Wzór umowy
Załącznik nr 5 do zapytania ofertowego
Wzór umowy
powierzenia przetwarzania danych osobowych
zawarta w dniu r. w Łodzi, pomiędzy:
Stowarzyszeniem Łódzki Obszar Metropolitalny z siedzibą w Łodzi (90-926) przy xx. Xxxxxxxxxxxxx 000, adres do doręczeń: Xx. Xxxxxxxxxx 00/00, 00-000 Xxxx, zarejestrowanym przez Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi XX Wydział Krajowego Rejestru Sądowego pod numerem KRS 0000511578, reprezentowanym przez:
…………………………. – ……………………… (zwanym dalej „Administratorem”) a
………………………. - ……………………….. (zwanym dalej „Przetwarzającym”) (dalej łącznie jako: „Strony”)
Mając na uwadze, że:
i. Strony zawarły umowę .................... („Umowa Podstawowa”), w związku, z wykonywaniem której Administrator powierzył Przetwarzającemu przetwarzanie danych osobowych;
ii. Celem niniejszej Umowy jest ustalenie warunków, na jakich Przetwarzający będzie wykonywał operacje przetwarzania Danych Osobowych w imieniu Administratora;
iii. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO oraz innych aktów prawnych regulujących przetwarzanie danych osobowych
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
§ 1
Opis Przetwarzania
1. Na warunkach określonych niniejszą Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) dalej opisanych Danych Osobowych.
2. Przetwarzanie Danych Osobowych będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
3. Charakter i cel przetwarzania wynikają z Umowy Podstawowej.
4. Przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”):
(1) imię i nazwisko,
(2) adres e-mail,
(3) numery telefonów,
5. Przetwarzanie Danych będzie dotyczyć następujących kategorii osób:
(1) pracowników Administratora i podmiotów współpracujących z Administratorem, a także osób stale współpracujących na podstawie umowy cywilnoprawnej,
(2) członków Stowarzyszenia,
(3) klientów Administratora i podmiotów współpracujących z Administratorem,
(4) beneficjentów i potencjalnych beneficjentów,
(5) wykonawców,
(6) osób wskazywanych do kontaktu,
(7) kontrahentów (odbiorcy i dostawcy) oraz ich pracownicy, osoby wykonujące czynności przy wykonywaniu umów,
(8) kontrahentów klientów/potencjalnych klientów/beneficjentów,
(9) odbiorców korespondencji elektronicznej,
(10) pełnomocników i reprezentujących powyżej wymienione osoby.
§ 2
Podpowierzenie
1. Przetwarzający może powierzyć konkretne operacje przetwarzania Danych („podpowierzenie”) w drodze pisemnej umowy podpowierzenia („Umowa Podpowierzenia”) innym podmiotom przetwarzającym. („Podprzetwarzający”), pod warunkiem uprzedniej akceptacji Podprzetwarzającego przez Administratora.
2. Lista Podprzetwarzających zaakceptowanych przez Administratora stanowi Załącznik nr 1 do Umowy – Lista Zaakceptowanych Podprzetwarzających.
3. Powierzenie przetwarzania Danych Podprzetwarzającym spoza Listy Zaakceptowanych Podprzetwarzających wymaga uprzedniego zgłoszenia Administratorowi w celu umożliwienia wyrażenia sprzeciwu. Administrator może zgłosić udokumentowany sprzeciw względem powierzenia Danych konkretnemu Podprzetwarzającemu. W razie zgłoszenia sprzeciwu Przetwarzający nie ma prawa powierzyć Danych Podprzetwarzającemu objętemu sprzeciwem, a jeżeli sprzeciw dotyczy aktualnego Podprzetwarzającego, musi niezwłocznie zakończyć podpowierzenie temu Podprzetwarzającemu. Wątpliwości co do zasadności sprzeciwu i ewentualnych negatywnych konsekwencji Przetwarzający zgłosi Administratorowi w czasie umożliwiającym zapewnienie ciągłości przetwarzania.
4. Dokonując podpowierzenia Przetwarzający ma obowiązek zobowiązać Podprzetwarzającego do realizacji wszystkich obowiązków Przetwarzającego wynikających z niniejszej Umowy powierzenia, z wyjątkiem tych, które nie mają zastosowania ze względu na naturę konkretnego podpowierzenia.
§ 3
Obowiązki Przetwarzającego
Przetwarzający ma następujące obowiązki:
1. Przetwarzający przetwarza Dane zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora, wyłącznie w celu i zakresie wynikającym z realizacji Umowy Podstawowej.
2. Przetwarzający oświadcza, że nie przekazuje Danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują Dane poza EOG.
3. Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać Dane poza EOG, informuje
o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
4. Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania Danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.
5. Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO.
6. Przetwarzający przestrzega warunków korzystania z usług innego podmiotu przetwarzającego (Podprzetwarzającego).
7. Przetwarzający zobowiązuje się pomóc Administratorowi do odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO („Prawa jednostki”).
8. Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
9. Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
10. Planując dokonanie zmian w sposobie przetwarzania Danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa Danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania Danych przez Przetwarzającego.
11. Przetwarzający zobowiązuje się do ograniczenia dostępu do Danych Osobowych wyłącznie do osób, których dostęp do Danych jest potrzebny dla realizacji Umowy i
12. posiadających odpowiednie upoważnienie oraz prowadzenia niezbędnej dokumentacji wynikającej z przepisów prawa.
§ 4
Obowiązki Administratora
1. Administrator oświadcza, że jest Administratorem danych osobowych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu lub powierzył je w ramach dozwolonego podpowierzenia na podstawie odrębnej umowy.
2. Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
§ 5
Powiadomienie o Naruszeniach Danych Osobowych
1. Przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony Danych osobowych nie później niż w 48 godzin od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora
o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
2. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru.
§ 6
Nadzór
1. Administrator kontroluje sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe oraz wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od Przetwarzającego
udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych, oraz udostępnienia rejestrów przetwarzania.
2. Przetwarzający współpracuje z urzędem ochrony danych osobowych w zakresie wykonywanych przez niego zadań.
3. Przetwarzający:
(1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
(2) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje w zakresie realizacji audytów lub inspekcji.
§ 7
Odpowiedzialność
1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
2. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podprzetwarzającego spoczywa na Przetwarzającym.
§ 8
Okres przetwarzania
1. Niniejsza umowa zostaje zawarta na czas obowiązywania Umowy Podstawowej.
2. Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych Danych i jest zobowiązany do:
(1) usunięcia Danych,
(2) usunięcia wszelkich ich istniejących kopii lub zwrotu Danych, chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie Danych.
(3) Strony uzgodnią sposób usunięcia Danych odrębnym dokumentem w ciągu 30 dni od zawarcia Umowy Powierzenia.
3. Przetwarzający dokona usunięcia Danych po upływie 180 dni od zakończenia Umowy, chyba że Administrator poleci mu to uczynić wcześniej lub Przetwarzający będzie miał inną podstawą prawną do dokonywania legalnego przetwarzania.
4. Przed usunięciem danych, Przetwarzający przekaże je Administratorowi w terminie 14 dni od dnia zakończenia umowy.
§ 9
Postanowienia Końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
2. Umowa podlega prawu polskiemu oraz RODO.
3. Umowa zaczyna obowiązywać z r.
………………………………………. ………………………………………..
/podpis Przetwarzającego/ /podpis Administratora/