Wzór umowy powierzenia przetwarzania danych osobowych nr ...

Załącznik nr 2 do umowy nr …

Wzór umowy powierzenia przetwarzania danych osobowych nr ...

zawarta w dniu pomiędzy:

Prezydentem Miasta Lublin Lublin, Xxxx Xxxxx Xxxxxxxxxx Xxxxxxxx 0, 00-000 Xxxxxx,

zwanym dalej Administratorem danych osobowych lub Administratorem, z upoważ- nienia którego działają:

1) ……………………………..

2) …......................................

a

…………………………………………, z siedzibą w … (kod: …) przy ulicy …, NIP …………………….., REGON ,

zwanym dalej Przetwarzającym, reprezentowanym przez:

1) ……………………………..

zwanymi dalej Stronami a każda osobno Stroną.

§ 1 Postanowienia ogólne

1. Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:

1) Umowa Powierzenia – niniejsza umowa;

2) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchyle- nia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1);

3) Umowa - umowa nr (wpisać numer umowy) zawarta pomiędzy Stronami w dniu (wpisać datę zawarcia umowy), której przedmiotem jest zapewnienie dostępu do systemu informacji prawnej i której wykonanie wymaga przekazania przez Admini- stratora Przetwarzającemu danych osobowych.

2. Strony oświadczają, że Umowa Powierzenia została zawarta w celu wykonania obo- wiązków, o których mowa w art. 28 RODO w związku z zawarciem Umowy.

3. W trybie art. 28 ust. 3 RODO, na mocy niniejszej umowy Administrator powierza Prze- twarzającemu dane osobowe w zakresie określonym w § 2 niniejszej umowy a Prze- twarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową Powierzenia.

4. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewi - dzianym w Umowie Powierzenia oraz zgodnie z innymi udokumentowanymi polece- niami Administratora, przy czym za udokumentowane polecenia uważa się postano- wienia Umowy Powierzenia oraz inne polecenia przekazywane przez Administratora drogą elektroniczną na adres (wpisać adres email) lub na piśmie.

5. Przetwarzający zapewnia, że:

a) posiada fachową wiedzę i zasoby konieczne do należytej realizacji niniejszej Umowy Powierzenia, w szczególności wdrożył odpowiednie środki techniczne i organizacyjne gwarantujące bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym x.xx. wdrożył - przy uwzględnieniu stanu wiedzy tech- nicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwa- rzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym praw- dopodobieństwie wystąpienia i wadze zagrożenia - odpowiednie środki tech-

niczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiada- jącemu temu ryzyku,

b) będzie zabezpieczał interes prawny osób, których dane przetwarza,

c) będzie realizował wytyczne Administratora w zakresie bezpieczeństwa przetwa- rzanych powierzonych mu danych,

d) dane osobowe będą przetwarzane wyłącznie na obszarze Państw Członkowskich Unii Europejskiej (UE) lub państw sygnatariuszy Umowy o Europejskim Obszarze Gospodarczym (EOG). Jakiekolwiek przekazanie powierzonych danych osobo- wych do państwa trzeciego wymaga uprzedniej pisemnej zgody Administratora i musi spełniać szczególne wymagania określone w rozdziale V RODO,

e) każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, będzie je przetwarzała wyłącznie w celach i zakre - sie przewidzianym w Umowie Powierzenia,

f) będzie prowadzić rejestr wszystkich kategorii czynności przetwarzania dokony- wanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udo- stępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.

6. Przetwarzający nie jest uprawiony do dalszego przekazywania danych osobowych innemu podmiotowi, bez uprzedniej pisemnej zgody Administratora. Jeżeli Przetwa- rzający zamierza podpowierzyć przetwarzanie danych osobowych, musi uprzednio poinformować Administratora o zamiarze podpowierzenia, tożsamości (firmie) pod- miotu, któremu ma zamiar podpowierzyć przetwarzanie a także o: charakterze podpo- wierzenia, zakresie danych, celu i czasie trwania podpowierzenia.

7. W przypadku podpowierzenia przetwarzania danych osobowych, podpowierzenie przetwarzania będzie mieć za podstawę umowę, na podstawie której subprocesor zobowiąże się do wykonywania tych samych obowiązków, które na mocy niniejszej Umowy Powierzenia nałożone są na Przetwarzającego.

8. W przypadku wypowiedzenia lub rozwiązania umowy podpowierzenia, Przetwarzający poinformuje o tym fakcie Administratora w terminie 3 dni od wypowiedzenia lub roz- wiązania umowy.

§ 2 Określenie zakresu i okresu powierzenia przetwarzania

1. Administrator powierza Przetwarzającemu dane osobowe następujących kategorii osób, których dane dotyczą:

1) pracownicy Gminy Lublin,

2) kontrahenci Gminy Lublin,

3) mieszkańcy Gminy Lublin.

2. Zakres powierzonych Przetwarzającemu do przetwarzania danych osobowych obej- muje dla wszystkich kategorii dane osobowe przetwarzane lokalnie na stacjach robo- czych użytkowników jednostek gminy Lublin oraz w systemach informatycznych uru- chamianych na tych stacjach roboczych, a w szczególności w systemach:

1) finansowo-księgowych;

2) kadrowo-płacowych.

3. Przetwarzający uprawiony jest do przetwarzania danych osobowych przez okres obo- wiązywania Umowy.

4. Przetwarzający zobowiązany jest do natychmiastowego zaprzestania przetwarzania danych w przypadku:

1) rozwiązania Umowy Powierzenia;

2) ustania celu, o którym mowa w par. 3 ust. 1.

5. Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Przetwarzający, zależnie od decyzji Administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

6. W przypadku usunięcia danych - Przetwarzający zobowiązany jest, w terminie 3 dni roboczych od dnia wykonania operacji, poinformować pisemnie Administratora o wykonaniu tej operacji oraz o sposobie jej wykonania.

§ 3 Określenie celu

1. Powierzenie przetwarzania danych osobowych następuje w celu wykonania Umowy, w szczególności wdrożenia, asysty technicznej oraz świadczenia serwisu gwarancyj- nego systemu informacji prawnej.

2. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych: przeglądanie.

3. Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w systemach informatycznych Administratora.

§ 4 Obowiązki Przetwarzającego

Przetwarzający zobowiązuje się, że:

1) podejmie wszelkie środki wymagane na mocy art. 32 RODO;

2) będzie pomagał Administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO;

3) będzie pomagał Administratorowi poprzez odpowiednie środki techniczne i organi- zacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w Rozdziale III RODO; w szczególności Przetwarzający zobowiązuje się, na każde żądanie Administratora, do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnie- nia żądania osoby, której dane dotyczą;

4) jeżeli będzie posiadać dostęp do systemów informatycznych Urzędu, będzie prze- strzegał zasad pracy w tych systemach określonych w Regulaminie Ochrony Infor- macji dla Wykonawcy będącym częścią Systemu Zarządzania Bezpieczeństwem Informacji Urzędu Miasta Lublin (SZBI), który w związku z tym, że dokumentacja SZBI jest na mocy zarządzenia Prezydenta Miasta Lublina wyłączona z jawności, zostanie udostępniony Przetwarzającemu po podpisaniu Umowy;

5) będzie przestrzegał minimalnych środków technicznych i organizacyjnych gwarantu- jących bezpieczeństwo powierzonych do przetwarzania danych osobowych, które określono w § 5 niniejszej umowy;

6) udostępni Administratorowi wszelkie informacje niezbędne do potwierdzenia, że spełnia obowiązki Przetwarzającego określone w przepisach prawa powszechnie obowiązującego;

7) umożliwi Administratorowi lub osobom upoważnionym przez Administratora prze- prowadzanie audytów oraz kontroli, o których mowa w § 6 ust. 2;

8) w sytuacji podejrzenia naruszenia ochrony danych osobowych:

a) przekaże Administratorowi informacje dotyczące naruszenia ochrony danych osobowych, w tym informacje, o których mowa w art. 33 ust. 3 RODO niezwłocz - nie, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia,

b) przeprowadzi wstępną analizę ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekaże wyniki tej analizy Administratorowi,

c) przekaże Administratorowi – na jego żądanie – wszystkie informacje niezbędne do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO;

9) będzie informować Administratora o:

a) jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych,

b) jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczących przetwarzania powierzonych danych osobowych, skierowanych do Przetwarzającego,

c) wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.

§ 5 Minimalne środki techniczne i organizacyjne gwarantujące bezpieczeństwo powierzonych do przetwarzania danych osobowych

1. Minimalne środki techniczne i organizacyjne, do których podjęcia zobowiązany jest Przetwarzający, zostały określone w Załączniku nr 1 ŚTO (środki techniczne i organi- zacyjne) do Umowy Powierzenia.

2. Przetwarzający udokumentuje wdrożenie środków technicznych i organizacyjnych określonych w Załączniku nr 1 ŚTO i na wniosek Administratora przedstawi taką dokumentację Administratorowi do wglądu przed rozpoczęciem przetwarzania danych osobowych.

3. Na przetwarzanie danych osobowych poza siedzibą Przetwarzającego, np. w lokalach prywatnych lub w kontekście pracy na odległość, wymagana jest uprzednia pisemna zgoda Administratora. Przetwarzający gwarantuje i zapewnia, że świadczenie usług lub wykonywanie pracy poza siedzibą Przetwarzającego przez jego pracowników lub współpracowników spełnia określone środki i wymogi, w tym w szczególności zagwa - rantowane są odpowiednie środki techniczne i organizacyjne w rozumieniu art. 32 RODO oraz środki wymagane przez Umowę Powierzenia.

4. Przetwarzający może wdrożyć odpowiednie alternatywne środki techniczne i organi- zacyjne w trakcie okresu obowiązywania Umowy i Umowy Powierzenia. Takie środki muszą być zgodne z postanowieniami art. 32 RODO i muszą zapewniać poziom ochrony równy lub wyższy w porównaniu do środków określonych w Załączniku nr 1 ŚTO. Przetwarzający jest zobowiązany do aktualizacji i podnoszenia jakości środków organizacyjnych i technicznych wraz z rozwojem istniejących technologii oraz wraz z pojawianiem się nowych zagrożeń.

5. Wdrożenie alternatywnych środków technicznych i organizacyjnych, o których mowa powyżej, wymaga uzgodnienia z Administratorem. Wszelkie takie działania będą dokumentowane na piśmie i staną się częścią Umowy Powierzenia. Załącznik 1 ŚTO zostanie odpowiednio zmieniony przez Przetwarzającego za zgodą Administratora.

§ 6 Prawo kontroli

1. Administrator zgodnie, z art. 28 ust. 3 pkt h) RODO, ma prawo kontroli czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzo- nych danych osobowych spełniają postanowienia RODO i Umowy Powierzenia; w szczególności Administrator jest uprawniony do żądania udzielenia przez Przetwa- rzającego wszelkich informacji dotyczących powierzonych danych osobowych.

2. Administrator ma także prawo przeprowadzania audytów lub kontroli Przetwarzają- cego w zakresie zgodności operacji przetwarzania z prawem i z Umową Powierzenia. Audyty lub kontrole mogą być przeprowadzane przez Administratora lub podmioty trzecie upoważnione przez Administratora.

3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kon- troli i audytów w terminie wskazanym przez Administratora nie dłuższym niż 7 dni kalendarzowych.

§ 7 Odpowiedzialność

1. Administrator ponosi odpowiedzialność w stosunku do osób, których dane dotyczą z tytułu szkód, jakie osoba, której dane dotyczą, może ponieść w wyniku niezgodnego z prawem lub nieprawidłowego przetwarzania lub wykorzystywania danych w trakcie

wykonywania Umowy, stanowiącego naruszenie przepisów określonych w RODO lub innych przepisów dotyczących ochrony danych.

2. W przypadku, gdy Administrator będzie zobowiązany do zapłaty odszkodowania/zadośćuczynienia/grzywny/kary itp. z powodu niezgodnego z prawem lub nieprawidłowego przetwarzania lub wykorzystania danych, za które odpowiedzial - ność ponosi Przetwarzający, wówczas Przetwarzający zwolni Administratora z odpo- wiedzialności z tytułu wszelkich roszczeń i przejmie taką odpowiedzialność. Podmiot Przetwarzający dołoży najlepszych starań w celu wsparcia Administratora w obronie przeciwko wszelkim roszczeniom.

3. Postanowienia ust. 2 nie mają wpływu na inne roszczenia Administratora. Przetwarza- jący zobowiązuje się prowadzić wymaganą przepisami prawa dokumentację na temat przetwarzania oraz wykorzystywania powierzonych danych osobowych, która umoż- liwi Administratorowi przekazywanie dowodów na takie uporządkowane przetwarzanie i wykorzystywanie danych. Przetwarzający przekaże taką dokumentację Administrato- rowi także po rozwiązaniu Umowy Przetwarzania w przypadku, gdy będzie ona nie- zbędna dla Administratora do obrony przeciwko roszczeniom osób, których dane dotyczą lub innych osób trzecich.

§ 8 Rozwiązanie umowy

1. Umowa Powierzenia zawarta została na czas wykonywania Umowy.

2. Umowa Powierzenia wygasa z chwilą wygaśnięcia lub rozwiązania Umowy.

3. Administrator może rozwiązać niniejszą Umowę Powierzenia ze skutkiem natychmia- stowym, gdy Przetwarzający:

1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas audytu lub kontroli nie usunie ich w wyznaczonym terminie;

2) przetwarza dane osobowe w sposób niezgodny z Umową Powierzenia lub RODO;

3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Admini- stratora danych osobowych.

4. Przetwarzający ma prawo rozwiązania Umowy Powierzenia wyłącznie w przypadkach jednoczesnego rozwiązania Umowy i w trybie w niej przewidzianym.

§ 9 Postanowienia końcowe

1. Strony zgodnie postanawiają, że Przetwarzającemu nie przysługuje wynagrodzenie z tytułu zawarcia i wykonywania niniejszej Umowy Powierzenia.

2. Strony postanawiają, że będą się kontaktowały za pośrednictwem następujących osób:

1) ze strony Administratora ;

2) ze strony Przetwarzającego: ……………….

3. Zmiana postanowień Umowy Powierzenia wymaga zachowania formy pisemnej – pod rygorem nieważności.

4. Umowa Powierzenia została zawarta w 3 egzemplarzach.

Załączniki:

Środki Techniczne i Organizacyjne (ŚTO) - Minimalne wymagania jakie musi spełniać podmiot przetwarza - jący dane.

Załącznik nr 1 ŚTO do umowy powierzenia

Środki Techniczne i Organizacyjne - Minimalne wymagania jakie musi spełniać podmiot przetwarzający dane

1. Kontrola dostępu do lokali i obiektów, w których przetwarzane są dane

Ryzyko nieuprawnionego dostępu do danych (w sensie fizycznym).

Wymagane środki techniczne i organizacyjne służące do kontroli dostępu do lokali i obiektów, w szczególności do kontroli autoryzacji:

a) System kontroli dostępu (czytnik identyfikatorów, karta magnetyczna, karta z chi- pem)

b) Sejf

c) Urządzenia do nadzoru (system alarmowy, monitor wideo/CCTV)

2. Kontrola dostępu do systemów

Ryzyko nieuprawnionego dostępu do systemów informatycznych.

Wymagane techniczne (identyfikator/zabezpieczenie hasłem) i organizacyjne (podsta- wowe dane użytkownika) środki służące do identyfikacji użytkownika i uwierzytelnia- nia:

a) Procedury dotyczące hasła (minimalna długość, w tym specjalne znaki, regularna zmiana hasła)

b) Szyfrowanie nośników danych dla urządzeń komputerowych wynoszonych poza siedzibę Podmiotu Przetwarzajacego

c) Zarządzanie reakcjami na incydenty

3. Kontrola dostępu do danych

Ryzyko dostępu do danych przez osoby nieuprawnione

Wymagane zabezpieczenia:

a) Zróżnicowane prawa dostępu (profile, role, grupy uprawnień, transakcje i obiekty)

b) Raporty z wykonywanych prac

c) Unikalny identyfikator użytkownika

4. Kontrola ujawniania

Ryzyko ujawnienia danych: przesyłanie elektronicznie, transport danych, przekazywanie danych itp., aby zapobiegać utracie, zmianie lub nieuprawnionemu ujawnieniu.

Wymagane zabezpieczenia:

a) Szyfrowanie/tunelowanie (VPN = Virtual Private Network - Wirtualna Sieć Pry- watna)

b) Szyfrowanie SSL

c) Logowanie do nośników

5. Zasada rozliczalności wprowadzanych danych

Ryzyko braku zapewnienia rozliczalności danych poprzez umożliwienie weryfikacji osób dokonujących operacji na danych:

Wymagane zabezpieczenia:

a) Raporty z wykonywanych prac

b) Unikalny identyfikator użytkownika

6. Kontrola dostępności/ integralności danych

Dane należy chronić przed przypadkowym zniszczeniem lub utratą poprzez stosowanie fizycznych/ logicznych środków zabezpieczeń.

Wymagane zabezpieczenia:

a) Procedury dotyczące kopii zapasowych

b) Nieprzerwana dostawa zasilania (UPS)

c) Systemy antywirusowe / firewalle

d) Plan odzyskiwania na wypadek katastrofy Podmiot Przetwarzający

Podpis: Podpis:

Imię, nazwisko, data Xxxx, nazwisko, data