Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
Zawarta w dniu ………………………….…. ….. roku, w
………………… pomiędzy: Zarządem Dróg Miejskich z
siedzibą w Warszawie przy ul. Chmielnej 120,
powołanym uchwałą Rady Miasta Stołecznego Warszawy z dnia
26-04-1993 r. nr XLV/259/93 w sprawie utworzenia Zarządu Dróg
Miejskich, działającego na podstawie uchwały Rady Miasta
Stołecznego Warszawy z dnia 29-05-2008 r. nr XXXIV/1023/2008 w
sprawie statutu Zarządu Dróg Miejskich, reprezentowanego
- na podstawie pełnomocnictwa
nr …………………….
z dnia …………… udzielonego przez Prezydenta x.xx. Warszawy
–przez: Dyrektora Zarządu Dróg Miejskich -
………………………, zwanym dalej
„Zleceniodawcą”
a
…………………………… z siedzibą w ………………………………., adres:…………………………………… wpisaną do Centralnej Ewidencji i Informacji o Działalności Gospodarczej/Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy ………………………… pod nr KRS: ……………….., o kapitale zakładowym w wysokości:…………………., będącą podatnikiem czynnym podatku VAT zarejestrowaną pod numerem identyfikacji podatkowej NIP…………….., REGON nr……………………, reprezentowaną przez:
- ..............................................................................................................,
- ..............................................................................................................,
zwaną dalej „Zleceniobiorcą”,
łącznie zwanymi „Stronami”.
Mając na uwadze, że:
w dniu …………………….. Strony zawarły umowę ……………………. (zwaną dalej „Umową główną”), której przedmiotem jest …………;
usługi świadczone przez Zleceniobiorcę w ramach Umowy głównej są związane z wykonywaniem przez Zleceniobiorcę operacji na danych osobowych w imieniu Zleceniodawcy,
Xxxxxx postanowiły zawrzeć umowę o następującej treści:
§ 1
Definicje
Użyte w umowie określenia będą miały następujące znaczenie:
Rozporządzenie (UE) 2016/679 – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
dane osobowe – oznacza dane w rozumieniu art. 4 pkt 1) Rozporządzenia (UE) 2016/679, tj. wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
Umowa główna – oznacza zawartą przez Strony umowę z dnia ………………….
Usługi – oznaczają usługi, o których mowa w …………………… Umowy głównej;
organ nadzorczy – oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 Rozporządzenia (UE) 2016/679;
naruszenie ochrony Danych Osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
§ 2
Przedmiot umowy
Niniejsza umowa określa zasady przetwarzania oraz zabezpieczania danych osobowych, które Zleceniobiorca przetwarza w imieniu Zleceniodawcy.
§ 3
Dane osobowe przetwarzane przez Zleceniobiorcę w imieniu Zleceniodawcy
Zleceniodawca jako administrator, działając na podstawie art. 28 ust. 3 Rozporządzenia (UE) 2016/679, powierza Zleceniobiorcy przetwarzanie danych osobowych ……………….. (wskazać kategorie osób których dane dotyczą pracowników, zleceniobiorców, klientów) (dalej jako „Dane Osobowe”) na potrzeby świadczenia Usług, do których realizacji Zleceniobiorca zobowiązał się w Umowie głównej.
Zleceniobiorca jako podmiot przetwarzający przyjmuje Dane Osobowe do przetwarzania i zobowiązuje się je przetwarzać w imieniu Zleceniodawcy na zasadach określonych w niniejszej umowie.
Na powierzone Zleceniobiorcy Dane Osobowe składają się następujące typy danych (np. dane rekrutacyjne, dane kontaktowe, dane przetwarzane w związku z zatrudnieniem):
………………………………....;
…………………………………;
…………………………………..
Operacje przetwarzania Danych Osobowych, do których uprawniony jest Zleceniobiorca obejmują w szczególności (np. gromadzenie danych w formie papierowej, wprowadzanie danych do systemów informatycznych i na nośniki elektroniczne, aktualizacja danych, usuwanie danych itp.) :
…………………………………...;
…………………………………….
lub wersja alternatywna ustępu 4:
Zleceniobiorca jest uprawniony do wykonywania na Danych Osobowych wszelkich zautomatyzowanych lub niezautomatyzowanych operacji przetwarzania uzasadnionych i niezbędnych dla realizacji Usług, które mogą obejmować x.xx.: zbieranie, utrwalanie, organizowanie, porządkowanie, aktualizację, przechowywanie, archiwizowanie, modyfikowanie, pobieranie, kopiowanie, przeglądanie, wykorzystywanie, udostępnianie, usuwanie lub niszczenie.
Zleceniobiorca jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celach związanych z realizacją Usług świadczonych Zleceniodawcy na podstawie Umowy głównej.
Zleceniodawca oświadcza, że spełnił wszelkie warunki legalności przetwarzania Danych Osobowych.
Zleceniodawca powierza Zleceniobiorcy przetwarzanie Danych Osobowych w jego imieniu przez okres obowiązywania niniejszej umowy.
W celu zapewnienia prawidłowej realizacji niniejszej umowy Strony wyznaczają osoby właściwe do kontaktu w sprawach związanych z wykonaniem tej umowy, po jednej osobie z każdej ze Stron oraz ich zastępców w przypadku nieobecności:
Osoby kontaktowe po stronie Zleceniodawcy:
…………………………. – jako główna osoba kontaktowa,
…………………………. – jako osoba zastępująca,
Osoby kontaktowe po stronie Zleceniobiorcy:
…………………………. – jako główna osoba kontaktowa,
…………………………. – jako osoba zastępująca.
§ 4
Dalsze powierzenie przetwarzania danych
Zleceniobiorca nie jest uprawniony do korzystania z usług innego podmiotu przetwarzającego w trakcie realizacji przetwarzania Danych Osobowych na podstawie niniejszej umowy, bez uzyskania uprzedniej pisemnej zgody Zleceniodawcy na dalsze powierzenie ich przetwarzania temu usługodawcy.
Zleceniobiorca jest obowiązany poinformować Zleceniodawcę o każdym planowanym dalszym powierzeniu przetwarzania Danych Osobowych innemu usługodawcy, który
w terminie ……. dni od otrzymania tej informacji udziela zgodę lub wyraża sprzeciw wobec dalszego powierzenia przetwarzania w/w danych usługodawcy wskazanemu przez Zleceniobiorcę.
lub wersja alternatywna ustępu 1 i 2
Zleceniobiorca jest uprawniony do korzystania z usług innego podmiotu przetwarzającego w trakcie realizacji przetwarzania Danych Osobowych na podstawie niniejszej umowy, pod warunkiem poinformowania Zleceniodawcy o każdym planowanym dalszym powierzeniu przetwarzania Danych Osobowych oraz o wszelkich zamierzonych zmianach dotyczących innych podmiotów przetwarzających, w szczególności o zastąpieniu dotychczasowego podmiotu przetwarzającego przez innego usługodawcę lub o rezygnacji z usług innego podmiotu przetwarzającego, z zastrzeżeniem ust. 2.
Zleceniodawca jest uprawniony do wyrażenia sprzeciwu wobec dalszego powierzenia przetwarzania Danych Osobowych usługodawcy wskazanemu przez Zleceniobiorcę w terminie …….. dni od otrzymania od Zleceniobiorcy informacji o planowanym dalszym powierzeniu ich przetwarzania innemu podmiotowi przetwarzającemu lub o zastąpieniu dotychczasowego podmiotu przetwarzającego przez innego usługodawcę. W przypadku złożenia sprzeciwu przez Zleceniodawcę dalsze powierzenie przetwarzania Danych Osobowych przez Zleceniobiorcę podmiotowi objętemu sprzeciwem jest niedopuszczalne.
Zleceniobiorca jest zobowiązany zapewnić, iż inny podmiot przetwarzający, z którego usług zamierza korzystać przy przetwarzaniu Danych Osobowych daje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia (UE) 2016/679 i chroniło prawa osób, których dane dotyczą.
Dalsze powierzenie czynności przetwarzania innemu podmiotowi przetwarzającemu, o którym mowa w § 4 ust. 1, jest możliwe jedynie pod warunkiem nałożenia przez Zleceniobiorcę na ten inny podmiot przetwarzający na mocy umowy tych samych obowiązków ochrony danych jakie spoczywają na Zleceniobiorcy w ramach niniejszej umowy, w szczególności obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom art. 32 Rozporządzenia (UE) 2016/679.
W przypadku, gdy powierzenie przetwarzania Danych Osobowych innemu podmiotowi przetwarzającemu przez Zleceniobiorcę wiąże się z transferem tych danych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony danych osobowych na swoim terytorium i jednocześnie brak jest innych podstaw umożliwiających transfer Danych Osobowych do tego państwa trzeciego, Zleceniodawca podpisze z podmiotem przetwarzającym zlokalizowanym w takim państwie trzecim umowę zawierającą:
„Standardowe Klauzule Umowne” przyjęte na mocy Decyzji Komisji 2010/87/UE z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, bądź
„Standardowe Klauzule Ochrony Danych” przyjęte zgodnie z art. 46 ust. 2 lit. c i d Rozporządzenia (UE) 2016/679
– lub upoważni na piśmie Zleceniobiorcę do podpisania wyżej wskazanej umowy w jego imieniu. Zawarcie takiej umowy z podmiotem przetwarzającym zlokalizowanym w państwie trzecim uprawnia Zleceniobiorcę do korzystania z usług tego podmiotu przetwarzającego przy przetwarzaniu Danych Osobowych.
Umowa, wskazana w ust. 4 i ust. 5 zawierana jest w formie pisemnej albo elektronicznej.
Zleceniobiorca ponosi wobec Zleceniodawcy pełną odpowiedzialność za niewywiązanie się innego podmiotu przetwarzającego, któremu powierzył przetwarzanie Danych Osobowych, ze spoczywających na nim obowiązków ochrony danych. W takim przypadku Zleceniodawca ma prawo żądać zaprzestania korzystania przez Zleceniobiorcę z usług tego podmiotu w procesie przetwarzania Danych Osobowych.
§ 5
Obowiązki Zleceniobiorcy
Zleceniobiorca jest obowiązany przetwarzać Dane Osobowe wyłącznie na udokumentowane polecenie Zleceniodawcy, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, przy czym za udokumentowane polecenie Zleceniodawcy uważa się polecenia przekazywane drogą elektroniczną lub na piśmie. Powyższy obowiązek nie dotyczy sytuacji gdy wymóg przetwarzania Danych Osobowych nakłada na Zleceniobiorcę prawo Unii Europejskiej lub prawo ………………….. (w tym miejscu wskazać prawo państwa członkowskiego, któremu podlega Zleceniobiorca). W takim przypadku przed rozpoczęciem przetwarzania Zleceniobiorca poinformuje Zleceniodawcę o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
Zleceniobiorca jest odpowiedzialny za ochronę powierzonych mu do przetwarzania Danych Osobowych.
Zleceniobiorca podejmuje wszelkie środki wymagane na mocy art. 32 Rozporządzenia (UE) 2016/679 w celu zapewnienia bezpieczeństwa Danych Osobowych.
Zleceniobiorca zapewnia, że osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy Danych Osobowych i środków ich zabezpieczenia zarówno w okresie obowiązywania niniejszej umowy, jaki i po jej rozwiązaniu.
Zleceniobiorca przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w § 4.
Na żądanie Zleceniodawcy, Zleceniobiorca poinformuje Zleceniodawcę o lokalizacji przetwarzania Danych Osobowych przez Zleceniobiorcę oraz inne podmioty przetwarzające, o których mowa w § 4.
Zleceniobiorca, biorąc pod uwagę charakter przetwarzania, jest obowiązany w miarę możliwości pomagać Zleceniodawcy poprzez odpowiednie środki techniczne
i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia (UE) 2016/679.Zleceniobiorca, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Zleceniodawcy wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia (UE) 2016/679.
Zleceniobiorca jest obowiązany udostępnić Zleceniodawcy wszelkie informacje niezbędne do wykazania, iż spełnia obowiązki określone w niniejszym paragrafie umowy oraz umożliwia Zleceniodawcy lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, o których mowa w § 6 i przyczynia się do nich.
W związku z obowiązkiem określonym w ust. 9 Zleceniobiorca niezwłocznie poinformuje Zleceniodawcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie Rozporządzenia (UE) 2016/679 lub innych przepisów Unii Europejskiej lub …………. (w tym miejscu wskazać nazwę państwa członkowskiego, któremu podlega Zleceniobiorca) o ochronie danych.
Zleceniobiorca niezwłocznie poinformuje Zleceniodawcę o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych Osobowych przez Zleceniobiorcę, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych Osobowych, skierowanej do Zleceniobiorcy, a także o wszelkich czynnościach kontrolnych podjętych wobec niego przez organ nadzorczy oraz o wynikach takiej kontroli, jeżeli jej zakresem objęto Dane Osobowe powierzone Zleceniobiorcy na podstawie niniejszej umowy.
Zleceniobiorca po stwierdzeniu naruszenia ochrony Danych Osobowych jest zobowiązany bez zbędnej zwłoki zgłosić je Zleceniodawcy wskazując w zgłoszeniu:
charakter naruszenia ochrony Danych Osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy naruszenie;
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opis możliwych konsekwencji naruszenia ochrony Danych Osobowych;
opis środków zastosowanych lub proponowanych przez Zleceniobiorcę w celu zaradzenia naruszeniu ochrony Danych Osobowych, w tym opis działań podjętych w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
§ 6
Prawo audytu
Zleceniodawca jest uprawniony do przeprowadzenia audytu przetwarzania Danych Osobowych w celu zweryfikowania, czy Zleceniobiorca spełnienia on obowiązki określone w § 5 niniejszej umowy.
Strony ustalają następujące zasady prowadzenia audytu, o którym mowa w ust. 1:
audyt może polegać zarówno na żądaniu przedstawienia dokumentów oraz informacji dotyczących przetwarzania danych, jak i na czynnościach kontrolnych prowadzonych w miejscu przetwarzania danych w trakcie dni roboczych (rozumianych jako dni od poniedziałku do piątku, z wyłączeniem świąt) w godzinach od 10:00 do 16:00, po uprzednim poinformowaniu Zleceniobiorcy drogą elektroniczną na adres
e-mail:……………….. o terminie audytu i jego zakresie, co najmniej na ….. dni przed rozpoczęciem audytu,Zleceniodawca prowadzi audyt osobiście lub za pośrednictwem niezależnych audytorów zewnętrznych, którzy zostali upoważnieni przez Zleceniodawcę do przeprowadzenia audytu w jego imieniu,
w przypadku stwierdzenia w toku audytu naruszenia przez Zleceniobiorcę przepisów
o ochronie danych osobowych Zleceniobiorca zobowiązany jest do zapłaty na rzecz Zleceniodawcy kary umownej w wysokości …….. zł (słownie: ………) za każde naruszenie.
Czynności kontrolne prowadzone w toku audytu, o których mowa w § 6 ust. 2 pkt 1, mogą polegać w szczególności na sporządzaniu:
notatek z przeprowadzonych czynności (w szczególności notatek z odebranych wyjaśnień i przeprowadzonych oględzin);
kopii dokumentów dotyczących przetwarzania Danych Osobowych;
wydruków Danych Osobowych z systemów informatycznych;
wydruków kopii obrazów wyświetlanych na ekranach urządzeń wchodzących w skład systemów informatycznych wykorzystywanych do przetwarzania Danych Osobowych,
kopii zapisów rejestrów systemów informatycznych;
zapisów konfiguracji technicznych środków zabezpieczeń systemów informatycznych, w których odbywa się przetwarzanie Danych Osobowych.
Koszty prowadzenia audytu przez osoby, o których mowa w ust. 2 pkt 2 ponosi Zleceniodawca.
Zleceniodawca dostarcza Zleceniobiorcy kopię raportu z przeprowadzonego audytu. W przypadku stwierdzenia w toku audytu niezgodności działań Zleceniobiorcy z niniejszą umową lub przepisami o ochronie danych osobowych, do których stosowania Zleceniobiorca jest obowiązany, Zleceniobiorca niezwłocznie zapewni zgodność przetwarzania Danych Osobowych z postanowieniami umowy lub przepisami, których naruszenie stwierdzono w raporcie z audytu.
§ 7
Odpowiedzialność Stron
Zleceniobiorca odpowiada za szkody, jakie powstaną u Zleceniodawcy lub osób trzecich w wyniku niezgodnego z niniejszą umową przetwarzania przez Zleceniobiorcę Danych Osobowych.
W przypadku niewykonania lub nienależytego wykonania przez Zleceniobiorcę niniejszej umowy, Zleceniobiorca zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 8
Postanowienia końcowe
Niniejsza umowa zostaje zawarta na czas obowiązywania Umowy głównej.
Wypowiedzenie Xxxxx głównej skutkuje równoczesnym wypowiedzeniem niniejszej umowy.
W przypadku gdy wyniki audytu, o którym mowa w § 6 lub kontroli przeprowadzonej przez organ nadzoru u Zleceniobiorcy lub innego podmiotu przetwarzającego, któremu Zleceniobiorca powierzył przetwarzanie Danych Osobowych wykażą, iż Zleceniobiorca w sposób zawiniony naruszył postanowienia niniejszej umowy, lub w przypadku nieuwzględnienia przez Zleceniobiorcę żądania, o którym mowa w § 4 ust. 7, Zleceniodawca jest uprawniony do wypowiedzenia tej umowy ze skutkiem natychmiastowym.
W przypadku zakończenia trwania niniejszej umowy, Zleceniobiorca zależnie od decyzji Zleceniodawcy usuwa lub zwraca Zleceniodawcy wszelkie nośniki zawierające Dane Osobowe oraz niezwłocznie i nieodwracalnie niszczy wszelkie kopie dokumentów i zapisów na wszelkich nośnikach, zawierających Dane Osobowe – jeśli nośniki te nie podlegają zwrotowi do Zleceniodawcy, chyba że prawo Unii Europejskiej lub prawo ………………. (w tym miejscu wskazać prawo państwa członkowskiego, któremu podlega Zleceniobiorca) nakazują Zleceniobiorcy dalsze przechowywanie Danych Osobowych. W takim przypadku za przetwarzanie w/w danych po zakończeniu trwania niniejszej umowy Zleceniobiorca odpowiada jak administrator.
Zleceniodawca jest obowiązany niezwłocznie wykonać obowiązek, o którym mowa w ust. 4, nie później jednak niż w terminie 14 dni od zakończenia trwania niniejszej umowy, jak również poinformować o tym Zleceniodawcę na piśmie w terminie 3 dni od jego wykonania.
Wszelkie zmiany lub uzupełnienia w niniejszej umowie wymagają zachowania formy pisemnej pod rygorem nieważności.
W kwestiach nie uregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu Cywilnego oraz Rozporządzenia (UE) 2016/679.
Wszelkie spory wynikłe ze stosunku prawnego objętego niniejszą umową rozpatrywane będą przez sąd właściwy dla siedziby Zleceniodawcy.
Umowę sporządzono w trzech jednobrzmiących egzemplarzach, po jednym dla :
Zleceniodawcy;
Zleceniobiorcy;
Inspektora Ochrony Danych (IOD) w ZDM.
Zleceniodawca Zleceniobiorca
……………………….. …………………………
10 z10