UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 4 do Umowy
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Szczecinie w dniu pomiędzy:
Skarbem Państwa – Dyrektorem Urzędu Morskiego w Szczecinie z siedzibą w Szczecinie xx. Xxxxxxx Xxxxxxxx 0, reprezentowanym przez
Xxxxxxxxx Xxxxxxxxxx,
zwanym dalej: „Administratorem”, a
…………………. z siedzibą w ……………………., wpisaną do rejestru przedsiębiorców przez Krajowy Rejestr Sądowy w …………..pod numerem KRS ………………
posiadającą NIP ………….i REGON ………………, kapitał zakładowy w wysokości
…………… PLN, reprezentowaną przez:
……………………
zwaną w dalszej części umowy „Podmiotem przetwarzającym”
zaś łącznie zwanymi dalej: „Stronami” lub z osobna „Stroną”,
§ 1
Definicje
Dla potrzeb niniejszej umowy Strony ustalają następujące znaczenie niżej wymienionych pojęć:
1. Umowa Powierzenia – niniejsza umowa;
2. Umowa Podstawowa – wiążąca Strony umowa z dnia ………… o ;
3. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1),
4. Organ Rejestrujący - Starosta albo właściwy polski związek sportowy w rozumieniu ustawy z dnia 25 czerwca 2010 r. o sporcie (t.j. Dz. U. z 2018 r. poz. 1263 z późn. zm.),
5. Interesant - osoba korzystająca z usług Systemu tj. osoba fizyczna, w tym prowadząca działalność gospodarczą, osoba prawna, jednostka organizacyjna nie posiadająca osobowości prawnej,
6. Interesariusz - podmioty (np. osoby, społeczności, instytucje, organizacje, urzędy), które biorą czynny udział w budowie Systemu,
7. System - system teleinformatyczny, którego zadaniem jest gromadzenie i przetwarzanie danych dotyczących jachtów i innych jednostek pływających o długości do 24 m w zakresie określonym w Ustawie z dnia 12 kwietnia 2018 r.
o rejestracji jachtów i innych jednostek pływających o długości do 24 m (Dz.U. 2018 poz. 1137).
§ 2
Oświadczenia stron
1. Strony oświadczają, że łączy je Umowa Podstawowa, a w celu jej realizacji niezbędne jest przetwarzanie danych osobowych.
2. Administrator oświadcza, że jest Administratorem danych osobowych w rozumieniu art. 4 RODO w stosunku do danych powierzonych Podmiotowi przetwarzającemu.
3. Podmiot przetwarzający oświadcza, iż stosuje odpowiednie środki, w tym należyte i adekwatne do kategorii przetwarzanych danych osobowych zabezpieczenia umożliwiające przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami o ochronie danych osobowych, w tym RODO.
4. Podmiot przetwarzający oświadcza, iż przygotował stosowną dokumentację wymaganą od podmiotu, któremu powierzono przetwarzanie danych osobowych, zgodnie z postanowieniami RODO.
§ 3
Przedmiot Umowy
Przedmiotem niniejszej Umowy jest uregulowanie wzajemnych praw i obowiązków Stron, wynikających z przepisów RODO, w związku z realizacją postanowień Umowy Podstawowej.
§ 4
Zakres i cel przetwarzania danych osobowych
1. W związku z realizacją Umowy Podstawowej, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w trybie art. 28 RODO.
2. Podmiot przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie Powierzenia, oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora drogą pisemną lub elektroniczną.
3. Podmiot przetwarzający będzie przetwarzał dane osobowe następujących kategorii osób:
1) Interesantów,
2) Pracowników Administratora,
3) Pracowników Organów Rejestrujących,
4) Pracowników Interesariuszy zaangażowanych w realizację Umowy Podstawowej,
5) innych osób w przypadku takiej potrzeby, zgodnie z przepisami RODO.
4. Przetwarzanie danych osobowych obejmuje w szczególności:
1) imię, nazwisko,
2) adres zamieszkania ewentualnie adres zameldowania,
3) adres do doręczeń,
4) dane kontaktowe takie jak numer telefonu, adres e-mail,
5) PESEL,
6) dane udostępniane w związku z rejestracją jachtów i innych jednostek pływających o długości do 24 m w zakresie określonym w Ustawie z dnia 12 kwietnia 2018 r. o rejestracji jachtów i innych jednostek pływających o długości do 24 m (Dz.U. z 2018 r. poz. 1137).
5. Administrator nie powierza przetwarzania danych osobowych szczególnych kategorii.
6. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonywania usług szczegółowo opisanych w Umowie Podstawowej i w sposób zgodny z niniejszą Umową.
7. Podmiot przetwarzający oświadcza, że dostęp do danych osobowych przetwarzanych przez niego na podstawie Umowy Powierzenia będą posiadały wyłącznie osoby posiadające odpowiednie pisemne upoważnienie do przetwarzania danych osobowych, osoby odpowiednio przeszkolone w zakresie zasad przetwarzania danych osobowych, w tym zasad bezpieczeństwa przetwarzania danych osobowych stosowanych przez Administratora.
§ 5
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się przy przetwarzaniu danych osobowych, o których mowa w § 4, do ich zabezpieczenia, poprzez stosowanie działań i środków zapewniających właściwą ochronę danych zgodnie z RODO, a w szczególności
środków organizacyjnych, środków ochrony fizycznej, środków ochrony informatycznej i telekomunikacyjnej.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
4. Podmiot przetwarzający zapewnia także, aby osoby mające dostęp do przetwarzanych danych osobowych zachowały je oraz sposoby ich zabezpieczeń w tajemnicy (o której mowa w art. 28 ust. 3 pkt b RODO), przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Powierzenia i Umowy Podstawowej oraz ustaniu zatrudnienia lub współpracy z Podmiotem przetwarzającym.
5. Podmiot przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu uprawnionemu organowi, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia lub śledztwa,
2) każdym żądaniu otrzymanym od osoby, której dane przetwarza, powstrzymując się jednocześnie od odpowiedzi na żądanie;
3) każdym nieupoważnionym dostępie do danych osobowych.
6. W sytuacji podejrzenia naruszenia ochrony danych osobowych, Podmiot przetwarzający zobowiązuje się do:
1) przekazania Administratorowi informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego stwierdzenia, w tym informacji,
o których mowa w art. 33 ust. 3 RODO,
2) przeprowadzenia wstępnej analizy naruszenia ochrony danych osobowych i przekazania wyników tej analizy do Administratora - w ciągu 24 godzin od stwierdzenia zdarzenia stanowiącego naruszenie ochrony danych osobowych,
3) przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO - w ciągu 48 godzin od stwierdzenia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
7. W sytuacji gdy informacji, o których stanowi ust. 6 powyżej nie da się udzielić we wskazanym w ust. 6 terminie, Podmiot przetwarzający informuje o tym fakcie Administratora i udziela tych informacji systematycznie, w terminie uzgodnionym z Administratorem.
8. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO.
9. Podmiot przetwarzający zobowiązuje się stosować się do wszelkich wskazówek lub zaleceń, wydanych przez Administratora lub inny organ nadzoru lub unijny organ
doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
10. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Podmiotu przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy.
11. Podmiot przetwarzający będzie przetwarzał dane osobowe w następujących lokalizacjach: [adresy miejsc, w których będą przetwarzane dane osobowe]. Wykonawca niezwłocznie poinformuje Administratora o wszelkich zmianach lokalizacji, w których przetwarzane są dane osobowe.
12. Podmiot przetwarzający zapewni, że przetwarzanie danych osobowych przez Podmiot przetwarzający i jego ewentualnych podwykonawców, będzie się odbywało wyłącznie na terytorium Polski.
§ 6
Kontrola i dalsze powierzenie
1. Administrator ma prawo do kontroli sposobu wykonywania niniejszej Umowy Powierzenia, przez przeprowadzanie zapowiedzianych na 7 dni kalendarzowych wcześniej, doraźnych kontroli dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający oraz żądanie składania przez niego pisemnych wyjaśnień. Administrator zobowiązuje do zachowania poufności osobę oddelegowaną do przeprowadzenia kontroli, a za jej działania lub zaniechania odpowiada jak za własne działania lub zaniechania.
2. Na zakończenie kontroli, o których mowa w ust. 1, przedstawiciel Administratora sporządza protokół pokontrolny w 2 egzemplarzach, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 Dni Roboczych od daty jego podpisania przez Xxxxxx.
3. Podmiot przetwarzający zobowiązuje się do realizacji zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
4. Podmiot przetwarzający zobowiązuje się odpowiadać niezwłocznie, merytorycznie i wyczerpująco na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy Powierzenia danych osobowych.
5. Podmiot przetwarzający może dalej powierzyć przetwarzanie danych osobowych objętych Umową Powierzenia podwykonawcom jedynie za uprzednią pisemną zgodą Administratora.
6. Podwykonawca, o którym mowa w ust. 5 powinien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie Powierzenia.
7. Administratorowi przysługuje w każdym czasie prawo sprzeciwu względem dalszego powierzenia przetwarzania danych osobowych do podwykonawcy.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową Powierzenia, a w szczególności za udostępnienie osobom nieupoważnionym.
2. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
3. W przypadku naruszenia przez Xxxxxxx przetwarzający przepisów powszechnie obowiązującego prawa w zakresie ochrony danych osobowych lub postanowień niniejszej Umowy Powierzenia, w następstwie którego Administrator, jako Administrator Danych Osobowych, zostanie zobowiązany do wypłaty odszkodowania, Podmiot przetwarzający zobowiązuje się pokryć Administratorowi poniesione przez niego z tego tytułu straty i zwrócić koszty, a Podmiot przetwarzający nie ponosi odpowiedzialności za utracone korzyści po stronie Administratora.
§ 8
Wynagrodzenie
1. Wynagrodzenie należne Podmiotowi przetwarzającemu na podstawie Umowy Podstawowej obejmuje wynagrodzenie należne z tytułu Umowy.
2. Podmiot przetwarzający nie jest uprawniony do żądania od Administratora oraz od jakiegokolwiek dodatkowego wynagrodzenia lub zwrotu kosztów poniesionych w związku z wykonywaniem Umowy.
§ 9
Czas trwania umowy / Warunki wypowiedzenia
1. Umowa Powierzenia została zawarta na czas obowiązywania Umowy Podstawowej. Umowa wygasa z chwilą wygaśnięcia lub rozwiązania Umowy Podstawowej
2. Administrator ma prawo rozwiązać niniejszą Umowę Powierzenia ze skutkiem natychmiastowym w przypadku gdy:
1) Podmiot przetwarzający wykorzysta dane osobowe powierzone przez Administratora w sposób niezgodny z przepisami RODO lub postanowieniami niniejszej Umowy Powierzenia,
2) Podmiot przetwarzający powierzy przetwarzanie danych osobowych podwykonawcom bez zgody Administratora,
3) Podmiot przetwarzający nie zaprzestanie niewłaściwego przetwarzania danych osobowych, wezwania go przez Administratora do zaniechania naruszenia; do skuteczności wezwania wystarczające jest zachowanie formy dokumentowej,
4) zostanie wszczęte postępowanie sądowe przeciw Podmiotowi przetwarzającemu w związku z naruszeniem ochrony danych osobowych, których przetwarzanie powierzono Umową Powierzenia,
5) Podmiot przetwarzający zawiadomi Administratora o swojej niezdolności do dalszego wykonywania niniejszej Umowy Powierzenia, w szczególności niespełniania wymagań określonych w § 5 i § 7,
6) w sytuacji rozwiązania, wygaśnięcia lub odstąpienia od Umowy Podstawowej, o której mowa § 1 ust. 1 niniejszej Umowy Powierzenia, przez którąkolwiek ze Stron.
3. Wypowiedzenie Umowy Powierzenia przez którąkolwiek ze Stron jest równoznaczne z wypowiedzeniem Umowy Podstawowej, o której mowa w § 1 ust. 1, bez konieczności składania dodatkowych oświadczeń.
4. Podmiot przetwarzający, w przypadku wygaśnięcia niniejszej Umowy lub Umowy Podstawowej niezwłocznie, ale nie później niż w terminie do 14 dni kalendarzowych, zobowiązuje się zwrócić lub usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji i potwierdzić powyższe przekazanym Administratorowi protokołem podpisanym przez osoby upoważnione do reprezentowania Stron.
§ 10
Postanowienia końcowe
1. Wszelkie zmiany Umowy Powierzenia wymagają formy pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy RODO oraz inne przepisy powszechnie obowiązującego prawa dotyczące ochrony danych osobowych.
3. W razie sprzeczności między postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej w zakresie ochrony danych osobowych lub skutków wygaśnięcia którejkolwiek z tych Umów pierwszeństwo mają postanowienia Umowy Powierzenia.
4. Spory wynikłe z tytułu Umowy będzie rozstrzygał Sąd właściwy dla siedziby Administratora danych.
5. Umowę sporządzono w czterech jednobrzmiących egzemplarzach, w tym jeden egzemplarz dla Podmiotu przetwarzającego i trzy egzemplarze dla Administratora.
Administrator Podmiot przetwarzający