Umowa powierzenia przetwarzania danych osobowych zawarta dnia: ………………… roku pomiędzy: (zwana dalej „Umową”)

Umowa powierzenia przetwarzania danych osobowych

zawarta dnia: ………………… roku pomiędzy:

(zwana dalej „Umową”)

Portal PZP Sp. z o.o. z siedzibą w Rzeszowie przy xx. Xxxxxx Xxxxxxxxxxxx 0 (00-000 Xxxxxxx), wpisanym do Krajowego Rejestru Sądowego przez Sąd Rejonowy w Rzeszowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000578182, XXX 0000000000, REGON 362607010

zwany w dalszej części umowy „Podmiotem przetwarzającym”

reprezentowany przez:

Xxxx Xxxxxxx-Xxxxxxxxxxxx – Prezes Zarządu

a

………………………………………………………………………………………………………

zwany w dalszej części umowy „Administratorem danych” lub „Administratorem”

reprezentowany przez: ………………………………………………………………………………………………….

zwanymi łącznie „Stronami”, a każda z osobna także „Stroną”,

Mając na względzie, że dnia …………… roku Strony zawarły umowę o świadczenie usług elektronicznych Portal e-Usług SMARTPZP dalej „Umowa Podstawowa” a świadczenie usług w ramach Umowy Podstawowej wiąże się z koniecznością przetwarzania danych osobowych przez Portal PZP Sp. z o.o. w imieniu Administratora, Strony, zawierając niniejszą umowę dążąc do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one przepisom dotyczącym ochrony danych osobowych, w szczególności postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, opublikowane w Dz.Urz. UE L 119 z 4 maja 2016 r.), dalej „Rozporządzenie” oraz ustawie z dnia 10 maja 2018 roku o ochronie danych osobowych (t.j. Dz.U. z 2019r., poz. 1781) - dalej Ustawa.

§ 1

Powierzenie przetwarzania danych osobowych

1. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową Podstawową, niniejszą umową, Rozporządzeniem, Ustawą oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

2. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia, wskazane w załączniku do niniejszej umowy (ŚRODKI OCHRONY DANYCH).

§2

Zakres i cel przetwarzania danych

1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie Umowy Podstawowej dane zwykłe oraz dane, o jakich mowa w art. 9 i 10 Rozporządzenia, obejmujące w szczególności co do:

1. Zamawiającego: imię i nazwisko, stanowisko pracownika, numer telefonu, adres poczty elektronicznej, identyfikator, nadane uprawnienia;

2. Wykonawców: imiona i nazwiska osób uprawnionych do występowania w imieniu wykonawcy, stanowisko, numer telefonu, adres poczty elektronicznej, identyfikator, informacje o niekaralności, pochodzenie, numer rachunku bankowego i inne zawarte w dokumentach przedłożonych przez Wykonawców.

2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w zakresie i celu przewidzianym w niniejszej umowie oraz w celu realizacji Umowy Podstawowej. Przetwarzanie danych osobowych będzie polegało w szczególności na ich: zbieraniu, porządkowaniu, wykorzystywaniu, przechowywaniu, przeglądaniu, utrwalaniu, ujawnianiu, ujawnianiu przez przesłanie, usuwaniu.

§3

Obowiązki podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanymi poleceniami Administratora, przy czym za udokumentowane polecenia uważa się polecenia lub instrukcje przekazywane drogą elektroniczną lub na piśmie na dane kontaktowe określone w Umowie Podstawowej.

2. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. Środki te będą poddawane cyklicznym przeglądom i dostosowywane do zidentyfikowanych ryzyk. Podmiot przetwarzający zobowiązuje się do prowadzenia analizy ryzyka i na żądanie Administratora przedstawienia jej wyników. Stosowane w dniu zawierania umowy środki są wykazane w załączniku do Umowy.

3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

4. Podmiot przetwarzający zobowiązuje się do dopuszczenia do przetwarzania wyłącznie osób zatrudnionych na podstawie umowy o pracę i nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.

5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy,
   (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.

6. Podmiot przetwarzający zobowiązuje się do prowadzenia zgodnego z art. 30 ust. 2 Rozporządzenia rejestru kategorii czynności przetwarzania dokonywanych w imieniu Administratora.

7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych
   z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

8. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi
   w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. W tym celu Podmiot przetwarzający jest zobowiązany w terminie 7 dni od zgłoszenia żądania przez Administratora udostępnić mu wszelkie żądane informacje.

9. W przypadku zgłoszenia przez Administratora żądania podjęcia działań związanych ze zgłoszeniem przez osobę fizyczną żądania na podstawie art. 15-21 Rozporządzenia, Podmiot przetwarzający wykona żądanie Administratora oraz poinformuje go o podjętych w tym zakresie działaniach w terminie 7 dni.

10. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi– robi to niezwłocznie, w każdym wypadku nie później niż w ciągu 24 godzin od wykrycia. Zgłoszenie następuje inspektorowi ochrony danych Administratora drogą mailową: …………….. lub telefonicznie……………………… Zgłoszenie powinno zawierać co najmniej elementy wskazane w art. 33 ust. 3 Rozporządzenia.

§4

Prawo kontroli

1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.

2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 3 dniowym jego uprzedzeniem.

3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.

4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.

§5

Dalsze powierzenie danych do przetwarzania

1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy Podstawowej i tylko po uzyskaniu uprzedniej pisemnej zgody Administratora danych. Podmiot przetwarzający zobowiązany jest zapewnić, aby przetwarzanie danych przez podwykonawcę spełniało wszelkie wymogi Rozporządzenia, Ustawy oraz innych przepisów prawa powszechnie obowiązującego, a nadto, że na podwykonawcę nałożone zostały wszelkie obowiązki przewidziane niniejszą umową dla Podmiotu przetwarzającego.

2. Pisemna zgoda Administratora nie jest wymagana w przypadku takich podwykonawców, którzy są wymienieni w Regulaminie korzystania z usług Portalu e-Usług SMARTPZP i usługi przez nich świadczone są integralną częścią produktu (np. usługi udostępniania infrastruktury). Na dzień podpisywania umowy, jedynym podwykonawcą, który świadczy usługi w zakresie infrastruktury, jest firma OVH.

3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji
   z uwagi na ważny interes publiczny.

4. Podwykonawca, o którym mowa w § 5 ust.1 i 2 Umowy winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.

5. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.

§ 6

Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych,
   o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

3. Podmiot przetwarzający odpowiada za szkodę wyrządzoną Administratorowi lub osobie trzeciej w każdej sytuacji, kiedy okaże się on odpowiedzialny lub współodpowiedzialny za szkodę, którą poniosła jakakolwiek osoba fizyczna, której dane dotyczą, w wyniku naruszenia przepisów Rozporządzenia. Administrator każdorazowo poinformuje Podmiot przetwarzający o każdym zdarzeniu, które mogłoby stanowić podstawę tego rodzaju roszczeń.

4. W przypadku gdyby jakakolwiek osoba fizyczna lub jakikolwiek inny podmiot wystąpiły z roszczeniami wobec Administratora z tytułu naruszenia jej/jego praw przez Podmiot przetwarzający lub podwykonawcę, któremu powierzył on przetwarzanie danych objętych niniejszą umową w całości lub w części, a także w przypadku wszczęcia postępowania administracyjnego/nałożenia przez organ nadzoru ochrony danych osobowych na Administratora kary w związku z naruszeniem przez Podmiot przetwarzający lub podwykonawcę, któremu powierzył on przetwarzanie danych objętych niniejszą umową w całości lub w części jakichkolwiek zasad ochrony danych, Podmiot przetwarzający:

1. wstąpi do postępowania sądowego lub administracyjnego wszczętego przeciwko Administratorowi,

2. zapewni należytą ochronę interesów Administratora,

3. zwolni Administratora z wszelkich zobowiązań z tytułu naruszenia praw przysługujących osobie fizycznej na mocy Rozporządzenia,

4. w przypadku, gdy Administrator wykonał obowiązki nałożone przez sąd lub organ nadzoru ochrony danych osobowych - zwróci Administratorowi kwotę zapłaconych odszkodowań, kar lub innych należności,

5. zwróci Administratorowi wszelkie koszty poniesione w związku z wystąpieniem przeciwko Administratorowi osób trzecich z roszczeniami z tytułu naruszenia ich praw oraz koszty postępowań sądowych lub administracyjnych, toczących się w związku z naruszeniem przez Podmiot przetwarzający lub podwykonawcę, któremu powierzył on przetwarzanie danych objętych niniejszą umową w całości lub w części jakichkolwiek zasad ochrony danych.

§7

Czas obowiązywania umowy

1. Umowa obowiązuje od dnia jej zawarcia i ulega rozwiązaniu z dniem wygaśnięcia albo rozwiązania Umowy Podstawowej.

§8

Rozwiązanie umowy

1. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:

1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

2. przetwarza dane osobowe w sposób niezgodny z umową;

3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych;

§9

Zasady zachowania poufności

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§10

Postanowienia końcowe

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.

2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia i Ustawy.

3. Osoby do kontaktów w sprawie realizacji Umowy:

1. ze strony Administratora:

……………………………………………………………

2. ze strony Podmiotu przetwarzającego:

Xxxxx Xxxxxxxxx, tel 000 000000, mail. xxx@xxxxxxxxx.xx

4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Podmiotu przetwarzającego.

_______________________ ____________________

Administrator danych Podmiot przetwarzający

Załącznik

ŚRODKI OCHRONY DANYCH

1. Podmiot Przetwarzający oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, zapewniającymi by przetwarzanie powierzonych mu danych osobowych chroniło prawa osób, których dane dotyczą i spełniało wymogi powszechnie obowiązującego prawa ochrony danych osobowych, a w szczególności art. 32 RODO, w tym: .

• środki umożliwiające pseudonimizację i szyfrowanie danych osobowych;

• środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

• środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

• procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;

• środki umożliwiające identyfikację i autoryzację użytkowników;

• środki zapewniające ochronę danych w czasie ich przekazywania;

• środki zapewniające ochronę danych w czasie ich przechowywania;

• środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe;

• środki umożliwiające rejestrowanie zdarzeń;

• środki służące do konfiguracji systemu, w tym konfiguracji domyślnej;

• środki dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem IT;

• środki dotyczące certyfikacji / zapewnienia jakości procesów i produktów;

• środki zapewniające minimalizację danych;

• środki zapewniające odpowiednią jakość danych;

• środki zapewniające ograniczone zatrzymywanie danych;

• środki zapewniające rozliczalność;

• środki umożliwiające przenoszenie danych i zapewnienie ich usuwania.

• Podmiot Przetwarzający zobowiązuje się do ich stosowania.

2. Podmiot Przetwarzający oświadcza, że wdrożył system ISO/IEC 27001. Wszystkie procedury, usługi i systemy informatyczne, z jakich korzysta Podmiot Przetwarzający spełniają wymagania opisane w systemie norm ISO/IEC 27001