Umowa WZS/ /2022 dotycząca powierzenia przetwarzania danych osobowych
Umowa WZS/ /2022
dotycząca powierzenia przetwarzania danych osobowych
zawarta w dniu 2022 r. w Piasecznie pomiędzy:
Starostą Piaseczyńskim - Administratorem Danych Osobowych, z siedzibą w: 00-000 Xxxxxxxxx, xx. Xxxxxxxxxxxxx 00, w osobie Xxxx Xxxxxxxxx Xxxx,
zwanym w dalszej części niniejszej Umowy „Administratorem”, a
OPCJA 1 (w przypadku spółek prawa handlowego)
…………………………………………………………………………
z siedzibą w: ……-…….. ……………., ul. …………………., NIP …………, REGON ……………, nr KRS
……………………….., reprezentowanym przez Xxxxx/Pana ,
OPCJA 2 (w przypadku osób prowadzących 1-osobową działalność gospodarczą)
Panią/Panem ,
prowadzącym działalność gospodarczą pod firmą …………………. z siedzibą w: ,
ul. ……………., NIP …………….., REGON ,
zwanym w dalszej części niniejszej umowy „Podmiotem Przetwarzającym”,
zwani każdy z osobna „Stroną”, zaś łącznie „Stronami”.
W związku z realizacją umowy WZS/……/2022 z dnia …………….. 2022 r., dotyczącą organizacji i realizacji Zadania pn. „Równi w godności – różni w możliwościach”, zwaną dalej „Umową pierwotną”, Strony zawarły niniejszą Umowę powierzenia przetwarzania danych osobowych, zwaną dalej „Umową powierzenia”, o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
1. W związku z realizacją Umowy pierwotnej Administrator powierza Podmiotowi Przetwarzającemu w trybie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej
„Rozporządzeniem”, dane osobowe do przetwarzania na zasadach i w celu określonym w Umowie powierzenia.
2. Administrator oświadcza, że jest Administratorem Danych Osobowych, które powierza Podmiotowi Przetwarzającemu do przetwarzania w ramach Umowy.
3. Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym w § 2 Umowy powierzenia.
§ 2
Zakres i cel przetwarzania danych
1. Podmiot Przetwarzający będzie przetwarzał powierzone mu przez Administratora na podstawie Umowy powierzenia dane osobowe z następującego zbioru danych osobowych: „Zadanie pn.
Równi w godności – różni w możliwościach”, określonego w Rejestrze Czynności Przetwarzania Danych, prowadzonym przez Administratora:
2. Podmiot Przetwarzający będzie przetwarzał następujące kategorie danych osobowych osób zgłaszających się i uczestniczących w Zadaniu pn. Równi w godności – różni w możliwościach (dalej: „Zadanie”), w tym prelegentów i uczestników konferencji organizowanej w ramach realizacji Umowy pierwotnej oraz usługodawców wykonujących czynności dla potrzeb realizacji Umowy pierwotnej: imię, nazwisko, adres zamieszkania, data urodzenia, nr PESEL, stan zdrowia, nr telefonu, adres e-mail.
3. Dane osobowe wskazane w ust. 2 (dalej: „dane osobowe”) przetwarzane będą przez Podmiot Przetwarzający w formie papierowej i elektronicznej. Dane osobowe przetwarzane będą przez Podmiot Przetwarzający wyłącznie w celu wykonywania przez Podmiot Przetwarzający na rzecz Powiatu Piaseczyńskiego usług szczegółowo określonych w Umowie pierwotnej i w sposób z nią zgodny. Przez przetwarzanie, o którym mowa w zdaniu poprzednim rozumie się następujące operacje wykonywane na danych osobowych: zbieranie, przeglądanie, utrwalanie, organizowanie, porządkowanie, modyfikowanie, przechowywanie, usuwanie.
4. Ustala się, że zawarcie Umowy pierwotnej stanowi określone w art. 28 ust. 3 lit. a Rozporządzenia udokumentowane polecenie Administratora do przetwarzania przez Podmiot Przetwarzający danych osobowych.
§ 3
Obowiązki Podmiotu Przetwarzającego
1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszystkich informacji dotyczących danych osobowych oraz przetwarzać je z należytą starannością oraz zgodnie z Rozporządzeniem i z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2. Podmiot Przetwarzający zobowiązuje się przy przetwarzaniu danych osobowych do ich zabezpieczenia poprzez podjęcie stosownych środków technicznych i organizacyjnych, o których mowa w art. 32 Rozporządzenia, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem tych danych osobowych przez Podmiot Przetwarzający.
3. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy informacji dotyczących danych osobowych, w tym sposobów ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy pierwotnej lub Umowy powierzenia.
4. Podmiot Przetwarzający zabezpieczy dane osobowe w sposób uniemożliwiający: dostęp do nich osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie ich z naruszeniem obowiązujących przepisów prawa oraz jakąkolwiek ich utratę, w zakresie, za który w ramach niniejszej Umowy odpowiada Podmiot Przetwarzający.
5. W odniesieniu do danych osobowych Podmiot Przetwarzający zobowiązuje się niezwłocznie, jednak nie później niż w ciągu 24 godzin od momentu zaistnienia zdarzenia, zawiadomić Administratora o:
1) każdym prawnie umocowanym żądaniu udostępnienia tych danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa,
a w szczególności przepisów postępowania karnego, lub gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia;
2) każdym nieupoważnionym dostępie do tych danych osobowych;
3) każdym żądaniu wynikającym z art. 15-22 Rozporządzenia otrzymanym od osoby, której te dane osobowe są przez niego przetwarzane;
4) otrzymaniu informacji na temat planowanej u niego kontroli organu nadzorczego lub innego uprawnionego organu, jeśli kontrola ta miałaby objąć swoim zakresem te dane osobowe;
5) otrzymaniu informacji o wszczęciu jakiegokolwiek postępowania, w szczególności administracyjnego lub sądowego bądź wydania jakiejkolwiek decyzji administracyjnej lub orzeczenia, jeśli dotyczyłyby one tych danych osobowych;
6) każdym przypadku wystąpienia incydentu naruszenia bezpieczeństwa tych danych osobowych, polegającego w szczególności na ich ujawnieniu osobom do tego nieuprawnionym oraz utracie nośników danych je zawierających.
6. W zakresie danych osobowych oraz biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia.
7. W zakresie danych osobowych oraz uwzględniając charakter przetwarzania, Podmiot Przetwarzający będzie realizował obowiązek informacyjny określony w art. 13-14 Rozporządzenia wobec osób, o których mowa w § 2 ust. 2. Wskazany w zdaniu pierwszym obowiązek musi zostać zrealizowany przez Podmiot Przetwarzający w formie pisemnej i w sposób umożliwiający udowodnienie, że osoba, której dane osobowe dotyczą, została zapoznana z jego treścią. Zamawiający może żądać od Wykonawcy potwierdzenia w formie pisemnej spełnienia wskazanego z zdaniu pierwszym obowiązku.
8. W zakresie danych osobowych oraz uwzględniając charakter przetwarzania i dostępne informacje, Podmiot Przetwarzający pomaga Administratorowi wywiązywać się z obowiązków określonych w art. 32-36 Rozporządzenia.
9. Podmiot Przetwarzający nie będzie przekazywał danych osobowych do państw trzecich oraz organizacji międzynarodowych, jak również do innych podmiotów nieuprawnionych do ich otrzymania.
10. Podmiot Przetwarzający zobowiązany jest do ujęcia stosownych informacji dotyczących danych osobowych w prowadzonym przez siebie rejestrze wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 Rozporządzenia.
11. Podmiot Przetwarzający zobowiązuje się umożliwić przetwarzanie danych osobowych wyłącznie osobom, które będą posiadały wydane przez niego stosowne upoważnienie do przetwarzania danych osobowych oraz które zobowiążą się do zachowania w poufności informacji o danych osobowych, w tym o sposobach ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy pierwotnej lub Umowy powierzenia, jak również po ustaniu stosunku prawnego łączącego te osoby z Podmiotem Przetwarzającym.
12. Podmiot Przetwarzający zobowiązuje się prowadzić ewidencję osób, o których mowa w ust. 11.
13. Podmiot Przetwarzający zobowiązany jest udzielić Administratorowi – na jego pisemne żądanie – wszelkich informacji niezbędnych do wykazania spełnienia przez Podmiot Przetwarzający jego obowiązków określonych w Umowie powierzenia.
§ 4
Prawo do kontroli
1. Administrator, osobiście lub poprzez swojego upoważnionego przedstawiciela, ma prawo do przeprowadzenia kontroli sposobu wykonywania Umowy powierzenia poprzez przeprowadzenie u Podmiotu Przetwarzającego zapowiedzianych audytów i doraźnych kontroli dotyczących danych osobowych oraz żądania składania przez Podmiot Przetwarzający pisemnych wyjaśnień.
2. Na zakończenie kontroli, o której mowa w ust. 1, Administrator, osobiście lub poprzez swojego upoważnionego przedstawiciela, sporządza protokół w dwóch egzemplarzach, który podpisują Strony lub ich upoważnieni przedstawiciele. Podmiot Przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od daty jego podpisania, mając przy tym świadomość, że w momencie ujawnienia naruszenia ochrony danych osobowych fakt ten należy zgłosić organowi nadzorczemu w ciągu 72 godzin od momentu powzięcia informacji o jego zaistnieniu.
3. Podmiot Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych Administratora lub jego upoważnionego przedstawiciela, o którym mowa w ust. 1, mających na celu usunięcie uchybień i poprawę poziomu bezpieczeństwa przetwarzania danych osobowych. W przypadku gdy zalecenia, o których mowa w zdaniu pierwszym będą wiązały się z koniecznością poniesienia przez Podmiot Przetwarzający nadmiernych i nieuzasadnionych kosztów finansowych lub niemożliwymi do wprowadzenia zmianami organizacyjnymi, musi on o tym fakcie pisemnie poinformować Administratora wraz z odpowiednim uzasadnieniem.
4. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Podmiot Przetwarzający przepisów Rozporządzenia, innych przepisów dotyczących ochrony danych osobowych lub Umowy powierzenia, Podmiot Przetwarzający umożliwi Administratorowi lub jego upoważnionemu przedstawicielowi dokonanie zapowiedzianej lub niezapowiedzianej kontroli mającej na celu wyjaśnienie zaistniałego naruszenia. Ust. 2-3 stosuje się odpowiednio.
5. W ramach przeprowadzania kontroli lub audytów, o których mowa w ust. 1 i ust. 4, Administrator lub upoważniony przez niego przedstawiciel, w szczególności mają prawo do:
1) wstępu, w godzinach pracy Podmiotu Przetwarzającego, do pomieszczeń, w których zlokalizowane są dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem, innymi przepisami dotyczącymi ochrony danych osobowych lub Umową powierzenia;
2) żądania złożenia przez Podmiot Przetwarzający, osoby wskazane w § 3 ust. 11 oraz innych pracowników Podmiotu Przetwarzającego, pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego;
3) przedstawiania propozycji lub żądania wprowadzenia zmian w stosunku do operacji wykonywanych przez Podmiot Przetwarzający na danych osobowych związanych z realizacją Umowy pierwotnej lub Umowy powierzenia, a dotyczących w szczególności bezpieczeństwa danych osobowych;
4) wglądu do wszelkich dokumentów i innych nośników danych mających bezpośredni związek z przedmiotem audytu lub kontroli, oraz sporządzania ich kopii;
5) Zleceniodawca swoje zastrzeżenia będzie zgłaszał Zleceniobiorcy pisemnie.
5. Podmiot Przetwarzający zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w ciągu 72 godzin na każde pytanie Administratora dotyczące danych osobowych.
§ 5
Dalsze powierzenie przetwarzania danych osobowych
1. Podmiot Przetwarzający może powierzyć w drodze umowy przetwarzanie danych osobowych innym podmiotom, przy czym mogą to być wyłącznie takie podmioty, które będą wykonywać na rzecz Podmiotu Przetwarzającego usługi niezbędne dla potrzeb realizacji Umowy pierwotnej i pod warunkiem, że te podmioty spełnią takie same wymagania określone w Umowie powierzenia, jakie musi spełniać Podmiot Przetwarzający. Podmiot Przetwarzający jest zobowiązany do każdorazowego pisemnego poinformowania - pocztą tradycyjną lub za pośrednictwem poczty e-mail - Administratora o zamiarze powierzenia przetwarzania danych osobowych podmiotowi, o którym mowa w zdaniu pierwszym. Brak wyrażenia przez Administratora pisemnego sprzeciwu w ciągu 3 dni roboczych od dnia otrzymania zgłoszenia od Podmiotu Przetwarzającego o zamiarze powierzenia przetwarzania danych osobowych wskazanemu przez niego podmiotowi oznacza akceptację Administratora dla wykonania tej czynności.
2. Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania podmiotów, o których mowa w ust. 1 na zasadach określonych w Umowie powierzenia.
3. Przetwarzanie danych osobowych przez podmioty, o których mowa w ust. 1 może odbywać się jedynie na czas obowiązywania Umowy powierzenia.
§ 6
Odpowiedzialność Podmiotu Przetwarzającego
1. Podmiot Przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową pierwotną lub Umową powierzenia, a w szczególności za udostępnienie tych danych osobom nieupoważnionym lub podmiotom nieuprawnionym do ich otrzymania, w tym w szczególności z uwzględnieniem § 5.
2. W przypadku naruszenia przepisów Rozporządzenia lub Umowy powierzenia z przyczyn leżących po stronie Podmiotu Przetwarzającego, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Podmiot Przetwarzający zobowiązuje się pokryć poniesione z tego tytułu przez Administratora koszty.
3. Strony ponoszą odpowiedzialność na zasadach określonych w art. 82 Rozporządzenia.
§ 7
Czas obowiązywania Umowy
Umowa powierzenia zostaje zawarta na czas trwania Umowy pierwotnej.
Warunki wypowiedzenia Umowy
1. Administrator ma prawo do natychmiastowego rozwiązania Umowy powierzenia przypadku, gdy Podmiot Przetwarzający:
1) wykorzystał dane osobowe w sposób niezgodny z Umową pierwotną lub Umową powierzenia;
2) powierzył przetwarzanie danych osobowych innym podmiotom;
3) nie zaprzestał lub nie zamierza zaprzestać niewłaściwego lub niezgodnego z prawem przetwarzania danych osobowych, pomimo otrzymania od Administratora wezwania do zaprzestania niewłaściwego lub niezgodnego z prawem przetwarzania danych osobowych lub jeśli zostanie to stwierdzone w trakcie kontroli, o której mowa w § 4 ust. 1 lub kontroli przeprowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych;
4) zawiadomi o swojej niezdolności do dalszego wykonywania Umowy powierzenia, a w szczególności niespełniania obowiązków określonych w § 3.
2. Strony zgodnie oświadczają, że Umowa pierwotna zostaje automatycznie rozwiązana z dniem rozwiązania Umowy powierzenia.
§ 9
Obowiązki Podmiotu Przetwarzającego po wygaśnięciu lub wypowiedzeniu Umowy
1. Podmiot Przetwarzający w przypadku wygaśnięcia lub rozwiązania Umowy powierzenia, niezwłocznie, ale nie później niż w terminie do 30 dni kalendarzowych, zobowiązuje się zwrócić Administratorowi pozostające w jego dyspozycji dane osobowe lub je usunąć, w tym również z nośników elektronicznych pozostających w jego dyspozycji, w zależności od poczynionych z Administratorem ustaleń w tym zakresie.
2. Fakt zwrócenia lub usunięcia danych, o którym mowa w ust. 1 zostanie potwierdzony podpisaniem stosownego protokołu przez Administratora i Podmiot Przetwarzający lub ich upoważnionych przedstawicieli.
3. Określony w ust. 1 obowiązek nie istnieje lub może zostać odroczony przez Administratora w przypadku, gdy Podmiot Przetwarzający zobowiązany jest na podstawie powszechnie obowiązujących przepisów prawa do zachowania dokumentacji zawierającej dane osobowe. W przypadku zaistnienia sytuacji, o której mowa w zdaniu pierwszym, Podmiot Przetwarzający musi poinformować o tym fakcie Administratora, przedstawiając mu pisemnie podstawy prawne i okoliczności takiego działania.
§ 10
Zmiany treści Umowy
Wszelkie zmiany w treści Umowy powierzenia wymagają formy pisemnej pod rygorem nieważności.
§ 11
Przepisy dotyczące spraw nieuregulowanych
W sprawach nieuregulowanych w Umowie powierzenia mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks Cywilny, przepisy Rozporządzenia oraz przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Rozstrzyganie sporów
Spory wynikłe z tytułu Umowy powierzenia będzie rozstrzygał sąd powszechny właściwy dla miejsca siedziby Administratora.
§ 13
Postanowienia końcowe
Umowę powierzenia sporządzono w trzech jednobrzmiących egzemplarzach – dwa egzemplarze dla Administratora i jeden egzemplarz dla Podmiotu Przetwarzającego.
Podmiot Przetwarzający Administrator