POROZUMIENIE W SPRAWIE POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik Nr 8 do SWZ
POROZUMIENIE W SPRAWIE POWIERZANIA PRZETWARZANIA DANYCH OSOBOWYCH
Zawarte dniu… roku pomiędzy:
Okręgowym Przedsiębiorstwem Energetyki Cieplnej Spółka z ograniczoną odpowiedzialnością w Puławach mającym swą siedzibę przy ul. Xxxxxxxx 0, wpisanym do Rejestru Przedsiębiorców pod Nr 0000012660, NIP 000-000-00-00, REGON 430530676, zwanym w dalszej części umowy „administratorem”
a
………………………., posiadającym REGON………………….., NIP………………………
reprezentowana przez , zwaną w dalszej części
umowy „przetwarzającym”,
Administrator i przetwarzający zwani też łącznie Stronami.
Zważywszy, że Xxxxxx łączy Umowa (dalej: Umowa), zawarta w postępowaniu nr… ,
w związku z której realizacją dochodzić będzie o przetwarzanie danych osobowych, dla jej realizacji postanawia się zawrzeć niniejsze Porozumienie.
1. Przedmiotem niniejszej umowy jest powierzenie przetwarzania danych osobowych, których przetwarzanie nastąpi w związku z realizacją Umową- przez administratora przetwarzającemu w zakresie i na warunkach określonych w niniejszej porozumieniu i zgodnie z obowiązującymi przepisami prawa.
2. Przetwarzanie przez przetwarzającego odbywa się w imieniu administratora, każdorazowo na polecenie administratora i w granicach powierzonych zadań i polega na świadczeniu usług na podstawie Umowy.
3. Przetwarzanie realizowane jest w celu wykonania Umowy, w niezbędnym zakresie i proporcjonalnie do celu.
4. Przetwarzanie realizowane będzie w okresie obowiązywania Umowy.
5. Przetwarzający zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiążą się do zachowania tajemnicy.
6. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przetwarzający wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku zapewni:
a) pseudonimizację i szyfrowanie danych osobowych,
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
7. Przetwarzający zapewni, iż każda osoba przetwarzająca w jego imieniu dane osobowe powierzone do przetwarzania będzie posiadała indywidualne, imienne upoważnienie do przetwarzania danych osobowych.
8. Administrator wyraża zgodę na korzystanie przez Przetwarzającego z usług innych podmiotów przetwarzających, z zastrzeżeniem postanowień Umowy. Przetwarzający informuje o powyższym Administratora w rozsądnym czasie. Administratorowi przysługuje prawo sprzeciwu, które przetwarzający zobowiązany jest zrealizować. Przetwarzający zapewnia, że inne podmioty przetwarzające zobowiązane będą do działań co najmniej równoważnych obowiązkom spoczywającym na przetwarzającym.
9. Przetwarzający zobowiązany jest poprzez odpowiednie środki techniczne i organizacyjne pomóc administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonania jej praw określonych w rozdziale III Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnie rozporządzenie o ochronie danych- RODO).
10. Przetwarzający zobowiązany jest, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomóc administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO.
11. Przetwarzający udostępnia administratorowi wszelkie informacje niezbędne informacje do wykazania spełnienia obowiązków określonych w niniejszym porozumieniu oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji. W przypadku ich podejmowania Strony ustalą ich zasady i tryb przeprowadzenia, tak by zapewnić realizację przepisów RODO.
12. Przetwarzający ma obowiązek niezwłocznie przekazać administratorowi informację o stwierdzeniu naruszenia ochrony danych osobowych , zgodnie z art. 33 ust. 3-5 RODO.
13. Przetwarzający zobowiązany jest do udzielenia na żądanie administratora wszelkich informacji nie później niż w terminie 7 dni od dnia otrzymania zapytania od administratora wysłanego drogą elektroniczną na adres wykorzystywany do kontaktów pomiędzy stronami lub na piśmie listem poleconym, z następującymi zastrzeżeniami:
a) w przypadku naruszenia ochrony danych przetwarzający informuje administratora bez jego żądania nie później niż w terminie 24 godzin po stwierdzeniu naruszenia
b) w przypadku terminów nałożonych na administratora przez organ administracji lub sąd przetwarzający zobowiązany jest udzielić odpowiedzi niezwłocznie, nie później niż w terminie pozwalającym administratorowi za zachowanie terminu wskazanego przez organ administracji luz sąd.
14. O planowanych audytach, o których mowa w ust. 11 administrator poinformuje przetwarzającego na minimum 7 dni przed planowanym terminem jego dokonania.
15. Po wykonaniu lub wygaśnięciu umowy przetwarzający zobowiązany jest do usunięcia danych osobowych i ich kopii oraz opracowań ze wszystkich posiadanych nośników oraz systemów informatycznych, a w przypadku niemożności usunięcia danych osobowych do zniszczenia nośników, z zastrzeżeniem prawa do zachowania tych danych przez niezbędny czas, w ramach uzasadnionych interesu związanego
z dochodzeniem roszczeń lub wykazania należytego wykonania Umowy lub w innych przypadkach wynikających z przepisów prawa.
………………………… …………………………