Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 3 do Umowy
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu r. w Warszawie
pomiędzy:
Miastem Stołecznym Warszawa w imieniu i na rzecz którego działa Zarząd Transportu Miejskiego, xx. Xxxxxxx 00, zwany dalej „ZTM”, 00-848 Warszawa, reprezentowanym na podstawie pełnomocnictwa nr ……………… z dnia r. udzielonego
Panu Zarządu Transportu Miejskiego,
zwanym dalej „Administratorem” lub „ZTM” a
…………..…………. z siedzibą w ………… …………., przy ………………., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem ,
prowadzonego przez Sąd Rejonowy dla x.xx. ………………. w Warszawie, Wydział
Gospodarczy Krajowego Rejestru Sądowego, NIP …………., REGON ;
reprezentowaną przez
Pana ,
zwaną dalej „Podmiotem przetwarzającym”
zwanymi dalej łącznie „Stronami”, zaś oddzielnie „Stroną”.
PREAMBUŁA
Zważywszy, że:
1) Strony zawarły w dniu . . r. umowę, której przedmiotem jest świadczenie usługi pod nazwą „Konserwacja i naprawa systemów zabezpieczenia technicznego”, zwaną dalej „Umową główną”;
2) wykonanie przedmiotu Umowy głównej wiąże się z przetwarzaniem danych osobowych, których administratorem jest ZTM;
3) celem Umowy powierzenia przetwarzania danych osobowych jest ustalenie zasad i warunków, na jakich Podmiot przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora;
4) Strony, zawierając Umowę powierzenia dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom
rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1 oraz Dz. Urz. UE L 127 z 00 xxxx 0000 x., xxx. 0);
Strony zgodnie postanowiły, co następuje.
§ 1
DEFINICJE
O ile Umowa powierzenia przetwarzania danych osobowych nie stanowi inaczej, zastosowane definicje będą miały następujące znaczenie:
Umowa niniejsza Umowa powierzenia przetwarzania danych
osobowych;
Umowa główna umowa z dnia zawarta między Stronami, której
przedmiotem jest „Monitorowanie obiektów z interwencją”.
Dane osobowe, Xxxx dane osobowe w rozumieniu art. 4 pkt 1 RODO;
RODO rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, s. 1 oraz Dz. Urz. UE L. 127 z 00 xxxx 0000 x., xxx. 2), dalej:
„RODO”;
Zbiór zbiór danych osobowych; oznacza uporządkowany zestaw Danych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
Podwykonawca podmiot, któremu Podmiot przetwarzający powierzył
przetwarzanie Danych osobowych;
Umowa podpowierzenia umowa podpowierzenia przetwarzania danych osobowych
zawarta przez Podmiot przetwarzający z Podwykonawcą zgodnie z § 7 ust. 4 niniejszej Umowy;
Organ Nadzorczy oznacza niezależny organ publiczny ustanowiony przez
państwo członkowskie zgodnie z art. 51 RODO;
Dzień roboczy oznacza dowolny dzień, za wyjątkiem sobót, niedziel lub
innych dni, które są dniami wolnymi od pracy w Polsce w rozumieniu ustawy z dnia 18 stycznia 1951 r. o dniach wolnych od pracy.
§ 2
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. ZTM oświadcza, że jest Administratorem, w rozumieniu art. 4 pkt 7 RODO, w zakresie danych osobowych wskazanych w § 3 Umowy.
2. W związku z zawarciem Umowy głównej Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 RODO, dane osobowe i poleca ich przetwarzanie w imieniu Administratora, na zasadach i w celu określonym w Umowie.
3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa i wolności osób, których dane dotyczą.
4. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi RODO.
§ 3
CEL, ZAKRES I CHARAKTER PRZETWARZANIA DANYCH
1. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania Dane z niżej wymienionych Zbiorów:
1) Pracownicy;
2) Współpracownicy;
3) Monitoring.
2. Zakres Danych powierzonych przez ZTM obejmuje:
1) w odniesieniu do Zbiorów, o których mowa w 3 ust. 1 pkt 1 i 2:
a) imię i nazwisko;
b) miejsce zatrudnienia;
c) numer telefonu służbowego;
d) adres służbowej poczty elektronicznej;
e) numer karty zbliżeniowej.
2) w odniesieniu do Zbioru, o którym mowa w 3 ust. 1 pkt 3:
a) dane zwykłe, w zakresie: wizerunek, zachowanie osób, których wizerunek utrwalono, czas i miejsce zdarzenia;
b) szczególne kategorie danych osobowych, w zakresie danych dotyczących: zdrowia, pochodzenia rasowego lub etnicznego oraz przekonań religijnych.
3. Przetwarzanie danych osobowych będzie dotyczyć następujących kategorii osób: pracownicy i współpracownicy ZTM, pracownicy podmiotów współpracujących z ZTM, osoby odwiedzające obiekty ZTM (interesanci, pasażerowie).
4. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu należytego wykonania przedmiotu Umowy głównej.
5. Przetwarzanie danych osobowych będzie miało charakter elektroniczny, papierowy, wielokrotny powtarzający się w okresie trwania Umowy głównej.
§ 4
OBOWIĄZKI PRZETWARZAJĄCEGO
1. Podmiot przetwarzający oświadcza, że dysponuje doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającym mu prawidłowe wykonanie Umowy, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z aktualnymi przepisami o ochronie danych osobowych. Jednocześnie oświadcza, że zapewni wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odpowiadało wymogom RODO.
2. W szczególności, Podmiot przetwarzający oświadcza i gwarantuje, że:
1) spełnia wymagania określone w aktualnych przepisach o ochronie danych osobowych, tzn. spełnia wymagania określone w RODO, w szczególności zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO, by przetwarzanie spełniało wymogi RODO, w tym art. 25 i 32 i chroniło prawa i wolności osób, których dane dotyczą;
2) osoby, które w ramach realizacji przedmiotu Umowy głównej będą przetwarzać dane osobowe:
a) spełniają wymagania aktualnych przepisów o ochronie danych osobowych, w szczególności w zakresie znajomości tych przepisów i są upoważnione przez Podmiot przetwarzający do przetwarzania danych osobowych, zgodnie z tymi przepisami;
b) zapoznały się z wewnętrznymi regulacjami dotyczącymi ochrony danych osobowych;
c) zobowiązały się do bezterminowego zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b) RODO, w związku z przetwarzaniem danych osobowych w celu realizacji przedmiotu Umowy głównej, tzn. bezterminowego zachowania w tajemnicy danych osobowych oraz informacji dotyczących sposobów ich zabezpieczania, bez względu na rodzaj stosunku prawnego łączącego te osoby z Podmiotem przetwarzającym;
3) będzie prowadził i aktualizował rejestr osób upoważnionych do przetwarzania danych osobowych.
3. Podmiot przetwarzający oświadcza, że:
- nie posiada / posiada Inspektora Ochrony Danych, o którym mowa w aktualnych przepisach o ochronie danych osobowych;
- zatrudnia Specjalistę do spraw Ochrony Danych Osobowych;
- gwarantuje, że w przypadku jakiejkolwiek zmiany w powyższym zakresie w trakcie okresu trwania Umowy, powiadomi o tym fakcie Administratora w formie pisemnej, bez zbędnej zwłoki.
4. Podmiot przetwarzający zobowiązuje się w szczególności, do:
1) podjęcia, przed rozpoczęciem przetwarzania powierzonych danych osobowych, środków zabezpieczających dane osobowe oraz spełnienia wymagań, o których mowa w ust. 1 i 2 powyżej;
2) przetwarzania powierzonych danych osobowych:
a) wyłącznie w celu i zakresie określonym w § 3 ust. 2-4 Umowy,
b) nie dłużej, niż jest to konieczne do realizacji przedmiotu Umowy głównej,
c) z zapewnieniem wymagań, o których mowa w ust. 1 i 2 powyżej.
3) wspomagania Administratora – poprzez odpowiednie środki techniczne i organizacyjne, z uwzględnieniem charakteru przetwarzania danych osobowych:
a) w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w RODO;
b) w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO (ochrona danych, zgłaszanie naruszeń Organowi Nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z Organem Nadzorczym), w zakresie posiadanych informacji.
5. Podmiot przetwarzający zobowiązuje się niezwłocznie, a najpóźniej w terminie do 72 godzin od wystąpienia zdarzenia, zawiadamiać Administratora o każdym:
1) żądaniu udostępnienia powierzonych danych osobowych;
2) udostępnieniu powierzonych danych osobowych uprawnionemu podmiotowi;
3) żądaniu osoby, której dane dotyczą, związanym z wypełnianiem jej praw wynikających z RODO.
6. Podmiot przetwarzający powiadamia Administratora o każdym naruszeniu ochrony powierzonych mu danych osobowych bez zbędnej zwłoki, nie później jednak niż do 24 godzin od stwierdzenia naruszenia, umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających oraz informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o charakterze naruszenia oraz o możliwych jego konsekwencjach. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane na formularzu, którego wzór stanowi Załącznik nr 3 do Umowy wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia Organu Nadzorczego.
7. Podmiot przetwarzający przetwarza dane osobowe wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora. Jeżeli Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
8. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Podmiot przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić
Administratorowi realną możliwość reagowania, jeżeli planowane przez Podmiot przetwarzający zmiany w opinii Administratora grożą obniżeniem uzgodnionego poziomu bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych powierzonych Podmiotowi przetwarzającemu.
9. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych (wymóg art. 30 ust. 2 RODO). Podmiot przetwarzający udostępniania na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych osobowych, z wyłączeniem informacji stanowiących tajemnice innych kontrahentów Podmiotu przetwarzającego.
10. Podmiot przetwarzający w terminie 14 dni od zakończenia obowiązywania Umowy głównej zwraca Administratorowi wszelkie uzyskane na podstawie Umowy materiały zawierające dane osobowe, oraz usuwa ze swoich zasobów wszelkie ich istniejące kopie, chyba że przepisy prawa nakładają na Podmiot przetwarzający inny obowiązek w tym zakresie, o czym Podmiot przetwarzający poinformuje pisemnie Administratora, wskazując te przepisy. Na żądanie Administratora Podmiot przetwarzający niezwłocznie złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych osobowych.
§ 5
ODPOWIEDZIALNOŚĆ PODMIOTU PRZETWARZAJĄCEGO
1. Jako podmiot, któremu Administrator powierza i poleca przetwarzanie danych osobowych, Podmiot przetwarzający ponosi odpowiedzialność w zakresie przestrzegania aktualnych przepisów o ochronie danych osobowych, w zakresie obowiązków, jakie RODO nakłada na Podmiot przetwarzający oraz przez cały okres trwania Umowy.
2. Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem lub zaniechaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Podmiot przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
3. Podmiot przetwarzający – odpowiednio do okresu trwania Umowy – zgodnie z art. 28 ust. 10 i art. 82 ust. 2 RODO ponosi odpowiedzialność za szkody, jakie z jego winy powstaną po stronie Administratora w wyniku przetwarzania danych osobowych niezgodnego z Umową lub aktualnymi przepisami prawa o ochronie danych osobowych.
4. Podmiot przetwarzający jest zobowiązany do niezwłocznego informowania Administratora o wszelkich zapytaniach kierowanych do Podmiotu przetwarzającego ze strony uprawnionych organów kontrolnych w sprawie realizacji Umowy głównej w zakresie ochrony danych osobowych lub Umowy oraz o zapowiedzianych lub rozpoczynających się u niego kontrolach w tym zakresie, jak również o stwierdzonych nieprawidłowościach.
5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, o których mowa w Umowie, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podwykonawcę spoczywa na Podmiocie przetwarzającym.
6. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.
§ 6
OBOWIĄZKI I PRAWA ADMINISTRATORA
1. Administratorowi przysługuje prawo do:
1) kontroli, zgodnie z art. 28 ust. 3 lit. h RODO, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy, w tym żądania przedłożenia dokumentów, których posiadanie i prowadzenie przez podmiot przetwarzający wynika wprost z RODO;
2) żądania wstrzymania przetwarzania danych osobowych w przypadku przetwarzania ich niezgodnie z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej – w zakresie ochrony danych osobowych oraz Umowy;
3) żądania natychmiastowego zwrotu Administratorowi powierzonych danych, w przypadku, o którym mowa w pkt 2.
2. Kontrola będzie przeprowadzona po uprzednim zawiadomieniu Podmiotu przetwarzającego o terminie kontroli. Kontrola przeprowadzona będzie w godzinach pracy Podmiotu przetwarzającego.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w nieprzekraczalnym terminie 7 dni roboczych od daty przekazania przez Administratora poleceń dotyczących usunięcia uchybień.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji. Podmiot przetwarzający zobowiązuje się przyczyniać się do tych czynności.
5. Podmiot przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie w ramach działań, o którym mowa w ust. 3 stanowić będzie naruszenie aktualnych przepisów o ochronie danych osobowych.
6. Przed przystąpieniem do podpisania Umowy głównej Administrator weryfikuje, czy Podmiot przetwarzający daje rękojmię bezpiecznego i zgodnego z prawem przetwarzania danych osobowych.
7. Weryfikacja, o której mowa w punkcie powyżej następuje przy wykorzystaniu
„Formularza oceny Podmiotu przetwarzającego”, stanowiącego załącznik nr 1 do Umowy, który to dokument wypełnia Podmiot przetwarzający.
§ 7
TRANSFER I DALSZE POWIERZENIE PRZETWARZANIA DANYCH
1. Podmiot przetwarzający nie ma zgody Administratora na transfer danych osobowych do państwa nienależącego do Europejskiego Obszaru Gospodarczego (państwa trzeciego) lub organizacji międzynarodowej, w rozumieniu aktualnych przepisów o ochronie danych osobowych.
2. Podmiot przetwarzający może powierzyć dane osobowe objęte Umową do dalszego przetwarzania kolejnemu podmiotowi – Podwykonawcy, jedynie w ściśle określonym celu i zakresie, wyłącznie pod warunkiem uprzedniego poinformowania Administratora w formie pisemnej o zamiarze wyboru Podwykonawcy i uzyskania na to pisemnej szczegółowej zgody Administratora, a dokument ten stanowi integralną część Umowy. Wzór wykazu dalszych podmiotów przetwarzających stanowi załącznik nr 2 do Umowy.
3. Podwykonawca winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w Umowie.
4. W przypadku powierzenia przetwarzania danych osobowych przez Podmiot przetwarzający Podwykonawcy, zgodnie z ust. 2, Podmiot przetwarzający:
1) zawiera z Podwykonawcą, na piśmie, odrębną Umowę podpowierzenia, z określeniem stosownego do niniejszej Umowy celu, zakresu i czasu przetwarzania danych osobowych oraz rodzaju danych osobowych i kategorii osób, których te dane dotyczą;
2) bierze na siebie pełną odpowiedzialność za działania Podwykonawcy niezgodne z aktualnymi przepisami o ochronie danych osobowych lub postanowieniami Umowy głównej – w zakresie ochrony danych osobowych oraz Umowy, a Stroną dla Administratora, w ewentualnych sporach wynikających z niewłaściwego wykonania przez Podwykonawcę tej umowy, jest zawsze Podmiot przetwarzający;
3) działa, w stosunku do Podwykonawcy, jak administrator danych (powierzonych danych osobowych), a Podwykonawca pełni rolę podmiotu przetwarzającego;
4) zawiera w Umowie podpowierzenia postanowienie dotyczące posiadania przez Administratora uprawnień wobec Podwykonawcy, tożsamych z uprawnieniami jakie Administrator posiada w stosunku do Podmiotu przetwarzającego, w tym prawa do kontroli Podwykonawcy;
5) zawiera w Umowie podpowierzenia postanowienie, zgodnie z którym Podwykonawca – bez uszczerbku dla zobowiązań Podmiotu przetwarzającego – przyjmuje na siebie całość tych obowiązków, jakie ciążą na Podmiocie przetwarzającym, a wynikających z aktualnych przepisów o ochronie danych
osobowych oraz niniejszej Umowy, w szczególności obowiązki określone w § 4 Umowy;
6) przekazuje Administratorowi kopię Umowy podpowierzenia zawartej z Podwykonawcą celem załączenia do Umowy powierzenia, jako jej integralnej części.
5. Podmiot przetwarzający, w przypadku gdy w Umowie podpowierzenia dopuszcza, za zgodą Administratora, kolejne podpowierzenia, zapewnia Administratorowi posiadanie przez niego, na każdym etapie realizacji niniejszej Umowy, aktualnego wykazu wszystkich Podwykonawców.
§ 8
CZAS TRWANIA UMOWY
1. Umowę zawarto na czas obowiązywania Umowy głównej.
2. Administrator może rozwiązać Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z Umową;
3) powierzył przetwarzanie danych osobowych Podwykonawcy bez zgody Administratora.
4) zawiadomi Administratora o swojej niezdolności do dalszego wykonywania Umowy, a w szczególności niespełnienia wymagań określonych w § 4 Umowy.
3. Każda ze stron jest uprawniona do rozwiązania Umowy z zachowaniem jednomiesięcznego okresu wypowiedzenia, ze skutkiem na koniec miesiąca.
4. W przypadku rozwiązania Umowy rozwiązaniu ulega Umowa główna.
§ 9
KARY UMOWNE
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z Umową. W takim przypadku Administrator jest uprawniony do nałożenia na Podmiot przetwarzający kary umownej w wysokości zł (słownie złotych:
i 00/100) za każdy stwierdzony i udowodniony przypadek naruszenia ochrony, o którym mowa w zdaniu pierwszym.
2. Podmiot przetwarzający w przypadku niedopełnienia obowiązku określonego w § 4 ust. 5 będzie zobowiązany do zapłaty na rzecz Administratora kary umownej w wysokości zł (słownie złotych: i 00/100) za każdy rozpoczęty dzień opóźnienia.
3. Podmiot przetwarzający w przypadku niedopełnienia obowiązku określonego w § 4 ust. 6 będzie zobowiązany do zapłaty na rzecz Administratora kary umownej
w wysokości
opóźnienia.
zł (słownie złotych:
i 00/100) za każdy dzień
4. Kary umowne przewidziane w niniejszym paragrafie podlegają sumowaniu, co oznacza, że naliczenie kary umownej z jednego tytułu nie wyłącza możliwości naliczenia kary umownej z innego tytułu, jeżeli istnieją ku temu podstawy.
5. Podmiot przetwarzający jest zobowiązany do zapłaty kar umownych, o których mowa powyżej, w terminie 14 dni od dnia otrzymania od Administratora wezwania do zapłaty kary umownej.
6. Administrator jest uprawniony do dochodzenia odszkodowania przewyższającego wysokość kar umownych na zasadach ogólnych.
§ 10
POSTANOWIENIA KOŃCOWE
1. Do kontaktów wyznaczono:
1) po stronie Administratora:
imię i nazwisko: …………………
nr tel.: ……………………………
e-mail: ……………………………
2) po stronie Podmiotu przetwarzającego: imię i nazwisko: ………………………
nr tel.: ……………………….
e-mail: ,
2. Zmiana osób i danych, o których mowa w ust. 1, nie stanowi zmiany treści Umowy i nie wymaga sporządzenia aneksu. Każda ze Stron zobowiązuje się do pisemnego (dozwolona wersja elektroniczna) powiadomienia drugiej Strony o zaistniałej zmianie.
3. Wszelkie zmiany i uzupełnienia postanowień Umowy wymagają, z zastrzeżeniem ust. 2, formy pisemnej pod rygorem nieważności.
4. Prawem właściwym dla Umowy jest prawo polskie.
5. Strony zobowiązują się dołożyć należytych starań w celu polubownego rozwiązywania wszelkich sporów wynikających z Umowy.
6. Spory, których Stronom nie uda się rozwiązać polubownie w terminie 30 dni od daty ich powstania (tj. od daty powiadomienia drugiej Strony o możliwości poddania sporu pod rozstrzygnięcie sądu) będą rozstrzygane przez sąd właściwy dla siedziby Administratora.
7. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
………………………………. ……………………………………….
Administrator Podmiot przetwarzający
Załącznik nr 1
do Umowy powierzenia przetwarzania danych osobowych
z dnia ……………………………
Formularz oceny Podmiotu przetwarzającego
1. Cel i zastosowanie dokumentu
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) nakłada na ZTM obowiązek weryfikacji podmiotów przetwarzających, którym ZTM powierza przetwarzanie danych osobowych pod kątem zapewnienia przez nich wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu właściwą ochronę powierzonych danych osobowych.
Dokument ma zastosowanie wyłącznie do podmiotów przetwarzających dane osobowe na pisemne polecenie ZTM w związku z podpisaną między stronami umową powierzenia danych osobowych do przetwarzania.
Podmiot przetwarzający wypełnia dokument zgodnie ze stanem faktycznym i za dane w nim zawarte bierze pełna odpowiedzialność.
Podmiot przetwarzający wskazuje w tabeli, informacje oraz zabezpieczenia techniczne i organizacyjne dotyczące wyłącznie zleconych mu do przetwarzania danych osobowych przez ZTM.
2. Tabela oceny podmiotu przetwarzającego (wypełnia podmiot przetwarzający)
L.p. | Pytania | Odpowiedzi |
Bezpieczeństwo fizyczne (środki techniczne i organizacyjne) | ||
1 | Czy są wewnętrzne procedury bezpieczeństwa fizycznego uwzględniające bezpieczeństwo przetwarzanych danych osobowych? Jeśli tak, to proszę je wymienić. | |
2 | Czy dostęp do pomieszczeń, w których przetwarzane są dane osobowe jest zabezpieczony? Jeśli tak, to w jaki sposób? | |
3 | Czy na terenie, na którym przetwarzane są dane osobowe jest zainstalowany monitoring wizyjny i przez jaki czas przechowywane są nagrania? | |
4 | Czy na terenie, na którym przetwarzane są dane osobowe istnieje elektroniczny system kontroli dostępu? Jeśli nie, to w jaki sposób kontrolowany jest dostęp do pomieszczeń? | |
5 | Czy na terenie, na którym przetwarzane są dane osobowe jest ochrona fizyczna? Jeśli nie, to w jaki sposób chroniony jest ten teren? | |
6 | Czy na terenie, na którym przetwarzane są dane osobowe jest zainstalowany system alarmowy? Jeśli nie, to w jaki sposób chroniony jest ten teren? | |
7 | Czy na terenie, na którym przetwarzane są dane osobowe czynności sprzątające wykonuje firma zewnętrzna? Jeśli tak jakie zastosowano zabezpieczenia przed dostępem osób nieupoważnionych do danych osobowych? | |
Bezpieczeństwo informatyczne | ||
1 | Czy dane osobowe będą przetwarzane poza granicami Unii Europejskiej i Europejskiego Obszaru Gospodarczego? Jeśli tak, to proszę podać w jakich państwach. | |
2 | Czy Podmiot przetwarzający wykorzystuje techniki kryptograficzne? Jeśli tak, to jakie? | |
3 | Czy dane osobowe będą przetwarzane na przenośnych nośnikach danych? Jeśli tak, to jak je zabezpieczono? | |
4 | Czy zastosowano zabezpieczenie przed złośliwym oprogramowaniem? Jeśli tak, to jakie? | |
5 | Czy zastosowana jest polityka haseł? Jeśli tak, to w jaki sposób? | |
6 | Jakie zabezpieczenia zastosowano na styku z siecią publiczną (internet)? | |
7 | Czy dane będą przetwarzane w chmurze, z wykorzystaniem usługi hostingu, lub w inny sposób przetwarzane przez podmioty trzecie? | |
Bezpieczeństwo organizacyjne | ||
1 | Czy został wyznaczony Inspektor Ochrony Danych? Jeśli tak, to podaj jego imię, nazwisko oraz dane kontaktowe (adres e-mail i numer telefonu). | |
2 | Czy Podmiot przetwarzający ma zamiar podpowierzyć przekazane mu przez ZTM dane osobowe innym podmiotom? Jeśli tak, to proszę o ich wylistowanie (nazwa i adres). | |
3 | Czy wszystkie osoby przetwarzające dane osobowe przeszły odpowiednie przeszkolenie i zostały upoważnione do przetwarzania danych osobowych? | |
4 | Czy Podmiot przetwarzający posiada procedury dotyczące bezpiecznego przetwarzania danych osobowych? Jeśli tak, to proszę je wymienić. | |
5 | Czy Podmiot przetwarzający stosuje anonimizację, pseudonimizację, lub szyfrowanie? Jeśli tak, to proszę wskazać w jakim zakresie. | |
6 | W jaki sposób zapewniana jest zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania? | |
7 | W jaki sposób zapewniana jest zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego? |
3. Ocena Podmiotu przetwarzającego (wypełnia pracownik ZTM)
Po analizie tabeli samooceny Podmiotu przetwarzającego stwierdzam, że Podmiot przetwarzający daje / nie daje* gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu właściwą ochronę powierzonych danych osobowych. | …………………………………………………………… Pieczątka i czytelny podpis pracownika ZTM (właściciela biznesowego) …………………………………………………………… Pieczątka i czytelny podpis Inspektor Ochrony Danych ZTM |
*wskazać nazwę systemu informatycznego i niepotrzebne skreślić
Załącznik nr 2
do Umowy powierzenia przetwarzania danych osobowych
z dnia ………………………….
……………………, dn. r.
Wykaz
dalszych podmiotów przetwarzających,
którym przetwarzanie Danych osobowych powierzyła ………………...
1. ………………………………………………………………………………
2. ………………………………………………………………………………
[podpis osoby uprawnionej
do reprezentowania Podmiotu przetwarzającego]
Załącznik nr 3
do umowy
powierzenia przetwarzania danych osobowych z dnia ………………………….
…………………………, dn. r.
FORMULARZ
ZGŁOSZENIA NARUSZENIA DLA PODMIOTU PRZETWARZAJĄCEGO
Działając na podstawie art. 33 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego prze- pływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz zgodnie z umową z dnia , niniejszym zgłaszam
zajście incydentu naruszenia ochrony danych osobowych.
Dane Podmiotu przetwarzającego | |
Dane kontaktowe IOD Podmiotu przetwarzającego lub inny punkt kontaktowy Podmiotu przetwarzającego | |
Miejsce i dzień naruszenia | |
Kategoria i przybliżona liczba osób, których dane dotyczą | |
Kategorie i przybliżona liczba wpisów danych osobowych, których dotyczy naruszenie | |
Opis charakteru naruszenia ochrony danych | |
Możliwe konsekwencje naruszenia ochrony danych | |
Środki zastosowane w celu zminimalizowania ewentualnych negatywnych skutków naruszenia ochrony danych |
[podpis osoby uprawnionej
do reprezentowania Podmiotu przetwarzającego]