Przedmiot Umowy Powierzenia
Załącznik Nr 5 do zapytania ofertowego z dnia 04.05.2022r.
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu r. w Wieluniu pomiędzy:
Miejsko-Gminnym Ośrodkiem Pomocy Społecznej w Wieluniu, xx. Xxxxxx 0, 00-000 Xxxxxx,
reprezentowany przez Kierownika – Xxxxxxxxx Xxxxxx,
zwanym dalej „Administratorem Danych”,
a ………………………………………………………………………………………………………………………..
zwanym w dalszej treści „Podmiotem Przetwarzającym” a zwanymi dalej łącznie „Stronami”
§ 1
Przedmiot Umowy Powierzenia
Niniejsza umowa powierzenia przetwarzania danych osobowych („Umowa Powierzenia”) ma zastosowanie do umowy na zakup i dostawę opasek bezpieczeństwa oraz świadczenia usługi obsługi systemu polegającego na sprawowaniu całodobowej opieki na odległość nad seniorami wskazanymi przez Miejsko-Gminny Ośrodek Pomocy Społecznej w Wieluniu („Umowa główna”) w związku z realizacją Gminnego Programu Osłonowego „Korpus
Wsparcia Seniorów” na rok 2022.
§ 2
Warunki przetwarzania
1. MGOPS w Wieluniu oświadcza, że jest administratorem danych osobowych powierzonych do przetwarzania na podstawie niniejszej Umowy Powierzenia.
2. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową Powierzenia, Rozporządzeniem Parlamentu Europejskiego Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (zwanym dalej „RODO”), oraz krajowymi przepisami o ochronie danych osobowych, a także innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane będą przetwarzane.
3. Administrator Danych, na podstawie art. 28 RODO powierza Podmiotowi
Przetwarzającemu do przetwarzania, a Podmiot Przetwarzający zobowiązuje się
przetwarzać powierzone mu dane osobowe wyłącznie w celu i zakresie niezbędnym
do realizacji Umowy głównej w związku z realizacją Gminnego Programu Osłonowego
„Korpus Wsparcia Seniorów” na rok 2022.
4. Charakter przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, zostały określone poniżej:
1) charakter i kategorie przetwarzania:
• uczestnicy Gminnego Programu Osłonowego „Korpus Wsparcia Seniorów” na
rok 2022,
• dane osoby wskazanej w przypadku zagrożenia zdrowia i życia,
• dane osoby posiadającej klucze do mieszkania,
• dane lekarza POZ i pielęgniarki POZ
2) rodzaj danych osobowych:
• imię, nazwisko,
• adres zamieszkania,
• data urodzenia,
• pesel,
• telefon kontaktowy,
• podstawowe informacje o stanie zdrowia, w tym informacje o przyjmowanych lekach,
• stopień pokrewieństwa osoby wskazanej w przypadku zagrożenia zdrowia i życia i posiadającej klucze do mieszkania
§ 3
Obowiązek zachowania tajemnicy
1. Podmiot Przetwarzający zobowiązuje się, że do przetwarzania danych osobowych zostaną dopuszczone wyłącznie osoby upoważnione przez niego do przetwarzania powierzonych danych osobowych, zgodnie z art. 29 RODO oraz przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych.
2. Podmiot Przetwarzający zobowiąże osoby, o których mowa w ust. 1 do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia w trakcie ich zatrudnienia jak również po jego ustaniu.
3. Pracownicy Podmiotu Przetwarzającego nie mają dostępu do programów
komputerowych stosowanych u Administratora Danych.
§ 4
Obowiązki Podmiotu Przetwarzającego
1. Inne dane, których przetwarzanie nie jest wymienione w § 2 niniejszej umowy
Podmiot Przetwarzający zobowiązuje się przetwarzać wyłącznie na udokumentowane polecenie Administratora Danych bądź za zgodą Administratora Danych.
2. Podmiot Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków
technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzykom związanym z przetwarzaniem powierzonych danych osobowych, zgodnie z art. 32 RODO.
3. Podmiot Przetwarzający, biorąc pod uwagę charakter przetwarzania, zobowiązuje się pomagać w miarę możliwości Administratorowi Danych poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
4. Podmiot Przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, zobowiązuje się pomagać Administratorowi Danych wywiązać się
z obowiązków określonych w art. 32-36 RODO.
5. Podmiot Przetwarzający zobowiązuje się bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od jego wystąpienia, zawiadomić Administratora Danych o wszelkich przypadkach naruszenia ochrony danych osobowych powierzonych do przetwarzania
na podstawie niniejszej Umowy Powierzenia, zgodnie z art. 33 RODO. Zawiadomienie,
o którym mowa w zdaniu poprzednim Podmiot Przetwarzający zobowiązany jest zgłosić drogą mailową pod adres: xxxxx_xxxxxx@xxxx.xx
6. Podmiot Przetwarzający zobowiązuje się prowadzić rejestr wszystkich kategorii
czynności przetwarzania dokonywanych w imieniu Administratora Danych zgodnie z
wymaganiami art. 30 ust. 2 RODO.
7. Podmiot Przetwarzający zobowiązuje się dołożyć należytej staranności przy
przetwarzaniu powierzonych danych osobowych.
8. Podmiot Przetwarzający zobowiązuje się do udzielenia Administratorowi Danych wszelkiej niezbędnej pomocy podczas kontroli organu właściwego w sprawie ochrony danych osobowych. Podmiot Przetwarzający zobowiązuje się w szczególności do udostępnienia dokumentów i zapisów, umożliwienia wglądu w informacje
przechowywane na nośnikach danych i w systemach informatycznych oraz udzielania Administratorowi Danych stosownych do przedmiotu kontroli wyjaśnień.
9. Podmiot Przetwarzający zobowiązuje się do wykonania czynności, o których mowa w ust. 8 niniejszego paragrafu bez zbędnej zwłoki jednak nie później niż w terminie wskazanym przez Administratora Danych.
§ 5
Prawo kontroli
1. Administrator Danych, zgodnie z art. 28 ust. 3 pkt h) RODO, ma prawo kontroli, czy Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełnia wymagania RODO i niniejszej Umowy Powierzenia, w tym:
1) Podmiot Przetwarzający zobowiązuje się udostępnić Administratorowi Danych
wszelkie informacje niezbędne do wykazania spełnienia obowiązków spoczywających na Podmiocie Przetwarzającym;
2) Podmiot Przetwarzający zobowiązuje się umożliwić Administratorowi Danych lub audytorowi upoważnionemu przez Administratora Danych przeprowadzanie audytów, w tym inspekcji, współpracując przy podejmowanych działaniach.
Administrator Danych zawiadomi Podmiot Przetwarzający o zamiarze
przeprowadzenia audytu co najmniej 5 dni przed rozpoczęciem czynności
kontrolnych.
2. Podmiot Przetwarzający zobowiązuje się do zastosowania ewentualnych zaleceń pokontrolnych Administratora Danych dotyczących ochrony powierzonych danych osobowych oraz sposobu ich przetwarzania, o ile zalecenia te są zgodne z niniejszą Umową Powierzenia i obowiązującymi przepisami prawa.
3. W przypadku stwierdzenia w wyniku czynności kontrolnych naruszeń postanowień niniejszej Umowy lub przepisów o ochronie danych osobowych Podmiot
Przetwarzający zobowiązany jest do ich usunięcia w terminie wskazanym przez
Administratora Danych w wezwaniu do usunięcia stwierdzonych uchybień.
§ 6
Korzystanie z usług innego podmiotu przetwarzającego
1. Podmiot Przetwarzający może powierzyć dane osobowe do dalszego przetwarzania jedynie w celu i w zakresie niezbędnym do prawidłowego wykonywania Umowy
Głównej wyłącznie podwykonawcom, na których podwykonawstwo wyraził pisemną zgodę Administrator.
2. Administrator danych udziela odpowiedzi na wniosek o wyrażenie zgody na powierzenie danych osobowych do przetwarzania innemu podmiotowi w terminie 14 dni od odebrania wniosku. Termin ten może być zawieszony do momentu, gdy
Administrator Danych otrzyma wszystkie dodatkowe informacje, niezbędne dla wykazania spełniania przez ten inny podmiot wymogów spoczywających na podmiotach przetwarzających.
3. Przekazanie powierzonych danych osobowych innemu podmiotowi może nastąpić jedynie na podstawie uprzedniej zgody Administratora Danych udzielonej w formie pisemnej pod rygorem nieważności chyba, że obowiązek taki nakładają na Podmiot Przetwarzający przepisy prawa. W takim przypadku przed rozpoczęciem
przetwarzania Podmiot Przetwarzający informuje Administratora Danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Dalsze powierzenie przetwarzania danych podwykonawcy wymaga zawarcia umowy w formie pisemnej przez Podmiot Przetwarzający z podwykonawcą. Zawarta umowa powinna precyzować: przedmiot, czas, charakter i cel przetwarzania danych oraz
rodzaj danych i kategorie osób, których dane dotyczą, oraz zobowiązywać
podwykonawcę, do spełniania tych samych obowiązków, jakie zostały nałożone na Podmiot Przetwarzający w art. 28 RODO oraz niniejszej Umowie Przetwarzania,
w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
5. Podmiot Przetwarzający ponosi wobec Administratora Danych pełną
odpowiedzialność w razie niewywiązywania się podwykonawcy ze spoczywających na nim obowiązków ochrony danych.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot Przetwarzający ponosi odpowiedzialność za szkody poniesione przez osobę, której dane dotyczą lub Administratora Danych z tytułu działań niezgodnych
z zapisami niniejszej Umowy Powierzenia, RODO oraz krajowymi przepisami
o ochronie danych osobowych, a także innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane będą przetwarzane, w tym w szczególności za niezgodne z treścią Umowy Powierzenia udostępnienie lub
wykorzystanie danych osobowych. W takim przypadku Administrator jest uprawniony do nałożenia kary umownej w wysokości 10 000 zł (słownie: dziesięć tysięcy złotych), za każdy stwierdzony i udokumentowany przypadek naruszenia.
2. Kara będzie należna Administratorowi bez konieczności wykazywania wysokości
poniesionej szkody przez Administratora. Jeżeli kara umowna nie pokryje poniesionej przez Administratora szkody, może on dochodzić odszkodowania uzupełniającego.
3. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora Danych o jakimkolwiek postępowaniu, w szczególności
administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych określonych w Umowie Powierzenia,
o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu Przetwarzającego, a także o wszelkich
planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach
dotyczących przetwarzania w Podmiocie Przetwarzającym tych danych osobowych.
4. W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie i zaniechanie.
5. W przypadku, gdy Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe niezgodnie z treścią niniejszej Umowy, udostępni je osobie nieupoważnionej lub Prezes Urzędu Ochrony Danych Osobowych stwierdzi, że Podmiot przetwarzający nie respektuje zasad określonych w powszechnie obowiązujących przepisach
o ochronie danych osobowych (RODO, ustawa z dnia 10 maja 2018 roku o ochronie
danych osobowych (tj. Dz.U. z 2019r. poz. 1781), Administrator obciąży Podmiot przetwarzający karami pieniężnymi lub grzywnami nałożonymi z tego powodu na
Administratora, a Podmiot przetwarzający zobowiązuje się do zapłaty kwoty równej wartości uiszczonych kary lub grzywien.
§ 8
Usunięcie danych
Podmiot Przetwarzający po zakończeniu realizacji przedmiotu niniejszej Umowy Powierzenia, a następnie po upływie okresu wymaganego dla przedawnienia roszczeń, jest zobowiązany, w zależności od pisemnej decyzji Administratora Danych, do usunięcia lub zwrócenia
Administratorowi Danych wszelkich powierzonych danych osobowych oraz usunięcia
wszelkich ich istniejących kopii, chyba że obowiązujące przepisy prawa zobowiązują Podmiot Przetwarzający do przechowywania danych osobowych.
§ 9
Obowiązywanie Umowy Powierzenia
1. Niniejsza Umowa Powierzenia zostaje zawarta na czas upoważnienia Podmiotu
Przetwarzającego do podejmowania czynności w przedmiocie ustalenia prawa do dodatku osłonowego.
2. Administrator Danych jest uprawniony do rozwiązania niniejszej Umowy Powierzenia w trybie natychmiastowym, w przypadku niespełniania przez Podmiot Przetwarzający wymagań wynikających z art. 28 RODO lub rażącego naruszenia postanowień niniejszej Umowy Powierzenia, w szczególności, gdy Podmiot Przetwarzający:
1) nie usunął uchybień pokontrolnych w terminie, o którym mowa w § 5 ust. 3;
2) wykorzystał powierzone dane osobowe w sposób niezgodny z niniejszą Umową
Powierzenia;
3) powierzył przetwarzanie przekazanych danych osobowych innemu podmiotowi bez
uzyskania zgody Administratora Danych;
4) uchybi obowiązkowi wskazanemu w § 4 ust. 5 niniejszej Umowy Powierzenia
w szczególności, gdy uchybienie takie będzie rodziło negatywne konsekwencje po
stronie Administratora Danych.
§ 10
Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy Powierzenia powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym niniejszą Umową Powierzenia zastosowanie mają właściwe przepisy prawa, w szczególności przepisy Kodeksu cywilnego oraz RODO.
3. Niniejszą Umowę powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
4. Strony zobowiązują się do polubownego i w dobrej wierze rozwiązywania wszelkich sporów mogących powstać na tle realizacji niniejszej umowy.
5. W przypadku braku porozumienia wszelkie spory wynikające w związku z realizacją niniejszej umowy rozstrzygać będzie sąd powszechny właściwy miejscowo dla Administratora Danych.
6. Żadna ze Stron nie może przenieść praw lub obowiązków wynikających z niniejszej
Umowy na osoby trzecie bez pisemnej zgody drugiej Strony.
…………………………………………… ..……………………………….…………..
Administrator Danych Podmiot Przetwarzający