Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 2 do Umowy
Umowa powierzenia przetwarzania danych osobowych
zawarta w ………………………, dnia pomiędzy:
………………………………………………………………………………………………….
reprezentowanym przez ,
zwanym dalej „Powierzającym” a
…………………………………………………………………………………………………. reprezentowanym przez ……………………………………………………………………….., zwanym dalej „Podmiotem przetwarzającym”
o następującej treści:
§ 1
Definicje
Użyte w niniejszej umowie określenia oznaczają:
1) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 oraz z 2018 r. Nr 127, str. 2);
2) ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 z późn. zm.);
3) administrator – administrator, w rozumieniu art. 4 pkt 7 RODO;
4) dane osobowe – dane osobowe, w rozumieniu art. 4 pkt 1 RODO;
5) dane osobowe – dane osobowe powierzone do przetwarzania w ramach umowy;
6) inspektor ochrony danych – inspektor ochrony danych (IOD), w rozumieniu art. 37-39 RODO;
7) podmiot przetwarzający – podmiot przetwarzający, w rozumieniu art. 4 pkt 8 RODO;
8) przetwarzanie – przetwarzanie, w rozumieniu art. 4 pkt 2 RODO;
9) umowa – niniejsza umowa;
10) umowa źródłowa – umowa, w której Przetwarzający zobowiązał się do świadczenia usług związanych z przetwarzaniem, w rozumieniu art. 28 ust. 3 lit. x XXXX, tj.: umowa ................
§ 2
Powierzenie przetwarzania danych osobowych
1. Powierzający pełni rolę administratora danych osobowych i podmiotu przetwarzającego dane osobowe.
2. Przetwarzający pełni rolę podmiotu przetwarzającego dane osobowe.
3. Powierzający powierza podmiotowi przetwarzającemu, w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej umowie, a podmiot przetwarzający dane te przyjmuje.
4. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
5. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi rozporządzenia.
§ 3
Zakres i cel przetwarzania danych
1. Dane Osobowe przetwarzane będą przez podmiot przetwarzający w celu realizacji umowy źródłowej.
2. Powierzone przez administratora dane osobowe obejmują dane osobowe:
1) pracowników administratora (w zakresie: …),
2) studentów (w zakresie: …),
3) inne dane powierzone przez powierzającego niezbędne do realizacji umowy źródłowej*
(*należy wskazać właściwe dla sprawy grupy osób oraz wymienić dane, które będą przetwarzane, np. imię, nazwisko, adres e-mail, numer telefonu).
3. Dane, wymienione w ust. 2 zostaną przekazane przez administratora danych w formie elektronicznej/papierowej (*wybrać właściwe).
4. W okresie obowiązywania umowy źródłowej dane przetworzone zostaną stale (niejednorazowo, powtarzalnie)/jednorazowo.
5. Powierzający poleca podmiotowi przetwarzającemu oraz osobom działającym z upoważnienia podmiotu przetwarzającego przetwarzanie danych osobowych w imieniu administratora danych osobowych wyłącznie w zakresie wynikającym z RODO, ustawy o ochronie danych osobowych i umowy.
6. Podmiot powierzający nie wyraża zgody na przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
§ 4
Obowiązki podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 5 i 32 rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane, przy czym będą to jedynie osoby, które posiadają odpowiednie przeszkolenie z zakresu ochrony danych osobowych i są niezbędne do realizacji celu niniejszej umowy. Podmiot przetwarzający zapewnia, że osoby, o których mowa w niniejszym ustępie, będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej.
4. Podmiot przetwarzający zobowiązuje się zapewnić, że osoby, które upoważnia do przetwarzania danych osobowych, w celu realizacji niniejszej umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu
obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 pkt b rozporządzenia, zarówno w trakcie zatrudnienia ich w podmiocie przetwarzającym, jak i po jego ustaniu.
5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usunie/zwróci powierzającemu* (*należy wybrać odpowiednie), zgodnie z decyzją powierzającego, wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
6. Na żądanie powierzającego, podmiot przetwarzający potwierdzi usunięcie lub zwrot danych osobowych oraz ich kopii pisemnym protokołem podpisanym przez osobę uprawnioną do składania oświadczeń woli w imieniu podmiotu przetwarzającego i umożliwi przeprowadzenie przez powierzającego audytu.
7. W miarę możliwości podmiot przetwarzający pomaga administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 rozporządzenia. W razie wpływu do podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, podmiot przetwarzający niezwłocznie informuje administratora.
8. W ramach realizacji obowiązków, o których w ust. 7, podmiot przetwarzający ma w szczególności obowiązek:
1) wyznaczenia osób odpowiedzialnych za podjęcie kroków w celu zaradzenia naruszeniu ochrony danych osobowych i podjęcie stosownych działań naprawczych w uzgodnieniu z przetwarzającym;
2) zawiadamiania administratora danych osobowych o wszelkich naruszeniach ochrony danych osobowych. Zawiadomienie powinno nastąpić niezwłocznie, nie później jednak niż w ciągu 24 godzin od stwierdzenia przez podmiot przetwarzający naruszenia ochrony danych osobowych. Zawiadomienie powinno zawierać informacje, które pozwolą administratorowi danych osobowych na przygotowanie zawiadomienia zgodnie z art. 33 ust. 3 RODO (w zakresie art. 33 ust. 3 lit. b RODO podmiot przetwarzający powinien wskazać dane inspektora ochrony danych podmiotu przetwarzającego lub oznaczenie innego punktu kontaktowego podmiotu przetwarzającego, od którego można uzyskać więcej informacji);
3) dokumentowania naruszeń ochrony danych osobowych, zgodnie z art. 33 ust. 5 RODO – tj. dokumentowania x.xx. okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych, w sposób umożliwiający organowi nadzorczemu zweryfikowanie na podstawie tej dokumentacji przestrzegania przez administratora danych osobowych art. 33 RODO;
4) udzielania administratorowi danych osobowych informacji potrzebnych do dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 35 RODO;
5) udzielania administratorowi danych osobowych informacji potrzebnych do konsultacji z organem nadzorczym w zakresie oceny skutków dla ochrony danych, o których mowa w art. 36 RODO.
9. Podmiot przetwarzający obowiązany jest do prowadzenia i aktualizacji stosownej dokumentacji opisującej zastosowane środki, o których mowa w ust. 1 .
10. Podmiot przetwarzający na każde żądanie powierzającego:
1) udziela mu wszelkich informacji dotyczących stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych zabezpieczających dane osobowe;
2) umożliwi mu dokonanie przeglądu środków, o których mowa w ust. 1;
3) udostępni mu dokumentację, o której mowa w ust. 9.
11. Podmiot przetwarzający oświadcza, że w związku z zawarciem umowy, będzie prowadził rejestr wszystkich kategorii czynności przetwarzania, dokonywanych w imieniu administratora danych osobowych, w rozumieniu art. 30 ust. 2 i 3 RODO. rejestr ten podmiot przetwarzający udostępni na każde żądanie powierzającego.
12. Podmiot przetwarzający zobowiązuje się pomagać administratorowi danych osobowych, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 RODO.
13. W przypadku, gdy osoba, której dane dotyczą skieruje żądanie realizacji jej praw, o których mowa w art. 15-22 RODO bezpośrednio do podmiotu przetwarzającego, Podmiot przetwarzający zobowiązany jest przekazać niezwłocznie treść tego żądania (w szczególności treść sprzeciwu, o którym mowa w art. 21 RODO) do administratora danych osobowych. Ponadto, jeżeli administrator danych osobowych nie będzie mógł
zrealizować żądań osoby, której dane dotyczą, bez współdziałania podmiotu przetwarzającego, podmiot przetwarzający na polecenie administratora danych osobowych podejmie wskazane przez administratora danych osobowych czynności,
a w szczególności:
1) w razie zgłoszenia przez osobę, której dane dotyczą żądania prawa dostępu, o którym mowa w art. 15 RODO – przygotuje raport dla administratora danych osobowych, zawierający informacje o przetwarzanych przez podmiot przetwarzający danych osobowych osoby zgłaszającej żądanie realizacji praw z art. 15 RODO i przekaże ten raport odpowiednio administratorowi danych osobowych;
2) w razie zgłoszenia przez osobę, której dane dotyczą prawa do sprostowania danych, o którym mowa w art. 16 RODO – sprostuje dane osobowe osoby zgłaszającej żądanie realizacji praw z art. 16 RODO, poprzez nadpisanie danych osobowych tej osoby w systemach podmiotu przetwarzającego;
3) w razie zgłoszenia przez osobę, której dane dotyczą prawa do bycia zapomnianym, o którym mowa w art. 17 RODO – usunie dane osobowe, osoby zgłaszającej żądanie realizacji praw z art. 17 RODO, ze wszystkich systemów podmiotu przetwarzającego, w których mogą się znaleźć dane osobowe tej osoby, w szczególności z systemów źródłowych agregujących dane. Po upływie 30 dni od zgłoszenia żądania podmiot przetwarzający przeprowadza szczegółową analizę czy dane osoby, która zgłosiła żądanie zostały usunięte ze wszystkich systemów podmiotu przetwarzającego oraz przedstawia wyniki tej analizy administratorowi w formie raportu;
4) w razie zgłoszenia przez osobę, której dane dotyczą prawa do ograniczenia przetwarzania, o którym mowa w art. 18 RODO – nie później niż w ciągu 24 godzin od przedstawienia takiego polecenia przez administratora danych osobowych, czasowo zablokuje możliwości edycji rekordów dotyczących, osoby zgłaszającej żądanie realizacji praw z art. 18 RODO;
5) w razie zgłoszenia przez osobę, której dane dotyczą prawa do przenoszenia danych, o którym mowa w art. 20 RODO – wyeksportuje do administratora danych osobowych wszystkie przetwarzane elektronicznie dane osobowe dotyczące osoby zgłaszającej żądanie realizacji praw z art. 20 RODO.
§ 5
Prawo audytu
1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) rozporządzenia ma prawo kontroli, czy środki zastosowane przez podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy i odpowiednie przepisy powszechnie obowiązującego prawa.
2. Powierzający jest uprawniony do weryfikacji przestrzegania przez podmiot przetwarzający zasad przetwarzania danych osobowych wynikających z RODO, ustawy o ochronie danych osobowych oraz umowy, w szczególności poprzez:
1) prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych, w tym informacji o lokalizacji, w których podmiot przetwarzający przetwarza dane osobowe;
2) prawo przeprowadzania audytów lub inspekcji podmiotu przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z umową.
3. Administrator danych realizować będzie prawo audytu w godzinach pracy podmiotu przetwarzającego i z minimum siedmiodwniowym pisemnym uprzedzeniem.
4. Prawo do przeprowadzenia audytu obejmuje: wstęp do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych osobowych; żądanie złożenia pisemnych lub ustnych wyjaśnień od osób upoważnionych do ich przetwarzania; wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z celem kontroli oraz przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych.
5. Audyt lub inspekcja przeprowadzane są przez upoważnionych audytorów, przez których w ramach niniejszego paragrafu rozumie się, upoważnionego przez powierzającego:
1) pracownika powierzającego lub
2) audytora zewnętrznego.
6. Po zakończeniu audytu upoważniony audytor przedstawia wynik audytu w formie protokołu.
7. Jeżeli zdaniem podmiotu przetwarzającego wydane mu przez powierzającego polecenie stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów o ochronie danych podmiot przetwarzający zobowiązuje się niezwłocznie poinformować o tym powierzającego.
8. W razie wątpliwości poczytuje się, że za podejmowane w ramach audytu lub inspekcji czynności podmiot przetwarzający nie nabywa względem a powierzającego jakichkolwiek wierzytelności (np. o zwrot kosztów czy wynagrodzenie dla pracowników podmiotu przetwarzającego biorących udział w audycie lub inspekcji).
9. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu, inspekcji w terminie wskazanym przez administratora danych nie dłuższym niż 7 dni.
§ 6
Odpowiedzialność podmiotu przetwarzającego
1. Podmiot przetwarzający odpowiada na zasadach ogólnych za szkody, jakie powstaną u administratora danych osobowych, powierzającego lub osób trzecich w wyniku naruszenia przez podmiot przetwarzający przepisów prawa lub niewykonania lub nienależytego wykonania umowy przez przetwarzającego,a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w podmiocie przetwarzającym danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez powierzającego.
§ 7
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy, po uzyskaniu uprzedniej pisemnej zgody administratora danych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie administratora danych, chyba że obowiązek taki nakłada
na podmiot przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podwykonawca, o którym mowa w ust. 1 niniejszej umowy winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na podmiot przetwarzający w niniejszej umowie. W szczególności podmiot przetwarzający zapewni, aby podmioty, którym podpowierzono przetwarzanie danych osobowych stosowały co najmniej równorzędny poziom ochrony danych osobowych co podmiot przetwarzający. Podpowierzenie przetwarzania danych osobowych przez podmiot przetwarzający jest dopuszczalne tylko na podstawie umowy podpowierzenia.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków wynikających z niniejszej umowy.
5. Administratorowi danych będą przysługiwały uprawnienia wynikające z umowy podpowierzenia bezpośrednio wobec podmiotu, któremu podpowierzono przetwarzanie danych osobowych.
§ 8
Czas obowiązywania umowy
Umowa będzie obowiązywać, a podmiot przetwarzający będzie przetwarzał dane osobowe przez okres świadczenia przez podmiot przetwarzający usług związanych z przetwarzaniem danych osobowych w ramach umowy źródłowej.
§ 9
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od powierzającego i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody administratora danych w innym celu niż wykonanie umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.
§ 10
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz rozporządzenia.
3. Wszelkie zmiany umowy wymagają formy pisemnego aneksu.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy powierzającego.
5. Każda ze stron zobowiązana jest do poinformowania osób przez siebie upoważnionych do określonych czynności związanych z umową źródłową lub umową (w szczególności osób kontaktowych), o tym że druga strona będzie przetwarzała ich dane osobowe jako administrator danych, w celach niezbędnych do realizacji umowy lub umowy źródłowej. Ponadto każda ze stron, względem osób przez siebie upoważnionych, o których mowa w zdaniu poprzednim, zobowiązana jest spełnić należycie obowiązek informacyjny, o którym mowa w art. 13 RODO, a ponadto zawrzeć w tym obowiązku również informacje, o których mowa w art. 14 RODO
(w szczególności art. 14 ust. 1 lit. a i b oraz ust. 2 lit. a, c, e i f), do których przekazania zobowiązana jest druga Strona, tak aby druga Strona mogła powołać
się na przepis art. 14 ust. 5 lit. a RODO.
PODPISY STRON:
Powierzający Podmiot przetwarzający