DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6 do Umowy
UMOWA NR………….
DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH
W IMIENIU ADMINISTRATORA PRZEZ PODMIOT PRZETWARZAJĄCY
(zwana dalej „Umową Powierzenia") zawarta dnia 2020 r. w Warszawie, pomiędzy:
Szkołą Główną Służby Pożarniczej, xx. Xxxxxxxxxxx 00/00, 00-000 Xxxxxxxx, NIP: 000-00-00-000, REGON: 000173410, reprezentowaną przez:
Zważywszy na to, iż:
1) Strony zawarły w dniu ……………………. r. umowę ………………………………… nr CRU SGSP …………/………..
(zwaną dalej ,,Umową główną”);
2) z dniem 25 maja 2018 r. do przetwarzania danych osobowych osób fizycznych zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1, z późn. zm.) – „RODO”;
3) z dniem 25 maja 2018 r. weszła w życie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781)
Strony zawarły Umowę Powierzenia o następującej treści:
§ 1.
Przetwarzanie danych osobowych w imieniu Administratora
1. Administrator zleca Podmiotowi Przetwarzającemu w trybie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1, z późn. zm.), zwanego dalej „Rozporządzeniem”, przetwarzanie danych osobowych w imieniu Administratora, na zasadach i w celu określonym w niniejszej umowie.
2. Podmiot Przetwarzający zobowiązuje się przetwarzać:
1) dane osobowe w imieniu Administratora zgodnie z niniejszą umową, Umową główną, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa i wolności osób, których dane dotyczą;
2) na podstawie Umowy Powierzenia dane osobowe:
a) których rodzaj określa załącznik nr 2 do Umowy Powierzenia,
b) kategorii osób określonych w załączniku nr 2 do Umowy Powierzenia,
wyłącznie w celu wykonywania przez niego czynności określonych w niniejszej Umowie i Umowie głównej;
3) na podstawie Umowy Powierzenia dane osobowe w terminie do dnia 15 maja 2025 r.,
z zastrzeżeniem § 3.
3. Podmiot Przetwarzający oświadcza, że:
1) posiada wdrożone środki techniczne i organizacyjne spełniające wymogi Rozporządzenia i chroniące prawa i wolności osób, których dane dotyczą;
2) posiada wiedzę fachową z zakresu ochrony danych osobowych;
3) są mu znane przepisy Rozporządzenia oraz inne przepisy prawa powszechnie obowiązującego, które chronią prawa i wolności osób, których dane dotyczą i będzie się do nich stosował podczas przetwarzania danych osobowych powierzonych mu przez Administratora.
4. Podmiot Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych na podstawie Umowy Powierzenia i Umowy głównej danych osobowych.
5. Strony ustalają, że podczas realizacji Umowy Powierzenia będą ze sobą ściśle współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy Powierzenia.
6. Umowa Powierzenia wykonywana jest w ramach wynagrodzenia określonego w Umowie głównej.
§ 2.
Sposób wykonania Umowy Powierzenia w zakresie przetwarzania danych osobowych
1. Podmiot Przetwarzający:
1) zobowiązuje się przy przetwarzaniu danych osobowych podjąć wszelkie środki wymagane na mocy art. 32 Rozporządzenia, zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku określonym w tym artykule;
2) zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy;
3) zapewnia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy, zarówno w trakcie trwania zatrudnienia w Podmiocie Przetwarzającym jak i po jego ustaniu, zgodnie z art. 28 ust. 3 lit. b RODO;
4) może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania niniejszej umowy po udzieleniu imiennego upoważnienia do przetwarzania danych osobowych określonego w załączniku nr 5 do Umowy Powierzenia;
5) po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
6) uwzględniając charakter przetwarzania oraz dostępne mu informacje pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 Rozporządzenia;
7) po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, ale nie później niż w ciągu 24 godzin;
8) biorąc pod uwagę charakter przetwarzania, w miarę możliwości oraz przy uwzględnieniu ograniczeń, o których mowa w art. 23 Rozporządzenia pomaga Administratorowi w niezbędnym zakresie wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia;
9) udostępnia Administratorowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz niniejszej umowie;
10) umożliwia Administratorowi lub osobie upoważnionej przez Administratora przeprowadzenie kontroli w postaci audytów, inspekcji, dotyczących oceny czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia niniejszej umowy; działania, o których mowa powinny nastąpić w godzinach pracy Podmiotu Przetwarzającego nie później niż w ciągu 24 godzin od powzięcia o nich wiadomości lub w innym terminie wskazanym przez Administratora;
11) zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora lub nie dłuższym niż 7 dni;
12) prowadzi w formie pisemnej, w tym elektronicznej, rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 Rozporządzenia.
2. Do wykonania w imieniu Administratora konkretnych czynności przetwarzania danych osobowych Podmiot Przetwarzający korzysta z usług podwykonawców:
1) Administrator wyraża zgodę na powierzenie przez Podmiot Przetwarzający danych osobowych, których rodzaj i kategorię osób, których dane dotyczą, określono w załączniku nr 2, podmiotom, wskazanym w załączniku nr 3 do niniejszej umowy, a Podmiot Przetwarzający oświadcza i zapewnia, że wskazani podwykonawcy spełniają te same gwarancje i obowiązki w zakresie ochrony danych osobowych, jakie zostały nałożone na Podmiot Przetwarzający w niniejszej umowie;
2) jeżeli podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych, pełną odpowiedzialność za ten stan wobec Administratora ponosi Podmiot Przetwarzający.
3. Przekazanie powierzonych Podmiotowi Przetwarzającemu danych do państwa trzeciego lub organizacji międzynarodowej może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania Podmiot Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Administrator zgodnie z art. 28 ust. 3 lit h Rozporządzenia ma prawo kontroli poprzez przeprowadzanie audytów, w tym inspekcji, czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia niniejszej umowy.
5. Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Podmiotu Przetwarzającego, serwery i nośniki te nie mogą znajdować się poza obszarem Europejskiego Obszaru Gospodarczego.
6. Przetwarzanie danych osobowych przez Podmiot Przetwarzający będzie odbywało się na terytorium państwa należącego do Europejskiego Obszaru Gospodarczego.
§ 3.
Okres obowiązywania Umowy Powierzenia
1. Umowa Powierzenia obowiązuje przez okres obowiązywania Umowy głównej.
2. Umowa Powierzenia wygasa z chwilą wygaśnięcia Umowy głównej, bez potrzeby składania w tym zakresie odrębnych oświadczeń woli Stron.
3. Administrator może rozwiązać Umowę Powierzenia i Umowę główną ze skutkiem natychmiastowym, gdy Podmiot Przetwarzający:
1) przetwarza dane osobowe w sposób niezgodny z Umową Powierzenia, pomimo uprzedniego wezwania do przetwarzania zgodnie z Umową Powierzenia, po wyznaczeniu dodatkowego terminu nie krótszego niż 14 dni roboczych;
2) zawiadomi Administratora o swojej niezdolności do dalszego wykonywania Umowy Powierzenia.
§ 4.
Zasady zachowania poufności
1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.
2. Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora, chyba, że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy Powierzenia lub Umowy głównej.
3. Obowiązek zachowania w tajemnicy powierzonych do przetwarzania danych osobowych nie dotyczy obowiązku ujawniania, wynikającego z bezwzględnie obowiązujących przepisów prawa, jak również przypadku, gdy jest to potrzebne w celu wszczęcia lub prowadzenia postępowania karnego, cywilnego lub administracyjnego.
§ 5.
Prawo kontroli
1. Administrator zgodnie z art. 28 ust. 3 lit. h Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy Powierzenia, Umowy głównej oraz Rozporządzenia.
2. Podmiot Przetwarzający umożliwi przedstawicielom Administratora dokonanie kontroli w miejscach, w których są przetwarzane powierzone dane osobowe, w terminie wspólnie ustalonym przez Xxxxxx, z zastrzeżeniem postanowień § 2 ust. 1 pkt 10.
3. Podmiot Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
4. Administrator wskaże osoby upoważnione przez Administratora do przeprowadzenia kontroli.
5. Osoby wyznaczone przez Administratora są uprawnione do wstępu do pomieszczeń, w których przetwarzane są wyłącznie dane osobowe powierzone do przetwarzania przez Administratora, dostępu do sprzętów i środków służących do przetwarzania tych danych oraz do wglądu do danych powierzonych do przetwarzania przez Administratora, jak również do żądania od Podmiotu Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania danych osobowych.
6. Podmiot Przetwarzający jest zobowiązany współpracować z właściwym organem nadzorczym w ramach wykonywania przez niego swoich zadań.
§ 6.
Odpowiedzialność Przetwarzającego
1. Podmiot Przetwarzający odpowiada za działania i zaniechania osób, przy pomocy których będzie przetwarzał dane osobowe, także za inne podmioty przetwarzające (podwykonawców), którym powierzył dane, jak za działania lub zaniechania własne.
2. W przypadku, gdy Administrator poniesie jakiekolwiek szkody w związku z niezgodnym z przepisami o ochronie danych osobowych przetwarzaniem danych osobowych przez Podmiot Przetwarzający lub podwykonawcę, Podmiot Przetwarzający zobowiązany będzie do ich pokrycia, chyba, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.
§ 7.
Postanowienia końcowe
1. Umowa Powierzenia obowiązuje z dniem jej zawarcia.
2. Umowa Powierzenia zastępuje postanowienia Umowy głównej dotyczące ochrony danych osobowych. Zmiany i uzupełnienia Umowy Powierzenia mogą być dokonane wyłącznie w formie pisemnej pod rygorem nieważności.
3. W przypadku przetwarzania danych osobowych osób wykonujących niniejszą umowę ze strony Podmiotu Przetwarzającego lub podwykonawcy, Administrator będzie to czynił wyłącznie w zakresie i w celu realizacji niniejszej umowy. Administrator zobowiązuje się do przestrzegania przepisów ustawy o ochronie danych osobowych i Rozporządzenia. Dostęp do danych osobowych osób Podmiotu Przetwarzającego lub podwykonawcy, reprezentujących te podmioty lub wykonujących prace objęte niniejszą umową będą mieli wyłącznie upoważnieni, odpowiednio także w ramach zakresu obowiązków i zadań, pracownicy, funkcjonariusze SGSP (strażacy), osoby współpracujące z SGSP na podstawie umów cywilnoprawnych (umowy zlecenia, umowy o dzieło), osoby oddelegowane do służby w SGSP, kandydaci do pracy i służby, studenci i słuchacze SGSP, kandydaci na studia, praktykanci i stażyści.
4. Strony wyznaczają swoich przedstawicieli w celu realizacji Umowy:
1) w imieniu Podmiotu Przetwarzającego:
2) w imieniu Administratora:
Każda ze Stron realizuje obowiązki informacyjne zgodnie z wymaganiami art. 13 RODO.
Strony, jako administratorzy danych osobowych w zakresie danych osobowych wskazanych w Umowie głównej i Umowie Powierzenia, zobowiązują się do zgodnego z zapisami RODO, gromadzenia, przetwarzania i zabezpieczenia danych osobowych pracowników, funkcjonariuszy (strażaków), osób współpracujących na podstawie umów cywilnoprawnych (umowy zlecenia, umowy o dzieło), osób oddelegowanych do służby, kandydatów do pracy i służby, studentów i słuchaczy, kandydatów na studia, praktykantów i stażystów Strony, w zakresie niezbędnym do realizacji tych umów, a także do wykonania obowiązków informacyjnych, o których mowa w art. 13 i 14 RODO. W celu wykonania obowiązków Administratora, Podmiot Przetwarzający przekaże swoim pracownikom i współpracownikom informacje, określone w załączniku nr 4 do Umowy Powierzenia.
5. W sprawach nieuregulowanych w Umowie Powierzenia będą miały zastosowanie odpowiednie przepisy prawa, w szczególności Rozporządzenia i inne dotyczące ochrony danych osobowych.
6. Integralną część niniejszej Umowy stanowią następujące załączniki:
1) Załącznik nr 1 – Wydruk CEiDG Podmiotu Przetwarzającego;
2) Załącznik nr 2 – Rodzaj danych osobowych i kategorie osób fizycznych, których dane osobowe Administrator powierza Podmiotowi Przetwarzającemu do przetwarzania;
3) Załącznik nr 3 – Wykaz podwykonawców, z których usług Podmiot Przetwarzający korzysta przy przetwarzaniu danych, powierzając im dane osobowe za zgodą Administratora;
4) Załącznik nr 4 – Informacja o przetwarzaniu danych osobowych przez Szkołę Główną Służby Pożarniczej;
5) Załącznik nr 5 – Upoważnienie do przetwarzania danych osobowych.
7. Spory wynikłe na tle realizacji Umowy Powierzenia będzie rozstrzygał właściwy Sąd Powszechny.
8. Umowę Powierzenia sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.
Administrator Podmiot Przetwarzający
Załącznik 2
Rodzaj danych osobowych i kategorie osób fizycznych, których dane osobowe Administrator powierza Podmiotowi Przetwarzającemu do przetwarzania.
1) kategorie osób, których dane osobowe dotyczą: pracownicy, funkcjonariusze SGSP (strażacy), studenci i słuchacze SGSP;
2) rodzaj danych osobowych: dane osobowe uczestników szkolenia/ kursu, w zakresie i celu niezbędnym do realizacji Umowy nr ……………...… : imię i nazwisko, daty urodzenia, numer ewidencyjny PESEL.
Administrator Podmiot Przetwarzający
Załącznik 3
Wykaz podwykonawców, z których usług Podmiot Przetwarzający korzysta przy przetwarzaniu danych, powierzając im dane osobowe za zgodą Administratora.
Zgodnie z oświadczeniem zawartym w ofercie na dzień zawarcia umowy Wykonawca nie powierza podwykonawcy(om) wykonania żadnej części Przedmiotu Umowy.
Administrator Podmiot Przetwarzający
Załącznik nr 4 Informacja o przetwarzaniu danych osobowych przez Szkołę Główną Służby Pożarniczej
Niniejsza informacja stanowi wykonanie obowiązku określonego w art. 13 i 14 rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”.
1. Administratorem przetwarzającym Pani (a) dane osobowe jest: Rektor-Komendant Szkoły Głównej Służby Pożarniczej, z siedzibą w Warszawie (01-629), przy ul. Słowackiego 52/ 54 (adres poczty elektronicznej: xxxx@xxxx.xxx.xx).
2. Dane kontaktowe Inspektora Ochrony Danych (IOD): adres: 00-000 Xxxxxxxx, xx. Xxxxxxxxxxx 00/00, adres poczty elektronicznej: xxx@xxxx.xxx.xx.
3. Dane osobowe będą przetwarzanie na postawie art. 6 ust. 1 lit f i c RODO - prawnie uzasadniony interes Szkoły Głównej Służby Pożarniczej polegający na właściwej realizacji przedmiotu Umowy głównej i Umowy Powierzenia oraz wypełnienia obowiązku prawnego ciążącego na Administratorze
– dochodzenia ewentualnych roszczeń.
4. Zakres przetwarzanych danych obejmuje:
1) imię i nazwisko;
2) nr PESEL;
3) służbowy adres e-mail;
4) służbowy numer telefonu.
5. Dane zostają przekazane Szkole Głównej Służby Pożarniczej przez
6. Dane będą przetwarzane do czasu zakończenia realizacji przedmiotu umowy, a następnie przechowywane w celach archiwalnych, zgodnie z przepisami powszechnie obowiązującego prawa oraz zgodnie z zarządzeniem nr 26/10 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 17 sierpnia 2010 r. w sprawie instrukcji kancelaryjnej oraz jednolitego rzeczowego wykazu akt w Szkole Głównej Służby Pożarniczej, opublikowanym na stronie podmiotowej BIP.
7. Dostęp do danych posiadają wyłącznie uprawnieni pracownicy, funkcjonariusze SGSP (strażacy), osoby współpracujące z SGSP na podstawie umów cywilnoprawnych (umowy zlecenia, umowy o dzieło), osoby oddelegowane do służby w SGSP, kandydaci do pracy i służby, studenci i słuchacze SGSP, kandydaci na studia, praktykanci i stażyści.
8. Dane podlegają ochronie na podstawie przepisów RODO. Dane mogą być udostępnione osobom i podmiotom trzecim wyłącznie na podstawie przepisów prawa. Dane nie będą przekazywane do państwa trzeciego, ani do organizacji międzynarodowej.
9. Osobie, której dane dotyczą przysługuje prawo do kontroli przetwarzania danych, określone w art. 15 i 16 RODO, w szczególności prawo dostępu do treści swoich danych i ich sprostowania oraz w art. 17, 18 i 21 RODO, o ile będzie miał zastosowanie.
10.Dane osobowe nie będą przetwarzane w sposób zautomatyzowany, dane nie będą poddawane profilowaniu.
11.Osobie, której dane dotyczą przysługuje prawo wniesienia skargi do organu nadzorczego adres: Prezes Urzędu Ochrony Danych Osobowych, xx. Xxxxxx 0, 00-000 Xxxxxxxx.
Załącznik nr 5
WZÓR
UPOWAŻNIENIE Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem [ ] r., na podstawie art. 29 w związku z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016, str. 1, z późn. zm.) (RODO), upoważniam [ ] do przetwarzania danych osobowych w zbiorze Program Operacyjny Wiedza Edukacja Rozwój. Upoważnienie wygasa z chwilą ustania Pana/Pani* stosunku prawnego łączącego Pana/Panią z [ ].
Czytelny podpis osoby upoważnionej do wydawania i odwoływania upoważnień.
Upoważnienie otrzymałem/am
(miejscowość, data, podpis)
Oświadczam, że zapoznałem/am się z przepisami powszechnie obowiązującymi dotyczącymi ochrony danych osobowych, w tym RODO, a także z obowiązującymi w opisem technicznych i organizacyjnych środków zapewniających ochronę i bezpieczeństwo przetwarzania danych osobowych i zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych, określonych w tych dokumentach.
Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych, z którymi zapoznałem/am się oraz sposobów ich zabezpieczania, zarówno w okresie trwania umowy, jak również po ustaniu stosunku prawnego łączącego mnie z [ ].
Czytelny podpis osoby składającej oświadczenie