Załącznik nr 5 UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - wzór
Załącznik nr 5 UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - wzór
zawarta w dniu roku pomiędzy:
Gminą Lublin, Xxxx Xxxxx Xxxxxxxxxx Xxxxxxxx 0, 00-000 Xxxxxx, NIP: 000-00-00-000, REGON 431019514, reprezentowaną przez Panią Xxxxxxxxx Xxxxxxxxx-Xxxxxx - Dyrektora Centrum Interwencji Kryzysowej w Lublinie, xx. Xxxxxxxxx 0x, 00-000 Xxxxxx
zwaną w dalszej części umowy Administratorem, a
......................, lekarzem ................, przedsiębiorcą, prowadzącym działalność gospodarczą pod nazwą:……………, ul. , 20- ……. Lublin, NIP …………………… , REGON , zwanym
w dalszej części Podmiotem przetwarzającym.
dalej łącznie zwanymi Stronami,
o następującej treści:
§ 1
Powierzenie przetwarzania danych, zakres, cel i charakter przetwarzania danych
1. Strony w dniu …………….. r. zawarły umowę, której przedmiotem jest świadczenie przez Podmiot przetwarzający na rzecz Administratora usług w zakresie:
a) współpraca stron polegającą na udzielaniu przez Podmiot przetwarzający, w siedzibie Ośrodka Wczesnej Interwencji dla Osób z Problemem Alkoholowym i ich Xxxxxx, xx. Xxxxxxxx 0 świadczeń zdrowotnych dla osób przyjętych do Ośrodka.
2. W celu wykonania umowy, o której mowa w ust. 1 niniejszego paragrafu, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych, w stosunku do których jest administratorem w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady z dnia 26 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej RODO.
3. Powierzenie przetwarzania danych osobowych, o którym mowa w ust. 2, obejmuje dane osobowe w rozumieniu, tj. w szczególności takie jak: nazwisko i imię (imiona), datę urodzenia, adres miejsca zamieszkania, stan zdrowia klientów Ośrodka Wczesnej Interwencji dla Osób z Problemem Alkoholowym i ich Rodzin, w zakresie w jakim jest to niezbędne do realizacji umowy, o której mowa w ust. 1 niniejszego paragrafu.
4. Podmiot przetwarzający może przetwarzać dane osobowe, o których mowa w ust. 3 powyżej, w formie papierowej, elektronicznej oraz przy wykorzystaniu systemów informatycznych. Na powyższych danych będą wykonywane w szczególności operacje: zbieranie, przechowywanie, transfer, utrwalanie, opracowywanie, a także czynności polegające na tworzeniu kopii bezpieczeństwa oraz czynności związane z odtworzeniem danych z kopii bezpieczeństwa.
5. Przetwarzanie danych osobowych przez Podmiot przetwarzający będzie odbywać się wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się zadania zlecane do wykonywania Podmiotowi przetwarzającemu na podstawie Umowy, o której mowa w ust. niniejszego paragrafu.
§ 2
Czas trwania umowy
Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych na czas obowiązywania umowy, o której mowa w § 1 ust. 1, a po ustaniu ww. umowy przez obligatoryjny okres wynikający z przepisów powszechnie obowiązującego prawa.
§ 3
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, przepisami o ochronie danych osobowych oraz innymi przepisami prawa powszechnie
obowiązującego, chroniącymi prawa osób, których dane będą przez Podmiot przetwarzający przetwarzane.
2. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, zgodnie z art. 32 RODO, w tym zwłaszcza:
• zapewnić możliwość ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów służących do przetwarzania danych osobowych oraz usług przetwarzania;
• zapewnić możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• dokonywać regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.
3. Oceniając, czy stopień bezpieczeństwa, o którym mowa w ust. 1 powyżej jest odpowiedni, Podmiot jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
4. Podmiot przetwarzający zobowiązuje się dołożyć najwyższej staranności przy przetwarzaniu powierzonych danych osobowych.
5. Podmiot przetwarzający dopuści do przetwarzania powierzonych danych osobowych wyłącznie osoby posiadające upoważnienia.
6. Podmiot przetwarzający zobowiąże do zachowania w tajemnicy przetwarzanych danych wszystkie osoby, które upoważnia do przetwarzania tych danych, w celu realizacji umowy, o której mowa w § 1 ust. 1, zarówno w trakcie zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu.
7. Podmiot przetwarzający zobowiązuje się pomagać Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
8. Podmiot przetwarzający zobowiązuje się ponadto:
• przetwarzać dane osobowe wyłączenie na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
• udzielać dostępu do danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z umowy, o której mowa w § 1 ust. 1 oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie w celu i w zakresie określonym w upoważnieniu i niniejszej umowie;
• powołać na piśmie – w przypadkach określonych przez prawo- Inspektora Ochrony Danych Osobowych
„IOD”. Podmiot przetwarzający zobowiązany jest przekazać Administratorowi na piśmie dane XXX (imię i nazwisko, telefon, adres mail) niezwłocznie po jego powołaniu. Podmiot przetwarzający niezwłocznie poinformuje Administratora o każdej zmianie danych kontaktowych IOD.
• wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w formie i terminie umożliwiającym realizację obowiązków Administratora, w tym w szczególności Podmiot przetwarzający zobowiązany jest na każde żądanie Administratora do udzielania mu żądanych informacji w terminie 7 dni , w formie określonej przez Administratora;
• niezwłocznie, jednak nie później niż w terminie 7 dni, informować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego,
• Procesor zobowiązuje się nie wykorzystywać powierzonych mu danych osobowych do jakichkolwiek innych celów niż wynikające z umowy o której mowa w § 1 ust. 2 niniejszej umowy oraz zgodnie z niniejszą umową oraz nie ujawniać danych osobowych osobom trzecim.
§ 4
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć (pod-powierzyć) przetwarzanie danych innym podmiotom jedynie za uprzednią, wyrażoną na piśmie pod rygorem nieważności, zgodą Administratora. Zgoda wydawana jest w odniesieniu do ściśle określonych osób lub podmiotów (podwykonawców) oraz określa cel, zakres oraz warunki dalszego powierzenia przetwarzania danych osobowych.
2. Podmiot przetwarzający zobowiązuje się do nieprzekazywania danych osobowych powierzonych do przetwarzania do państw trzecich, poza UE bez uprzedniej pisemnej zgody Administratora oraz spełnienia warunków wynikających z przepisów o ochronie danych osobowych.
3. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 5
Zawiadomienie o naruszeniach
Podmiot przetwarzający zobowiązuje się niezwłocznie (w terminie do 24 godzin od ujawnienia) zawiadomić Administratora o:
a) wszelkich przypadkach naruszenia ochrony danych osobowych powierzonych na podstawie niniejszej umowy lub o ich niewłaściwym użyciu;
b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych powierzonych na podstawie niniejszej umowy, prowadzonych w szczególności przed Organem Nadzorczym w rozumieniu RODO, organami publicznymi, urzędami państwowymi, policją lub przed sądem.
§ 6
Prawo kontroli
1. Podmiot przetwarzający zobowiązuje się odpowiedzieć niezwłocznie i z dochowaniem należytej staranności na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie niniejszej umowy danych osobowych.
2. Podmiot przetwarzający umożliwi Administratorowi przeprowadzenie kontroli zgodności przetwarzania powierzonych danych osobowych z niniejszą umową oraz przepisami o ochronie danych osobowych. Administrator zawiadomi Podmiot przetwarzający o zamiarze przeprowadzenia kontroli na co najmniej 5 dni roboczych przed rozpoczęciem czynności kontrolnych.
3. Podmiot przetwarzający zobowiązuje się do zastosowania ewentualnych zaleceń pokontrolnych dotyczących ochrony powierzonych danych osobowych oraz sposobu ich przetwarzania, o ile zalecenia te są zgodne z niniejszą umową i obowiązującymi przepisami prawa.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający odpowiada za szkody, jakie powstaną u Administratora, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z umową lub przepisami prawa przetwarzania przez Podmiot przetwarzający lub dalszy podmiot przetwarzający, danych osobowych objętych powierzeniem na podstawie umowy, a w szczególności w związku z udostępnianiem danych osobowych osobom nieupoważnionym.
2. W przypadku naruszenia obowiązujących przepisów prawa lub umowy z przyczyn leżących po stronie Podmiotu przetwarzającego lub dalszego podmiotu przetwarzającego, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany administracyjną karą finansową, Podmiot przetwarzający zobowiązuje się pokryć Administratorowi poniesione z tego tytułu koszty.
3. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§ 8
Rozwiązanie umowy oraz zobowiązanie do usunięcia lub zwrotu danych
1. W przypadku rozwiązania lub wygaśnięcia umowy, o której mowa w § 1 ust. 1, Podmiot przetwarzający jest zobowiązany do usunięcia lub zwrócenia wszelkich powierzonych danych osobowych oraz usunięcia wszelkich ich istniejących kopii, z wyłączeniem danych, do których przechowywania jest obowiązany na podstawie obowiązujących przepisów prawa. Szczegóły zwrotu lub usunięcia danych mogą zostać doprecyzowane w chwili rozwiązania umowy.
2. Umowa zostaje zawarta na czas obowiązywania umowy o której mowa w § 1 ust. 1 niniejszej umowy i przestaje obowiązywać wraz zakończeniem obowiązywania umowy o której mowa w § 1 ust. 1 niniejszej umowy.
3. Administrator uprawniony jest do wypowiedzenia umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym zwłaszcza w razie naruszenia przez Podmiot przetwarzający lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub niniejszej umowy, a w szczególności, gdy:
a) organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych,
b) prawomocne orzeczenie sądu powszechnego wykaże, że Podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych,
c) Administrator, w wyniku przeprowadzenia audytu stwierdzi, że Podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z umowy lub obowiązujących przepisów prawa.
4. Naruszenie przez Podmiot przetwarzający postanowień umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy,
o której mowa w § 1 ust. 1 niniejszej Umowy.
§ 9
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora i od współpracujących z nim osób, uzyskanych w jakikolwiek sposób, zamierzony czy przypadkowy w jakiejkolwiek formie, w tym ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, o której mowa w § 1 ust. 1 niniejszej umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub przedmiotowej Umowy.
§ 10
Postanowienia końcowe
1. Zmiana zakresu oraz celu przetwarzania danych osobowych może zostać dokonana jedynie w drodze zmiany niniejszej umowy.
2. W sprawach nieuregulowanych niniejszą umową, zastosowanie mają przepisy powszechnie obowiązującego prawa, w tym w szczególności przepisy RODO i ustawy o ochronie danych osobowych.
3. Niniejsza umowa zastępuje wszelkie dotychczasowe zawarte przez Strony pisemne porozumienia i umowy w zakresie przetwarzania danych osobowych.
4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
................................................ .......................................................
Administrator Podmiot przetwarzający