w § 2 ust. 1 gwarantowały zabezpieczenie tych danych, w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.
§ 11
POSTANOWIENIA KOŃCOWE
1. W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie będą miały przepisy Rozporządzenia oraz inne przepisy prawa powszechnie obowiązującego w szczególności przepisy ustawy z dnia 23 kwietnia 1694 r. – Kodeks cywilny (t.j.: Dz.U. z 2020 r. poz. 1740 ze zm.).
4. Zmiany Umowy powierzenia wymagają zachowania formy pisemnej, w postaci Xxxxxx, pod rygorem nieważności.
5. Wszelkie spory związane z wykonaniem niniejszej Umowy powierzenia oraz wynikające z przetwarzania w oparciu o Umowę rozstrzygane będą przez sąd właściwy dla siedziby Powierzającego.
6. Niniejsza Umowa powierzenia wchodzi w życie z dniem jej podpisania.
7. Umowę powierzenia sporządzono w trzech jednobrzmiących egzemplarzach, w tym jeden dla Podmiotu przetwarzającego, dwa dla Powierzającego.