UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 3 do umowy – wzór umowy powierzenia przetwarzania danych osobowych
„Świadczenie usługi polegającej na udostępnianiu Zamawiającemu - w okresie obowiązywania umowy
- oprogramowania komputerowego do prowadzenia sklepu internetowego”
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Umowa powierzenia przetwarzania danych osobowych zawarta w dniu ……………………………….
w Bodzentynie, pomiędzy:
Świętokrzyskim Parkiem Narodowym z siedzibą w Bodzentynie, xx. Xxxxxxxxxxxxx 0, 00-000 Xxxxxxxxx, zwanym dalej Zamawiającym/Administratorem
a
………………………………………………………………………………………………… zwany dalej Wykonawcą /Podmiotem przetwarzającym,
zwanymi każdą z osobna w dalszej części Umowy „Stroną", a łącznie „Stronami". Zważywszy, że:
• Podmiot przetwarzający będzie wykonywał odpłatnie usługę polegającą na udostępnianiu oprogramowania komputerowego do prowadzenia sklepu internetowego na rzecz Administratora w ramach umowy nr .................., zawartej w dniu ,
• Podmiot przetwarzający w ramach tych usług będzie miał dostęp do powierzonych danych osobowych, Strony niniejszym postanawiają zawrzeć Umowę powierzenia przetwarzania danych osobowych ("Umowa")
o następującej treści:
§ 1
Oświadczenia stron
1. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe w zakresie: imię, nazwisko, adres, dane kontaktowe (numer telefonu, e-mail), NIP
…………………………………………………………………
2. Podmiot przetwarzający oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowych powierzonych przez Administratora, w zakresie i celu określonym
„Umową”.
3. Podmiot przetwarzający oświadcza również, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych, oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych oraz odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.
§ 2
Cel, zakres, miejsce, rodzaj danych, kategorii osób, charakter przetwarzania powierzonych danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych jedynie w celu prawidłowego wykonania zawartej umowy.
2. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie
w celach związanych z realizacją „Umowy” i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
3. Na wniosek Administratora lub osoby, której dane dotyczą, Podmiot przetwarzający wskaże miejsca, w których przetwarza się powierzone dane.
4. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). W szczególności Podmiot przetwarzający zobowiązuje się przekazać Administratorowi informację o stosowanych środkach zabezpieczenia danych osobowych, przypadkach naruszenia ochrony danych osobowych w ciągu 48 godzin od zaistnienia incydentu oraz zawiadomienia o tym osób, których dane osobowe dotyczą o ile zażąda tego Administrator.
5. Podmiot przetwarzający będzie przetwarzał dane osobowe w formie papierowej i elektronicznej.
6. Przez przetwarzanie danych osobowych rozumie się wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
§ 3
Zasady przetwarzania danych osobowych
1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesu Stron w zakresie przetwarzania powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora.
5. Podmiot przetwarzający oświadcza, że dysponuje zasobami, doświadczeniem, wiedzą fachową i wykwalifikowanym personelem, które umożliwiają mu prawidłowe wykonanie umowy powierzenia oraz wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi RODO. Podmiot przetwarzający oświadcza, że podjął skuteczne środki techniczne i organizacyjne zabezpieczające dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz uszkodzeniem, zniszczeniem, utratą lub nieuzasadnioną modyfikacją.
6. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
7. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu umowy powierzenia oraz zobowiązuje się zapewnić, aby jego pracownicy oraz inne osoby upoważnione do przetwarzania powierzonych danych osobowych zobowiązały się do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu umowy powierzenia.
8. Podmiot przetwarzający uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32-36 rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
9. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
10. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji i przyczynia się do nich.
11. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora (podpowierzenie).
§ 4
Odpowiedzialność stron
1. Administrator ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie w sprawie ochrony danych).
2. Powyższe nie wyłącza odpowiedzialności Podmiotu przetwarzającego za przetwarzanie powierzonych danych niezgodnych z umową.
3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada na niego niniejsza umowa, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
§ 5
Uprawnienia kontrolne Administratora
1. Administrator lub upoważniony przez niego audytor zewnętrzny ma prawo do przeprowadzenia kontroli prawidłowości przestrzegania przez Podmiot przetwarzający zasad przetwarzania danych osobowych,
o których mowa w umowie powierzenia oraz w obowiązujących przepisach prawa, w szczególności poprzez żądanie udzielenia informacji dotyczących przetwarzania danych przez Podmiot przetwarzający, stosowanych środkach technicznych i organizacyjnych, aby przestrzeganie toczyło się zgodnie z prawem lub dokonywania kontroli w miejscach, w których przetwarzane są powierzone dane osobowe, po wcześniejszym uzgodnieniu terminu przez Strony na 10 dni przed planowaną kontrolą. Podmiot przetwarzający dokona niezbędnych czynności w celu umożliwienia wykonania tego uprawniania przez Administratora.
2. Podmiot przetwarzający jest zobowiązany do zastosowania się do zaleceń Administratora dotyczących zasad przetwarzania powierzonych danych osobowych oraz dotyczących poprawy zabezpieczenia danych osobowych, sporządzonych w wyniku kontroli przeprowadzonych przez Administratora lub upoważnionego przez niego audytora.
§ 6
Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym niniejszą Umową zastosowanie mają przepisy Kodeksu Cywilnego.
3. W przypadku gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to, że również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
4. Umowę sporządzono w trzech jednakowych egzemplarzach, dwa dla Zamawiającego, jeden dla Wykonawcy.
5. Niniejsza Umowa powierzenia przetwarzania danych osobowych obowiązuje na czas trwania umowy pomiędzy Wykonawcą a Zamawiającym.
………………………………………… …………………………………….. Wykonawca/Podmiot przetwarzający Zamawiający/Administrator