Porozumienie o powierzeniu przetwarzania danych osobowych (dalej: POD)
Załącznik nr 4
Porozumienie o powierzeniu przetwarzania danych osobowych (dalej: POD)
zawarte w dniu 2020 roku w Warszawie pomiędzy:
Ośrodkiem Przetwarzania Informacji – Państwowym Instytutem Badawczym, z siedzibą w Warszawie (00-608), przy al. Xxxxxxxxxxxxxx 000 x, wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy Sąd Gospodarczy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000127372, NIP: 000-000-00-00, REGON: 006746090,
reprezentowanym przez xx xxx. Xxxxxxxxx Xxxxxxxxxxxxx – Dyrektora Instytutu, zwanym dalej “Administratorem”,
a
z siedzibą w wpisanym do rejestru , NIP: , REGON: , (adres zamieszkania i PESEL w przypadku osób fizycznych)
reprezentowanym przez , zwanym dalej “Podmiotem przetwarzającym”.
§ 1
Powierzenie przetwarzania danych osobowych
1. W związku z realizacją Umowy nr …………….. z dnia dotyczącej świadczenia usług konserwacji i
naprawy urządzeń wielofunkcyjnych (dalej: Umowa), Podmiot przetwarzający będzie przetwarzał w imieniu Administratora następujące dane osobowe pracowników, w zakresie takich informacji, jak: imię, nazwisko, adres e-mail, miejsce zatrudnienia.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone dane osobowe zgodnie z poleceniem Administratora, przestrzegając:
1) postanowień POD,
2) obowiązujących przepisów regulujących kwestię ochrony danych osobowych; w szczególności Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: Rozporządzenie).
3. Administrator oświadcza, że jest Administratorem danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Podmiotowi przetwarzającemu.
4. Podmiot przetwarzający oświadcza, że w ramach prowadzonej działalności profesjonalnie zajmuje się przetwarzaniem danych osobowych objętych Umową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania postanowień POD.
§ 2
Charakter i cel przetwarzania danych
1. Administrator upoważnia Podmiot przetwarzający do przetwarzania w jego imieniu danych osobowych w celu i zakresie niezbędnym i koniecznym do prawidłowej realizacji Umowy, w szczególności obejmującym takie operacje jak podgląd danych, wykonywane w sposób
zautomatyzowany lub niezautomatyzowany w siedzibie Administratora, znajdujących się w serwisowanych urządzeniach wielofunkcyjnych.
2. Charakter przetwarzania danych wynika z Umowy i określony jest rolą Podmiotu przetwarzającego jako podmiotu realizującego świadczenia na rzecz Administratora dotyczące konserwacji, serwisu i naprawy urządzeń wielofunkcyjnych, dokonywania przeglądów oraz aktualizacji i usuwania błędów oprogramowania.
3. Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób: pracownicy Administratora.
§ 3
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się:
1) dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych,
2) przy przetwarzaniu powierzonych danych osobowych na podstawie Umowy, zabezpieczyć je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia,
3) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 Umowy POD wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy,
4) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
5) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy
6) stosować się do wewnętrznych procedur bezpieczeństwa informacji obowiązujących u Administratora w trakcie realizacji przeglądów.
2. Podmiot przetwarzający pomaga Administratorowi:
1) uwzględniając charakter przetwarzania, kontekst usługi oraz w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (Prawa osoby, której dane dotyczą),
2) w wywiązywaniu się z obowiązków określonych w art. 32-33 Rozporządzenia, w szczególności w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych na podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w
§ 9 ust. 2 POD niezwłocznie.
3. Podmiot przetwarzający nie jest uprawniony do przetwarzania danych poza siedzibą Zamawiającego. Po zakończeniu przeglądu w danym dniu zobowiązany do usunięcia lub zwrotu Administratorowi na jego żądanie powierzonych danych osobowych, w tym istniejących kopii danych.
§ 4
Prawo do kontroli
1. Administrator ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu danych spełniają postanowienia POD i Rozporządzenia.
2. Podmiot przetwarzający na każde żądanie Administratora zobowiązany jest do udzielenia informacji dotyczących przetwarzania powierzonych mu danych osobowych.
3. Administrator ma prawo do weryfikacji sposobu przetwarzania danych osobowych wskazanych w § 1 ust. 1 Umowy.
4. Podmiot przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązku określonego w art. 28 Rozporządzenia.
5. Po stwierdzeniu przez Administratora naruszeń POD Podmiot przetwarzający jest zobowiązany do ich niezwłocznego usunięcia.
§5
Podpowierzenie
Administrator nie wyraża zgody na dalsze podpowierzenie przetwarzania danych.
§ 6
Odpowiedzialność
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy lub POD, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym lub nieuprawnionym.
§ 7
Czas obowiązywania umowy
1. POD obowiązuje przez okres obowiązywania Umowy.
§ 8
Poufność
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot przetwarzający oświadcza, że z zastrzeżeniem § 5 POD, w związku ze zobowiązaniem do zachowania w tajemnicy danych osobowych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 9
Naruszenie bezpieczeństwa danych
1. Podmiot przetwarzający musi niezwłocznie powiadomić Administratora o naruszeniu danych, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia.
2. Powiadomienie, o którym mowa w ust. 1 powinno zawierać co najmniej:
a) charakter naruszenia danych, w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę danych osobowych, których to dotyczy,
b) nazwisko i dane kontaktowe Inspektora Ochrony Danych lub innej osoby wyznaczonej do kontaktu, od której można uzyskać więcej informacji,
c) prawdopodobne konsekwencje naruszenia danych osobowych,
d) środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków.
3. Podmiot przetwarzający wspiera Administratora w wypełnianiu ciążącego na nim ustawowego obowiązku informacyjnego wobec organów nadzoru i/ lub osób , których dane dotyczą w przypadku naruszenia danych.
4. Podmiot przetwarzający powinien niezwłocznie poinformować Administratora w każdym przypadku, kiedy uzna, że przetwarzanie jest niezgodne z prawem.
§10
Postanowienia końcowe
1. Strony postanawiają, że osobami odpowiedzialnymi za realizację postanowień POD, w tym uprawnionymi do kontaktu w zakresie realizacji praw osób których dane dotyczą oraz obowiązków wynikających z POD jest:
a) ze strony Administratora - ……………………………………., e-mail: ………………………………
b) ze strony Podmiotu przetwarzającego – ……………………………………………….….. e-mail: …………
2. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
3. Sądem właściwym dla rozpatrywania sporów jest sąd właściwy dla siedziby Administratora.
4. W sprawach nieuregulowanych zastosowanie mają przepisy Kodeksu cywilnego oraz Rozporządzenia.
Administrator Podmiot przetwarzający