Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 4 do Zapytania Ofertowego nr LK-037/2020/PWK
Umowa powierzenia przetwarzania danych osobowych
Zawarta w dniu roku, w Gdańsku pomiędzy:
LOTOS Kolej Sp. z o.o., z siedzibą w Gdańsku, kod 00-000, xxxx xx. Xxxxxxxx 00, wpisaną do Rejestru Przedsiębiorców przez Sąd Rejonowy Gdańsk-Północ w Gdańsku VII Wydział Gospodarczy KRS pod numerem 0000135118, o kapitale zakładowym w wysokości 2 000 000,00 zł (dwa miliony złotych 00/100) NIP 000-00-00-000, reprezentowaną przez:
..............................................................................................................,
zwaną dalej „LOTOS Kolej” lub „Administratorem” a
……………… z siedzibą w wpisaną do Rejestru Przedsiębiorców
prowadzonego przez Sąd Rejonowy …………………………pod nr KRS: ,
o kapitale zakładowym w wysokości:…………………., Zarząd w składzie: ,
będącą podatnikiem czynnym podatku VAT zarejestrowaną pod numerem identyfikacji podatkowej NIP , którą reprezentują:
.............................................................................................................., zwaną
dalej „Procesorem”.
PREAMBUŁA
Mając na uwadze, że:
• w dniu …………….………….. Strony zawarły Umowę Nr której przedmiotem
jest (zwaną dalej „Umową główną”);
• wykonanie umowy głównej przez Procesora jest związane z wykonywaniem przez Zleceniobiorcę operacji na danych osobowych w imieniu XXXXX Xxxxx;
• LOTOS Kolej jako administrator danych osobowych jest obowiązany zapewnić, że przetwarzanie przez Procesora danych osobowych w jego imieniu będzie odbywało się zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
Xxxxxx postanowiły zawrzeć umowę o następującej treści:
§ 1
Definicje
Użyte w umowie określenia będą miały następujące znaczenie:
1. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE. L 119 z 4.05.2016 r.;
2. Ustawa – oznacza ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1431);;
3. umowa główna – oznacza zawartą przez Strony Umowę Nr …….. z dnia………..
o ……………………………………………..……….
4. usługi – oznaczają usługi, o których mowa w umowie głównej;
5. dane osobowe – oznacza dane w rozumieniu art. 4 pkt 1) RODO, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
6. naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
7. organ nadzorczy – oznacza Prezesa Urzędu Ochrony Danych Osobowych;
8. przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
§ 2
Przedmiot umowy
1. Przedmiotem niniejszej umowy jest określenie zasad przetwarzania oraz zabezpieczania danych osobowych, które Procesor przetwarza w imieniu XXXXX Xxxxx.
§ 3
Dane osobowe przetwarzane przez Zleceniobiorcę w imieniu XXXXX Xxxxx
1. Administrator, działając na podstawie art. 28 ust. 3 RODO, powierza Procesorowi przetwarzanie następujących danych osobowych oraz kategorii osób, których dane dotyczą:
a. …………………………………………
b. …………………………………………
(dalej jako „Dane Osobowe”) na potrzeby świadczenia Usług, do których realizacji Zleceniobiorca zobowiązał się w Umowie głównej.
2. Procesor jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celach związanych z realizacją Umowy głównej.
3. Procesor, jako podmiot przetwarzający, przyjmuje Dane Osobowe do przetwarzania i zobowiązuje się je przetwarzać w imieniu XXXXX Xxxxx na zasadach określonych w niniejszej umowie.
4. Procesor jest uprawniony do wykonywania na Danych Osobowych wszelkich zautomatyzowanych lub niezautomatyzowanych operacji przetwarzania uzasadnionych i niezbędnych dla realizacji Umowy głównej, które mogą obejmować x.xx.: zbieranie, utrwalanie, organizowanie, porządkowanie, aktualizację, przechowywanie, archiwizowanie, modyfikowanie, pobieranie, kopiowanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie. Przetwarzanie danych osobowych przez Procesora polegać będzie na wykonywaniu następujących operacji:
a. ……………
b. ……………..
5. Zakres powierzonych do przetwarzania danych osobowych obejmuje jedynie dane niezbędne do zrealizowania czynności określonych w ust. 3 niniejszego paragrafu określone przez XXXXX Xxxxx.
6. LOTOS Kolej oświadcza, że spełnił wszelkie warunki legalności przetwarzania Danych Osobowych.
7. LOTOS Kolej powierza Zleceniobiorcy przetwarzanie Danych Osobowych w jego imieniu przez okres obowiązywania niniejszej umowy.
8. W celu zapewnienia prawidłowej realizacji niniejszej umowy Strony poniżej wyznaczają osoby właściwe do kontaktu w sprawach związanych z wykonaniem tej umowy, po jednej osobie z każdej ze Stron oraz ich zastępców w przypadku nieobecności: a. Osoby kontaktowe po stronie Administratora
1. jako główna osoba kontaktowa
2. jako osoba zastępująca
b. Osoby kontaktowe po stronie Procesora
1. …………………………. – jako główna osoba kontaktowa 2.
…………………………. – jako osoba zastępująca
§ 4
Dalsze powierzenie przetwarzania danych
1. Procesor nie jest uprawniony do korzystania z usług innego podmiotu przetwarzającego w trakcie realizacji przetwarzania Danych Osobowych na podstawie niniejszej umowy, bez uzyskania uprzedniej, pisemnej zgody LOTOS Kolej na dalsze powierzenie ich przetwarzania temu usługodawcy.
2. Strony określają, że za inny podmiot przetwarzający, o którym mowa w punkcie powyżej nie są uważane jednoosobowe podmioty prowadzące działalność gospodarczą, z którymi Procesor zawarł umowy o współpracy, jak również osoby współpracujące z Procesorem w formie leasingu pracowniczego.
3. Procesor jest obowiązany poinformować LOTOS Kolej o każdym planowanym dalszym powierzeniu przetwarzania Danych Osobowych innemu usługodawcy, która w terminie 14 dni od otrzymania tej informacji udziela zgodę lub wyraża sprzeciw wobec dalszego powierzenia przetwarzania w/w danych usługodawcy wskazanemu przez Procesora. Nieudzielenie odpowiedzi w terminie wskazanym w zdaniu poprzednim oznacza sprzeciw wobec dalszego powierzenia przetwarzania.
4. Procesor jest zobowiązany zapewnić, że inny podmiot przetwarzający, z którego usług zamierza korzystać przy przetwarzaniu Danych Osobowych daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
5. Dalsze powierzenie czynności przetwarzania innemu podmiotowi przetwarzającemu, o którym mowa w § 4 ust. 1, jest możliwe jedynie pod warunkiem nałożenia przez Procesora na ten inny podmiot przetwarzający na mocy umowy tych samych obowiązków ochrony danych jakie spoczywają na Procesorze w ramach niniejszej umowy, w szczególności obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom art. 32 Rozporządzenia (UE) 2016/679.
6. Umowa, wskazana w ust. 5 powyżej zawierana jest w formie pisemnej.
7. Procesor ponosi wobec LOTOS Kolej pełną odpowiedzialność za niewywiązanie się innego podmiotu przetwarzającego, któremu powierzyła przetwarzanie Danych Osobowych, ze spoczywających na nim obowiązków ochrony danych. W takim przypadku LOTOS Kolej ma prawo żądać zaprzestania korzystania przez Procesora z usług tego podmiotu w procesie przetwarzania Danych Osobowych.
§ 5
Obowiązki Procesora
1. Procesor jest obowiązany przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, przy czym za udokumentowane polecenie LOTOS Kolej uważa się polecenia przekazywane drogą elektroniczną lub na piśmie.
2. Procesor jest odpowiedzialny za ochronę powierzonych mu do przetwarzania Danych Osobowych.
3. Procesor podejmuje wszelkie środki wymagane na mocy art. 32 RODO w celu zapewnienia bezpieczeństwa Danych Osobowych, w tym środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych Osobowych, adekwatne do ryzyk związanych z przetwarzaniem danych. Zleceniobiorca powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem.
4. Procesor zapewnia, że osoby upoważnione przez niego do przetwarzania danych osobowych będą zobowiązane do zachowania tajemnicy Danych Osobowych i środków
ich zabezpieczenia zarówno w okresie obowiązywania niniejszej umowy, jaki i po jej rozwiązaniu.
5. Procesor przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w § 4 niniejszej umowy.
6. Na żądanie LOTOS Kolej, Procesor przekaże informacje o lokalizacji przetwarzania Danych Osobowych u siebie oraz u innych podmiotów przetwarzających, o których mowa w § 4 niniejszej umowy.
7. Procesor zobowiązuje się pomagać LOTOS Kolej poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15 – 22 RODO, w szczególności, zobowiązuje się do poinformowania LOTOS Kolej o złożonym żądaniu osoby, której dane dotyczą w ciągu 3 dni od dnia otrzymania takiego żądania.
8. Procesor zobowiązuje się w imieniu XXXXX Xxxxx podać osobie, której dane dotyczą podczas pozyskiwania jej Danych Osobowych wszystkie informacje, o których mowa art.
13 RODO. Konieczność realizacji obowiązku, treść i forma klauzuli informacyjnej w odniesieniu do odpowiedniej operacji przetwarzania danych zostanie określona przez LOTOS Kolej przed rozpoczęciem zbierania Danych Osobowych.
9. Procesor, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga LOTOS Kolej wywiązać się z obowiązków określonych w art. 32 – 36 RODO, w tym:
a. podejmuje działania dotyczące zabezpieczenia Danych Osobowych przetwarzanych w systemach informatycznych, udostępnionych przez LOTOS Kolej oraz znajdujących się w dokumentacji papierowej lub nośnikach elektronicznych przechowywanych w swojej siedzibie;
b. podejmuje niezbędne działania w sytuacji naruszenia ochrony Danych Osobowych, o których mowa w ust. 10;
c. udziela niezbędnych informacji na potrzeby przeprowadzania przez LOTOS Kolej oceny skutków dla ochrony danych w odniesieniu do operacji przetwarzania danych, o których mowa w § 3 ust. 3.
10. Procesor po stwierdzeniu naruszenia ochrony Danych Osobowych jest zobowiązany bez zbędnej zwłoki, ale nie później niż w ciągu 24 godzin zgłosić je LOTOS Kolej wskazując w zgłoszeniu:
a. charakter naruszenia ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie;
b. opis możliwych konsekwencji naruszenia ochrony Danych Osobowych;
c. opis środków zastosowanych lub proponowanych przez Procesora w celu zaradzenia naruszeniu ochrony Danych Osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
11. Procesor jest obowiązany udostępnić Administratorowi wszelkie informacje niezbędne do wykazania, że spełnia obowiązki określone w niniejszym paragrafie umowy oraz umożliwia LOTOS Kolej lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, o których mowa w § 6 niniejszej umowy i przyczynia się do nich.
12. W związku z obowiązkiem określonym w ust. 11 powyżej Procesor niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych polskich przepisów w zakresie ochrony danych osobowych.
13. Procesor niezwłocznie poinformuje LOTOS Kolej o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych Osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych Osobowych, skierowanej do Procesora, a także o wszelkich czynnościach kontrolnych podjętych wobec niego przez organ nadzorczy oraz
o wynikach takiej kontroli, jeżeli jej zakresem objęto Dane Osobowe powierzone Zleceniobiorcy na podstawie niniejszej umowy.
§ 6
Prawo audytu
1. LOTOS Kolej jest uprawniony do przeprowadzenia audytu przetwarzania Danych Osobowych w celu zweryfikowania, czy Procesor spełnia obowiązki określone w § 5 niniejszej umowy. Strony ustalają następujące zasady prowadzenia audytu, o którym mowa w ust. 1 powyżej:
2. Audyt może polegać zarówno na żądaniu przedstawienia dokumentów oraz informacji dotyczących przetwarzania danych, jak i na czynnościach kontrolnych prowadzonych w miejscu przetwarzania danych w trakcie dni roboczych (rozumianych jako dni od poniedziałku do piątku, z wyłączeniem sobót i świąt) w godzinach od 10:00 do 16:00, po uprzednim poinformowaniu Procesora drogą elektroniczną na adres e- mail:
…………………..…..… o terminie audytu i jego zakresie, co najmniej na dni
przed rozpoczęciem audytu.
3. Administrator prowadzi audyt przez upoważnionych pracowników lub za pośrednictwem niezależnych audytorów zewnętrznych, którzy zostali upoważnieni przez XXXXX Xxxxx do przeprowadzenia audytu w jego imieniu.
4. XXXXX Xxxxx zobowiązuje się, że jako upoważniony audytor nie zostanie wyznaczony podmiot prowadzący pośrednio lub bezpośrednio działalność konkurencyjną w stosunku do działalności prowadzonej przez Procesora.
5. Upoważnieni pracownicy Administratora lub audytorzy zewnętrzni, w ramach realizacji audytu mają prawo do:
a. wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z powierzeniem przetwarzania na podstawie niniejszej Umowy,
b. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania powierzonych Danych Osobowych,
c. uzyskania pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego.
6. LOTOS Kolej dostarcza Procesorowi kopię raportu z przeprowadzonego audytu. W przypadku stwierdzenia w toku audytu niezgodności działań Procesora z niniejszą umową lub przepisami o ochronie danych osobowych, do których stosowania jest obowiązany, Procesor niezwłocznie zapewni zgodność przetwarzania Danych Osobowych z postanowieniami umowy lub przepisami, których naruszenie stwierdzono w raporcie z audytu.
§ 7
Odpowiedzialność Stron
1. Procesor odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z niniejszą umową przetwarzania przez Zleceniobiorcę Danych Osobowych.
2. W przypadku niewykonania lub nienależytego wykonania przez Procesora niniejszej umowy, jak również w sytuacji wyrządzenia szkody LOTOS Kolej lub osobie, której Xxxx Xxxxxxx zostały przekazane na podstawie niniejszej umowy, Procesor zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
3. Procesor ponosi odpowiedzialność na zasadach określonych w niniejszej umowie za działania lub zaniechania w szczególności swoich pracowników, współpracowników, partnerów oraz innych podmiotów przetwarzających, zgodnie z § 4 umowy, jak za własne działania lub zaniechania.
§ 8
Postanowienia końcowe
1. Niniejsza umowa zostaje zawarta na czas obowiązywania Umowy głównej.
2. Wypowiedzenie Xxxxx głównej skutkuje równoczesnym wypowiedzeniem niniejszej umowy.
3. W przypadku gdy wyniki audytu, o którym mowa w § 6 niniejszej umowy lub kontroli przeprowadzonej przez organ nadzoru u Procesora lub innego podmiotu przetwarzającego, któremu Procesor powierzył przetwarzanie Danych Osobowych wykażą, że Procesor w sposób zawiniony naruszył postanowienia niniejszej umowy, LOTOS Kolej jest uprawniony do rozwiązania tej umowy ze skutkiem natychmiastowym.
4. W przypadku rozwiązania niniejszej umowy, Procesor zależnie od decyzji Administratora usuwa lub zwraca powierzone Dane Osobowe, w tym wszelkie nośniki zawierające Dane Osobowe oraz niezwłocznie i nieodwracalnie niszczy wszelkie kopie dokumentów i zapisów na wszelkich nośnikach, zawierających Dane Osobowe
– jeśli nośniki te nie podlegają zwrotowi Administratorowi, chyba że prawo Unii
Europejskiej lub polskie prawo nakazują Procesorowi dalsze przechowywanie Danych Osobowych.
W takim przypadku za przetwarzanie w/w danych po rozwiązaniu niniejszej umowy Procesor odpowiada jako niezależny administrator.
5. Procesor jest obowiązany niezwłocznie wykonać obowiązek, o którym mowa w ust. 4 powyżej, nie później jednak niż w terminie 14 dni od rozwiązania niniejszej umowy, jak również poinformować o tym LOTOS Kolej na piśmie w terminie 3 dni od jego wykonania.
6. Wszelkie zmiany lub uzupełnienia w niniejszej umowie wymagają zachowania formy pisemnej pod rygorem nieważności.
7. W kwestiach nieuregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego oraz RODO.
8. Wszelkie spory wynikłe ze stosunku prawnego objętego niniejszą umową rozpatrywane będą przez sąd właściwy dla siedziby LOTOS Kolej.
9. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
LOTOS Kolej Procesor
……………………….. ………………………..