UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta (data i miejsce)
§1.
Strony umowy
Stronami niniejszej umowy są:
1. 1 dalej zwany Administratorem.
2. 2 dalej zwany Podmiotem przetwarzającym.
§2.
Przedmiot umowy
1. Przedmiotem niniejszej umowy jest powierzenie przez Administratora Podmiotowi Przetwarzającemu przetwarzania danych osobowych w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwanego RODO.
2. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane3
……………… dotyczące4 ……………. w postaci 5
3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu 6
§3.
Oświadczenia stron umowy
1. Podmiot przetwarzający oświadcza, że jest w stanie zapewnić odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający oświadcza, że nie będzie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora (podpowierzenie przetwarzania danych).
1 Należy podać dane podmiotu który umowę zawiera, w szczególności: firma spółki, siedziba, adres, numer pod którym spółka jest wpisana do rejestru; NIP. W przypadku osób fizycznych prowadzących działalność gospodarczą imię nazwisko adres zamieszkania osoby fizycznej, PESEL, firma pod jaką działalność jest prowadzona oraz adres głównego miejsca wykonywania działalności)
2 J.w.
3 Należy podać rodzaje danych osobowych (dane zwykłe lub szczególne – art. 9 RODO)
4 Należy podać kategorie osób, których dane będą przetwarzane, np. pracowników, klientów, współpracowników, kontrahentów Administratora
5 Należy podać rodzaje przetwarzanych danych osobowych np. imion i nazwisk, adresu zamieszkania, nr PESEL, nr NIP, nr KW
6 Należy podać cel przetwarzania danych przez podmiot przetwarzający, np. w celu realizacji umowy z dnia …… o świadczenie usług księgowych, w celu realizacji umowy z dnia ……. o realizację projektu branżowego
§4.
Prawa i obowiązki Administratora
1. Administrator ma prawo do dokonywania kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy. W szczególności w tym celu Administrator może żądać od Podmiotu przetwarzającego stosownych wyjaśnień w zakresie sposobu przetwarzania przez niego danych osobowych.
2. Administrator realizować będzie prawo kontroli w formie bezpośredniej w godzinach pracy Podmiotu przetwarzającego i z minimum 3 dniowym jego uprzedzeniem. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora.
3. Administrator zobowiązany jest do współdziałania z Podmiotem przetwarzającym w zakresie przetwarzania danych oraz wywiązywania się z obowiązków wynikających z RODO.
4. Administrator, w przypadku wyrażenia ogólnej pisemnej zgody na podpowierzenie przetwarzania danych, uprawniony jest do wyrażenia sprzeciwu wobec planowanych przez Podmiot przetwarzający zmian dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. Sprzeciw winien być wyrażony w formie mailowej w terminie nie dłuższym niż 3 dni od dnia otrzymania informacji o zamiarze podpowierzenia.
§5.
Prawa i obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający uprawniony jest do przetwarzania danych wyłącznie w zakresie polecenia wynikającego z przedmiotu niniejszej umowy. W przypadku, gdy odmienny zakres przetwarzania danych wynika z obowiązku nałożonego na Podmiot przetwarzający przez prawo Unii Europejskiej lub prawo polskie, Podmiot przetwarzający zobowiązany jest do poinformowania Administratora o tym obowiązku prawnym, chyba że prawo zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
4. W przypadku wyrażenia ogólnej pisemnej zgody przez Administratora na podpowierzenie przetwarzania danych osobowych Podmiot przetwarzający zobowiązany jest do informowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. W takim wypadku Podmiot przetwarzający przekazuje również Administratorowi informacje na temat sposobu zapewnienia zgodności przetwarzania danych z RODO w ramach podpowierzenia przez inny podmiot przetwarzający.
5. Podmiot przetwarzający zobowiązuje się do udzielenia upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
6. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
9. W miarę możliwości Podmiot przetwarzający udzieli niezbędnej pomocy Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz z obowiązków określonych w art. 32-36 RODO, jeżeli dany obowiązek się zaktualizuje, a polegających na:
a. Stosowaniu odpowiednich środków technicznych i organizacyjnych (w trybie określonym w art. 32 RODO)
b. Zgłaszaniu naruszenia ochrony danych osobowych (w trybie określonym przez art. 33 RODO)
c. Zawiadamianiu osób, których dane dotyczą o naruszeniu ochrony danych (w trybie określonym przez art. 34 RODO)
d. Ocenie skutków przetwarzania dla ochrony danych osobowych (w trybie określonym przez art. 35 RODO)
e. Uprzednich konsultacjach z organem nadzorczym (w trybie określonym przez art. 36 RODO)
10. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza to Administratorowi niezwłocznie, jednak nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, a w razie zgłoszenia po tym czasie, informuje również Administratora o przyczynach późniejszego zgłoszenia.
11. Podmiot przetwarzający zobowiązany jest do współdziałania z Administratorem w zakresie przetwarzania danych oraz wywiązywania się z obowiązków wynikających z RODO.
§6.
Czas trwania umowy
1. Niniejsza umowa zawarta jest na czas oznaczony/nieoznaczony7.
2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem 1 miesięcznego terminu wypowiedzenia8.
3. Administrator może wypowiedzieć niniejszą umowę ze skutkiem natychmiastowym w przypadku:
a. Nieusunięcia przez Podmiot przetwarzający nieprawidłowości w przetwarzaniu danych w terminie wskazanym przez Administratora
b. Powierzenia przetwarzania danych innemu podmiotowi przetwarzającemu bez zgody Administratora
7 Wedle wyboru, możliwe jest również ujednolicenie czasu trwania umowy o powierzenie przetwarzania danych osobowych z czasem trwania umowy, której przetwarzanie danych ma służyć, np. umowy o świadczenie usług księgowych
8 Aktualne tylko w wypadku umowy zawartej na czas nieoznaczony.
§7.
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora.