ZAŁĄCZNIK NR 9 do SIWZ
Umowa
ZAŁĄCZNIK NR 9 do SIWZ
powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy (wzór umowy)
zawarta w dniu .................... w , pomiędzy:
Gminą Świebodzin, xx. Xxxxxxx 0, 00-000 Xxxxxxxxxx REGON: 970770534,
NIP: 927 00 09 197 zwaną dalej „Gminą”, reprezentowaną przez:
Zastępcę Burmistrza Świebodzina – Xxxxxxxx Xxxxxxxxx
a
................................... („Przetwarzający”)
(dalej łącznie jako: „Strony”) Mając na uwadze, że:
i. Strony zawarły umowę („Umowa Podstawowa”), w związku,
z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową;
ii. Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu Administratora;
iii. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO.
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
1. W związku z realizacją Umowy nr ……….. z dnia ………….. pomiędzy: Gminą Świebodzin, ul. Rynkowa 2, 66-200 Świebodzin, a na
„Świadczenie usług dowozu i odwozu uczniów do i ze szkół podstawowych na terenie Gminy Świebodzin w roku szkolnym 2020/2021”, Zleceniodawca powierza Wykonawcy
w trybie art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (EU) 2016/679
z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 35/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s.1) zwanego dalej RODO przetwarzanie danych osobowych.
2. Zleceniodawca oświadcza, że jest administratorem danych, które powierza.
3. Powierzone dane zawierają informację o osobach fizycznych będących osobami fizycznymi.
1. Opis Przetwarzania
1.1. Przedmiot [art. 28 ust. 3 RODO] Na warunkach określonych niniejszą Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) dalej opisanych Danych Osobowych.
1.2. Czas [art. 28 ust. 3 RODO] Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
1.3. Charakter i cel [art. 28 ust. 3 RODO] Charakter i cel przetwarzania wynikają z Umowy Podstawowej. W szczególności:
1.3.1. charakter przetwarzania określony jest następującą rolą Przetwarzającego – obsługa dowozu uczniów do placówek oświatowych, zaś
1.3.2. celem przetwarzania jest umożliwienie Administratorowi wywiązywania się z prawnych obowiązków związanych z zapewnieniem dowozu uczniów do placówek oświatowych.
1.4. Rodzaj danych [art. 28 ust. 3 RODO] Przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”):
Dane zwykłe:
(1) imię i nazwisko,
(2) adres zamieszkania ucznia,
(3) wskazanie szkoły do której uczeń uczęszcza.
1.5. Kategorie osób [art. 28 ust. 3 RODO] Przetwarzanie Danych będzie dotyczyć następujących kategorii osób:
(1) uczniów jednostek oświatowych prowadzonych przez Gminę Świebodzin korzystających z dowozów szkolnych,
(2) opiekunów dowozów szkolnych zatrudnionych w jednostkach oświatowych prowadzonych przez Gminę Świebodzin.
2. Podpowierzenie
2.1. Podpowierzenie [art. 28 ust. 2 RODO] Przetwarzający może powierzyć konkretne operacje przetwarzania Danych („podpowierzenie”) w drodze pisemnej umowy podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym. („Podprzetwarzający”), pod warunkiem uprzedniej akceptacji Podprzetwarzającego przez Administratora lub braku sprzeciwu.
2.2. Sprzeciw. Administrator może z uzasadnionych przyczyn zgłosić udokumentowany sprzeciw względem powierzenia Danych konkretnemu Podprzetwarzającemu.
W razie zgłoszenia sprzeciwu Przetwarzający nie ma prawa powierzyć Danych Podprzetwarzającemu objętemu sprzeciwem, a jeżeli sprzeciw dotyczy aktualnego Podprzetwarzającego, musi niezwłocznie zakończyć podpowierzenie temu Podprzetwarzającemu. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania.
2.3. Transfer obowiązków [art. 28 ust. 4 RODO] Dokonując podpowierzenia Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.
2.4. Zobowiązanie względem Administratora. Przetwarzający ma obowiązek zapewnić, aby Podprzetwarzający złożył Administratorowi zobowiązanie do wykonania obowiązków, o których mowa w poprzednim ustępie. Może to zostać wykonane przez podpisanie stosownego oświadczenia adresowanego do Administratora wraz z podpisaniem Umowy Podpowierzenia, zawierającego listę obowiązków Podprzetwarzającego.
2.5. Zakaz podzlecenia świadczenia głównego [art. 28 ust. 4 RODO] Przetwarzający nie ma prawa przekazać Podprzetwarzającemu całości wykonania Umowy.
2.6. Obowiązki Przetwarzającego
Przetwarzający ma następujące obowiązki:
2.7. Udokumentowane polecenia [art. 28 ust. 3 lit. a RODO] Przetwarzający przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora.
2.8. Nieprzetwarzanie poza EOG [art. 28 ust. 3 lit. a RODO] Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują Dane poza EOG.
2.9. Poinformowanie o zamiarze przetwarzania poza EOG. [art. 28 ust. 3 lit. a RODO] Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
2.10. Tajemnica [art. 28 ust. 3 lit. b RODO] Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania Danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
2.11. Bezpieczeństwo [art. 28 ust. 3 lit. c RODO] Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.
2.12. Podprzetwarzanie [art. 28 ust. 3 lit. d RODO] Przetwarzający przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (Podprzetwarzającego).
2.13. Współpraca przy realizacji praw jednostki [art. 28 ust. 3 lit. e RODO] Przetwarzający zobowiązuje się wobec Administratora do odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO („Prawa jednostki”). Przetwarzający oświadcza, że zapewnia obsługę Praw jednostki w odniesieniu do powierzonych Danych. Szczegóły obsługi Praw jednostki
zostaną pomiędzy Stronami uzgodnione. Strony ustaliły procedurę obsługi Praw jednostki odrębnym dokumentem.
2.14. Wsparcie przy obowiązkach bezpieczeństwa [art. 28 ust. 3 lit. f RODO] Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
2.15. Legalność poleceń [art. 28 ust. 3 ak. 2 RODO] Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
2.16. Projektowanie prywatności [art. 25 ust. 1 RODO] Planując dokonanie zmian w sposobie przetwarzania Danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania Danych przez Przetwarzającego.
2.17. Minimalizacja [art. 25 ust. 2 RODO] Przetwarzający zobowiązuje się do ograniczenia dostępu do Danych Osobowych wyłącznie do osób, których dostęp do Danych jest potrzebny dla realizacji Umowy i posiadających odpowiednie upoważnienie.
2.18. Profilowanie [art. 13 i 14 RODO] Jeżeli Przetwarzający wykorzystuje w celu realizacji Umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Przetwarzający informuje o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.
2.19. Szkolenie personelu Przetwarzający ma obowiązek zapewnić osobom upoważnionym do przetwarzania Danych odpowiednie szkolenie z zakresu ochrony danych osobowych.
2.20. Obowiązki Administratora
2.21. Administrator zobowiązany jest współdziałać z Przetwarzającym
w wykonaniu Xxxxx, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
2.22. Bezpieczeństwo danych
2.23. Bezpieczeństwo danych osobowych [art. 32 RODO] Przetwarzający przeprowadził analizę ryzyka przetwarzania powierzonych Danych, udostępnił ją Administratorowi i stosuje się do jej wyników, co do organizacyjnych i technicznych środków ochrony danych.
2.24. Powiadomienie o Naruszeniach Danych Osobowych
2.25. Powiadomienie o naruszeniu. Przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora
o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
2.26. Rozwinięcie. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
2.27. Nadzór
2.28. Sprawowanie kontroli [art. 28 ust. 3 lit. h RODO] Administrator kontroluje sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do (i) wstępu do pomieszczeń,
w których przetwarzane są Dane Osobowe oraz (ii) wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych, oraz udostępnienia rejestrów przetwarzania.
2.29. Współpraca przy kontroli. [art. 28 ust. 3 lit. h RODO] Przetwarzający współpracuje z urzędem ochrony danych osobowych w zakresie wykonywanych przez niego zadań.
2.30. Przetwarzający:
(1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
(2) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje
w zakresie realizacji audytów lub inspekcji.
2.30.1.1.1. Oświadczenia Stron
2.31. Oświadczenie Administratora. Administrator oświadcza, że jest Administratorem Danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.
2.32. Oświadczenie Przetwarzającego [art. 28 ust. 1 RODO]. Przetwarzający oświadcza, że w ramach prowadzonej działalności gospodarczej profesjonalnie zajmuje się przetwarzaniem danych osobowych objętym Umowa i Umową Podstawową, posiada w tym zakresie niezbędną wiedzę, odpowiednie środki techniczne i organizacyjne oraz daje rękojmię należytego wykonania niniejszej Umowy.
2.33. Odpowiedzialność
2.34. Odpowiedzialność Przetwarzającego [art. 82 ust. 3 RODO] Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
2.35. Odpowiedzialność za Podprzetwarzających [art. 28 ust. 4 RODO] Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
2.36. Okres Obowiązywania Umowy Powierzenia [art. 28 ust. 3 RODO]
10.1. Umowa została zawarta na czas obowiązywania Umowy Podstawowej.
3. Usunięcie Danych
3.1. Usunięcie danych [art. 28 ust. 3 lit g RODO] Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych
i jest zobowiązany do:
(1) usunięcia Danych,
(2) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie Danych.