UMOWA powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr ……………………
UMOWA
powierzenia przetwarzania danych osobowych
stanowiąca
uzupełnienie Umowy Nr ……………………
zawarta w dniu ………………….. 2021 r. w Otwocku , pomiędzy:
Starostwem Powiatowym w Otwocku z siedzibą w Otwocku przy ul. Górnej 13 (05-400).
(„Administrator”)
a
…………………………………………………………………………. („Przetwarzający”)
(dalej łącznie jako: „Strony”)
Mając na uwadze, że:
Strony zawarły umowę .................... („Umowa Podstawowa”), w związku, z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową;
Celem Umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania Danych Osobowych w imieniu Administratora;
Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania Danych Osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
(Dz. Urz. UE L 119, s. 1) – dalej RODO.
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
Na warunkach określonych niniejszą Umową oraz Umową Podstawową Administrator powierza Przetwarzającemu przetwarzanie (w rozumieniu RODO) dalej opisanych Danych Osobowych.
Przetwarzanie będzie wykonywane w okresie obowiązywania Umowy Podstawowej.
Charakter i cel przetwarzania wynikają z Umowy Podstawowej. W szczególności:
charakter przetwarzania określony jest następującą rolą Przetwarzającego - świadczenie
na rzecz Administratora usług w zakresie usuwania pojazdów i umieszczanie ich na parkingu strzeżonym,celem przetwarzania jest umożliwienie Administratorowi wywiązywania się z prawnych obowiązków związanych z realizacją zadania polegającego na usuwaniu i umieszczaniu
na parkingu strzeżonym pojazdów usuniętych z drogi na podstawie art. 130a ustawy z dnia
20 czerwca 1997 r. Prawo o ruchu drogowym (tekst jedn. Dz. U z 2021 r., poz. 450
z późn. zm.) na obszarze powiatu otwockiego
Przetwarzanie obejmować będzie następujące rodzaje danych osobowych („Dane”): dane niezbędne do realizacji zadań Administratora wynikających z ustawy z dnia 5 czerwca 1998 r.
o samorządzie powiatowym, a także zadań wynikających z innych ustaw, porozumień zawartych przez Powiat z organami administracji rządowej w sprawie wykonywania zadań publicznych
z zakresu administracji rządowej, jak również zadań wynikających z porozumień zawartych
z jednostkami lokalnego samorządu terytorialnego, a także województwem, na którego obszarze znajduje się terytorium powiatu w sprawie powierzenia prowadzenia zadań publicznych tj.: imię
i nazwisko, dane pojazdu oraz inne, jeżeli będzie to niezbędne do osiągnięci celu przetwarzania.
Przetwarzający nie jest upoważniony do powierzenia jakiejkolwiek operacji na danych innemu podmiotowi bez uprzedniej zgody Administratora.
§ 3 Obowiązki Przetwarzającego
Przetwarzający przetwarza Dane wyłącznie zgodnie z udokumentowanymi poleceniami
lub instrukcjami Administratora.Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania Danych
w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.Przetwarzający zapewnia ochronę Danych i podejmuje środki ochrony danych, o których mowa
w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje
z organem nadzorczym).Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora
o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
§ 4 Obowiązki Administratora
Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu Umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
§ 5 Powiadomienie o Naruszeniach Danych Osobowych
Przetwarzający niezwłocznie powiadamia Inspektora Ochrony Danych u działającego. Administratora danych o każdym podejrzeniu naruszenia ochrony Danych osobowych, umożliwia Administratorowi oraz Inspektorowi Ochrony Danych uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organ nadzoru w terminie 24 godzin od stwierdzenia naruszenia.
Administrator
kontroluje sposób przetwarzania powierzonych Danych Osobowych po
uprzednim poinformowaniu Przetwarzającego o planowanej kontroli.
Administrator lub wyznaczone przez niego osoby są uprawnione do (i)
wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe
oraz (ii) wglądu do dokumentacji związanej z przetwarzaniem
Danych Osobowych. Administrator uprawniony jest do żądania od
Przetwarzającego udzielania informacji dotyczących przebiegu
przetwarzania Danych Osobowych, oraz udostępnienia rejestrów
przetwarzania.
Administrator oświadcza, że jest Administratorem Danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.
Przetwarzający oświadcza, że w związku z powierzeniem przetwarzania danych zobowiązuję się do przestrzegania zasad związanych z ochroną danych osobowych, w tym przyjętą
u Administratora Polityką Bezpieczeństwa Informacji, a także na polecenie Administratora
do uczestniczenia w szkoleniach dotyczących ochrony danych osobowych.
Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku
z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego
lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.W przypadku nałożenia na Administratora prawomocnej kary, zgodnie z RODO w związku
z niezgodnym z prawem przetwarzaniem danych osobowych przez Podmiot przetwarzający, Podmiot przetwarzający poniesie wobec Administratora odpowiedzialność w wysokości 100% kary nałożonej na Administratora.
W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także,
że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem
a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
ze Stron.Umowa podlega prawu polskiemu oraz RODO.
Umowa została zawarta na czas obowiązywania Umowy Podstawowej.
ADMINISTARTOR PRZETWARZAJĄCY
3