UMOWA powierzenia przetwarzania danych osobowych, ( zwana dalej „Umowa powierzenia”)
UMOWA powierzenia przetwarzania danych osobowych,
( zwana dalej „Umowa powierzenia”)
zawarta w ……………..w dniu ……………………………….. pomiędzy: Gminą Miejską Giżycko
al. 1 Maja 14, 11-500 Giżycko
reprezentowanym przez: …………………………………………………………….…, zwaną dalej „Administratorem” lub „ Administratorem Danych”,
a
……………………………… z siedzibą w ……………………………….., ul. ……………………………………. , zarejestrowaną w Krajowym Rejestrze Sądowym – Rejestr Przedsiębiorców prowadzonego przez Sąd Rejonowy dla ……………………… w ………………………. pod numerem KRS …………………………, posiadającą numer NIP ………………………….. oraz numer REGON ……………………………,
reprezentowaną przez: …………………………………………………………….…, zwaną dalej „Podmiotem przetwarzającym” lub „Procesorem”.
Zważywszy, że:
Strony łączy umowa o świadczenie usług z dnia …………………………….. dotycząca …………………………………………..., („Umowa Główna”) w związku z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym umową.
w celu prawidłowego wykonania Umowy głównej niezbędne jest powierzenie przez Administratora do przetwarzania Podmiotowi przetwarzającemu określonych danych osobowych, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO) (dalej „Rozporządzenie”);
Umowa powierzenia ma charakter akcesoryjny wobec Umowy głównej i reguluje wzajemny stosunek Stron i obowiązki w zakresie przetwarzania danych osobowych wynikających z Umowy głównej,
Strony zawierają Umowę powierzenia przetwarzania danych osobowych o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
Administrator danych oświadcza, że jest administratorem danych osobowych.
W celu prawidłowej realizacji przedmiotu Umowy głównej Administrator powierza Podmiotowi przetwarzającemu przetwarzania danych osobowych, dalej „Dane osobowe”.
Cel i zakres powierzenia przetwarzania Danych osobowych wynika bezpośrednio i ogranicza się do usług wynikających z Umowy głównej oraz związanych z nimi obowiązkami wynikającymi z przepisów prawa. Procesor uprawniony jest w szczególności do dokonywania następujących operacji przetwarzania Danych osobowych: [zbieranie; utrwalanie; organizowanie; porządkowanie; przechowywanie; adaptowanie lub modyfikowanie; pobieranie; przeglądanie; wykorzystywanie; ujawnianie poprzez przesłanie; rozpowszechnianie lub innego rodzaju udostępnianie; dopasowywanie lub łączenie; ograniczanie; usuwanie; niszczenie w sposób zautomatyzowany lub niezautomatyzowany [niepotrzebne skreślić], zgodnie z przepisami prawa lub postanowieniami Umowy głównej.
Powierzone Dane osobowe przetwarzane będą przez Podmiot przetwarzający w formie elektronicznej oraz papierowej.
Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane osobowe zgodnie z Umową powierzenia, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
Podmiot przetwarzający oświadcza, iż stosuje odpowiednie środki techniczne i organizacyjne w rozumieniu Rozporządzenia, które zapewniają bezpieczeństwo powierzonych do przetwarzania Danych osobowych.
Podmiot przetwarzający oświadcza, że powierzone mu do przetwarzania Dane osobowe przetwarzane będą wyłącznie na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.
§ 2
Obowiązki Procesora
Podmiot przetwarzający oświadcza, że powołał Inspektora Ochrony Danych (Imię Nazwisko e-mail: ………………………..).
Podmiot przetwarzający zapewnia, że uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych osobowych oraz ryzyko naruszenia praw osób, których dane dotyczą, wdrożył odpowiednie środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem powierzonych mu Danych osobowych, o których mowa w art. 32 Rozporządzenia.
Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych osobowych.
Podmiot przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych Danych osobowych przez osoby, które dopuszczone będą do przetwarzania Danych osobowych w celu realizacji Umowy powierzenia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzając zapewnia, że osoby które upoważni do przetwarzania Danych osobowych zostaną zobowiązane do zachowania tajemnicy.
Podmiot przetwarzający zobowiązuje się wspierać Administratora danych przy spełnieniu żądań osób, których Dane osobowe – powierzone do przetwarzania Procesorowi – dotyczą, a które związane są z realizacją praw osób fizycznych określonych w Rozporządzeniu. Podmiot przetwarzający zobowiązany jest w szczególności do udzielenia Administratorowi stosownych informacji lub przekazania niezbędnych dokumentów związanych z żądaniem osoby fizycznej i przetwarzanymi przez niego Danymi osobowymi.
Podmiot przetwarzający zobowiązuje się współpracować i udzielać wszelkiej pomocy Administratorowi w celu wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia. W szczególności Podmiot przetwarzający będzie udzielał Administratorowi wszelkich informacji dotyczących stosowanych środków bezpieczeństwa, certyfikacji w określonych obszarach, zidentyfikowanych po stronie Podmiotu przetwarzającego ryzyk związanych z przetwarzaniem Danych osobowych oraz wspierał Administratora przy przeprowadzaniu analizy ryzyka lub oceny skutków dla ochrony danych poprzez udzielanie Administratorowi niezbędnych informacji odnośnie przetwarzania Danych osobowych przez Podmiot przetwarzający potrzebnych do przeprowadzenia przez Administratora analizy ryzyka lub oceny skutków dla ochrony danych.
Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania danych i jest zobowiązany do:
usunięcia danych i poinformowania Administratora na piśmie o dacie i sposobie, w jaki usunięto dane
usunięcia wszelkich istniejących kopii lub zwrotu danych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie danych.
Przetwarzający dokona usunięcia Xxxxxx po upływie 180 dni od zakończenia Umowy Podstawowej, chyba że Administrator poleci mu to uczynić wcześniej.
§ 3
Prawo nadzoru i kontroli
Administrator kontroluje sposób przetwarzania powierzonych danych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są dane, oraz do wglądu do dokumentacji związanej z przetwarzaniem danych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania danych oraz udostępnienia rejestrów przetwarzania ( z zastrzeżeniem tajemnicy handlowej Przetwarzającego)
Przetwarzający współpracuje z urzędem ochrony danych osobowych w zakresie wykonywanych przez niego zadań.
Przetwarzający:
Udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO
Umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzenie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.
upoważnionej przez Administratora upoważnia Podmiot przetwarzający do jednostronnego podpisania protokołu z kontroli.
§ 4
Odpowiedzialność Podmiotu przetwarzającego
Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Podmiot przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
Jeżeli Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora instrukcji, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem). Podmiot przetwarzający nie ponosi odpowiedzialności za zaniechanie wykonania lub działanie wbrew instrukcji, jeżeli poinformował Administratora o stwierdzonej wątpliwości. Jeżeli Administrator, pomimo zgłoszonych przez Podmiot przetwarzający wątpliwości, pisemnie zapewni, że wykonanie danej instrukcji jest zgodne z prawem, Podmiot przetwarzający nie ponosi jakiejkolwiek odpowiedzialności w związku z wykonaniem danej instrukcji.
§ 5
Czas obowiązywania umowy powierzenia
Niniejsza Umowa powierzenia zostaje zawarta na czas realizacji Umowy głównej.
§ 6
Zasady zachowania poufności
Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i Danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („Informacje poufne”).
Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy Informacji poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy powierzenia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy powierzenia.
Obowiązek zachowania poufności Informacji poufnych obowiązuje przez okres Umowy powierzenia oraz po jej rozwiązaniu lub wygaśnięciu (bez względu na podstawę prawną) przez 3 lata.
§ 7
Naruszenie ochrony Danych osobowych
Przetwarzający powiadamia Administratora o każdym podejrzeniu naruszenia ochrony danych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia lub jego braku.
Ponadto, Podmiot przetwarzając zobowiązany jest podjąć niezwłocznie wszelkie czynności mające na celu usunięcie naruszenia i zabezpieczenie Danych osobowych w sposób należyty przed dalszymi naruszeniami, zebrać wszystkie możliwe dane i dokumenty, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości oraz udzielać Administratorowi wszelkich wyjaśnień.
W przypadku stwierdzenia naruszenia ochrony Danych osobowych Podmiot przetwarzający podejmuje niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zaradzenia naruszeniu ochrony Danych osobowych i zminimalizowania jego ewentualnych negatywnych konsekwencji.
§ 8
Osoby kontaktowe
Ze strony Administratora osobami upoważnionymi i odpowiedzialnymi za nadzór nad realizacją Umowy jest:
Imię Nazwisko, tel. ……………………, email: ……………………………..
Ze strony Podmiotu przetwarzającego nadzór nad prawidłową realizacją Umowy powierzenia pełni:
Imię Nazwisko, tel. ……………………, email: ……………………………..
Wszelka zmiana wskazanych powyżej osób dla swojej skuteczności będzie wymagała jedynie jednostronnego pisemnego oświadczenia skierowanego do drugiej Strony i nie wymaga dla swej ważności zmiany Umowy powierzenia w formie aneksu i skuteczna będzie od dnia doręczenia drugiej Stronie pisemnego oświadczenia o zmianie.
Strony postanawiają, że wszelka komunikacja pomiędzy nimi w związku z Umową powierzenia będzie odbywać się przy pomocy środków komunikacji określonych w ust. 1 powyżej.
§ 9
Postanowienia końcowe
Umowa powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
W wypadku, gdyby któreś z postanowień Umowy powierzenia ew. przyszłych postanowień dołączonych do niniejszej Umowy powierzenia okazało się w całości lub w części nieskuteczne lub niemożliwe do zrealizowania, skuteczność pozostałych postanowień pozostaje nienaruszona. Powyższe dotyczy także ewentualnych luk w uregulowaniach Umowy powierzenia.
Wszelkie spory pomiędzy Stronami będą rozstrzygane polubownie. W przypadku braku osiągnięcia porozumienia, ostateczny spór pomiędzy Stronami zostanie rozstrzygnięty przez właściwy sąd powszechny dla siedziby Administratora.
Niniejsza Umowa powierzenia ma zastosowanie począwszy od 25.05.2018 r. i zastępuje wszelkie dotychczasowe ustalenia Stron (także pisemne) w zakresie ochrony danych osobowych.
W imieniu Administratora danych: W imieniu Podmiotu przetwarzającego:
_____________________________ ________________________________