UMOWA powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr ……………………

UMOWA
powierzenia przetwarzania danych osobowych
stanowiąca uzupełnienie Umowy Nr ……………………

zawarta w dniu ………………….. 2021 r. w Otwocku , pomiędzy:

Starostwem Powiatowym w Otwocku z siedzibą w Otwocku przy ul. Górnej 13 (05-400).

(„Administrator”)

a

…………………………………………………………………………. („Przetwarzający”)

(dalej łącznie jako: „Strony”)

Mając na uwadze, że:

1. Strony zawarły umowę .................... („Umowa Podstawowa”), w związku, z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową;

2. Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu Administratora;

3. Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych
   w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
   (Dz. Urz. UE L 119, s. 1) – dalej RODO.

Xxxxxx postanowiły zawrzeć Umowę o następującej treści:

§ 1 Opis Przetwarzania

1. Na warunkach określonych niniejszą Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) dalej opisanych Danych Osobowych.

2. Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.

3. Charakter i cel przetwarzania wynikają z Umowy Podstawowej. W szczególności:

1. charakter przetwarzania określony jest następującą rolą Przetwarzającego - świadczenie
   na rzecz Administratora usług w zakresie usuwania pojazdów i umieszczanie ich na parkingu strzeżonym,

2. celem przetwarzania jest umożliwienie Administratorowi wywiązywania się z prawnych obowiązków związanych z realizacją zadania polegającego na usuwaniu i umieszczaniu
   na parkingu strzeżonym pojazdów usuniętych z drogi na podstawie art. 130a ustawy z dnia
   20 czerwca 1997 r. Prawo o ruchu drogowym (tekst jedn. Dz. U z 2021 r., poz. 450
   z późn. zm.) na obszarze powiatu otwockiego

4. Przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”): dane niezbędne do realizacji zadań Administratora wynikających z ustawy z dnia 5 czerwca 1998 r.
   o samorządzie powiatowym, a także zadań wynikających z innych ustaw, porozumień zawartych przez Powiat z organami administracji rządowej w sprawie wykonywania zadań publicznych
   z zakresu administracji rządowej, jak również zadań wynikających z porozumień zawartych
   z jednostkami lokalnego samorządu terytorialnego, a także województwem, na którego obszarze znajduje się terytorium powiatu w sprawie powierzenia prowadzenia zadań publicznych tj.: imię
   i nazwisko, dane pojazdu oraz inne, jeżeli będzie to niezbędne do osiągnięci celu przetwarzania.

§ 2 Podpowierzenie

Przetwarzający nie jest upoważniony do powierzenia jakiejkolwiek operacji na danych innemu podmiotowi bez uprzedniej zgody Administratora.

§ 3 Obowiązki Przetwarzającego

1. Przetwarzający przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami
   lub instrukcjami Administratora.

2. Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania Danych
   w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.

3. Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa
   w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.

4. Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje
   z organem nadzorczym).

5. Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora
   o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

§ 4 Obowiązki Administratora

Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.

§ 5 Powiadomienie o Naruszeniach Danych Osobowych

1. Przetwarzający niezwłocznie powiadamia Inspektora Ochrony Danych u działającego. Administratora danych o każdym podejrzeniu naruszenia ochrony Danych osobowych, umożliwia Administratorowi oraz Inspektorowi Ochrony Danych uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.

2. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru w terminie 24 godzin od stwierdzenia naruszenia.

§ 6 Nadzór

Administrator kontroluje sposób przetwarzania powierzonych Danych Osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do (i) wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe
oraz (ii) wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania Danych Osobowych, oraz udostępnienia rejestrów przetwarzania.

§ 7 Oświadczenia Stron

1. Administrator oświadcza, że jest Administratorem Danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.

2. Przetwarzający oświadcza, że w związku z powierzeniem przetwarzania danych zobowiązuję się do przestrzegania zasad związanych z ochroną danych osobowych, w tym przyjętą
   u Administratora Polityką Bezpieczeństwa Informacji, a także na polecenie Administratora
   do uczestniczenia w szkoleniach dotyczących ochrony danych osobowych.

§ 8 Odpowiedzialność

1. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku
   z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego
   lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.

2. W przypadku nałożenia na Administratora prawomocnej kary, zgodnie z RODO w związku
   z niezgodnym z prawem przetwarzaniem danych osobowych przez Podmiot przetwarzający, Podmiot przetwarzający poniesie wobec Administratora odpowiedzialność  w wysokości 100% kary nałożonej na Administratora.

§ 9 Postanowienia Końcowe

1. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także,
   że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem
   a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.

2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
   ze Stron.

3. Umowa podlega prawu polskiemu oraz RODO.

4. Umowa została zawarta na czas obowiązywania Umowy Podstawowej.

ADMINISTARTOR PRZETWARZAJĄCY

3