Umowa powierzenia przetwarzania danych osobowych zawarta w dniu r. w Gdańsku pomiędzy:
Umowa powierzenia przetwarzania danych osobowych zawarta w dniu r. w Gdańsku pomiędzy:
Gminą Miasta Gdańsk (NIP 000-00-00-000) z siedzibą w Gdańsku (80-803) przy ul. Nowe Ogrody 8/12, w imieniu której działa Gdańskie Centrum Usług Wspólnych, xx. xxxxxxxx Xxxxxx Xxxxxxx 00/00, 00-000 Xxxxxx, reprezentowane przez:
……………….. – Dyrektora zwaną dalej „Powierzającym” a
………………………., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy
…………. w ………….., VII Wydział Gospodarczy pod nr KRS …………., REGON , reprezentowaną
przez:
……………. – …………………….
zwanym dalej „Przetwarzającym” o następującej treści:
Niniejsza umowa stanowi załącznik nr 1 do umowy nr …………. z dnia r. zawartą pomiędzy Gminą
Miasta Gdańska (NIP 000-00-00-000) z siedzibą w Gdańsku (80-803) przy ul. Nowe Ogrody 8/12, w imieniu której działa Gdańskie Centrum Usług Wspólnych, al. generała Xxxxxx Xxxxxxx 16/18, 80-246 Gdańska, a
……………………………………………………………………………………………………………………, w wyniku przeprowadzenia ogłoszenia o zamówieniu na usługi społeczne o wartości poniżej 750 000 euro na zadanie pod nazwą „Świadczenie obsługi prawnej Gdańskiego Centrum Usług Wspólnych i jednostek przez nie obsługiwanych” pod numerem , zwanej dalej Umową odrębną.
§ 1
Powierzenie przetwarzania danych osobowych
1. Powierzający działając na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO, z dnia 27 kwietnia 2016 r. (Dz. Urz. UE.L Nr 119, str. 1) powierza Przetwarzającemu przetwarzanie danych osobowych - w zakresie i celu określonym w § 2 oraz zgodnie z warunkami określonymi niniejszą Umową.
2. Powierzający oświadcza, że jest administratorem danych, które powierza lub posiada upoważnienie do przetwarzania danych osobowych, o których mowa w niniejszej Umowie, w tym do powierzenia przetwarzania danych osobowych w zakresie określonym niniejszą Umową.
3. Przetwarzający gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia podczas realizacji niniejszej umowy, przetwarzania danych zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO, z dnia 27 kwietnia 2016 r. (Dz. Urz. UE.L Nr 119, str. 1) i odpowiada za zaniechania dotyczące właściwego przetwarzania danych osobowych. W przypadku konieczności zmian lub uzupełnienia umowy w związku z wejściem w życie RODO lub innych przepisów prawa jak również wydania dobrych praktyk lub kodeksów postępowania, Strony zobowiązują się do dokonania niezbędnych zmian lub uzupełnień postanowień umowy.
4. Przetwarzanie danych osobowych, o których mowa w niniejszej Umowie, przez Przetwarzającego jest niezbędne dla prawidłowego wykonania Umowy oraz Umowy odrębnej i będzie dokonywane wyłącznie w zakresie niezbędnym dla realizacji Umowy oraz Umowy odrębnej.
§ 2
Zakres i cel przetwarzania danych
1. Zakres powierzonych danych osobowych obejmuje następujące kategorie danych osobowych x.xx. pracowników Powierzającego i jednostek obsługiwanych przez Powierzającego, podmiotów związanych umowami z Powierzającym oraz jednostkami przez niego obsługiwanymi: imię i nazwisko, adres zamieszkania, PESEL, numer dowodu osobistego, numer telefonu.
2. Zakres czynności przetwarzania powierzonych danych osobowych obejmuje następujące operacje: utrwalanie, przechowywanie, opracowywanie, udostępnianie i usuwanie na potrzeby realizacji Umowy odrębnej oraz Umowy.
3. Przetwarzający może przetwarzać dane osobowe utrwalone w postaci elektronicznej, na nośnikach fizycznych i innych przekazanych przez Zamawiającego.
4. Przetwarzający jest zobowiązany do przetwarzania danych osobowych wskazanych w ust.1 wyłącznie w celu wykonywania przez Przetwarzającego Umowy odrębnej oraz Umowy, w sposób zgodny z Ustawą oraz niniejszą Umową. Przetwarzanie to dopuszczalne jest tylko za pomocą środków technicznych znajdujących się na terytorium państwa należącego do Europejskiego Obszaru Gospodarczego. Przetwarzanie danych osobowych będzie odbywało się wyłącznie na terytorium państwa należącego do Europejskiego Obszaru Gospodarczego.
5. Przetwarzający może podpowierzyć przetwarzanie danych osobowych w związku z realizacją Umowy odrębnej oraz niniejszą Umową jedynie podmiotom mającym siedzibę w państwie należącym do Europejskiego Obszaru Gospodarczego, pod warunkiem, że Powierzający udzielił Przetwarzającemu zgody na korzystanie z podwykonawców w Umowie odrębnej. Strony ustalają, iż Przetwarzający jest upoważniony do powierzenia przetwarzania danych podwykonawcom tylko wówczas, gdy są spełnione łącznie następujące przesłanki:
a) będzie to niezbędne dla prawidłowej realizacji Umowy lub Umowy odrębnej;
b) tylko w zakresie danych osobowych, których powierzenie jest niezbędne dla realizacji Umowy lub Umowy
odrębnej;
c) podwykonawca spełnia wszystkie wymogi określone Umową oraz przepisami prawa dotyczące
przetwarzania i ochrony danych osobowych;
d) w umowie z podwykonawcą zostaną wprowadzone postanowienia gwarantujące ochronę danych osobowych i możliwość realizacji uprawnień wynikających z Umowy i powszechnie obowiązujących przepisów prawa przez Powierzającego.
6. Podpowierzenie wymaga wcześniejszego poinformowania Powierzającego o nazwie i adresie podmiotu, któremu Przetwarzający zamierza podpowierzyć przetwarzane danych osobowych i uzyskania pisemnej zgody Powierzającego.
7. Przetwarzający jest zobowiązany dołożyć szczególnej staranności przy wyborze podmiotów, którym podpowierza przetwarzanie danych tak, aby zapewniały one bezpieczeństwo przetwarzania danych osobowych na poziomie nie niższym niż u Przetwarzającego. Przetwarzający ponosi odpowiedzialność za działania lub zaniechania podmiotów, którym powierza wykonanie jakichkolwiek czynności związanych lub którymi posługuje się przy wykonaniu swoich obowiązków jak za działania własne.
8. W przypadku jakichkolwiek zmian w zakresie wykorzystywanych podwykonawców, miejsca przetwarzania przez nich danych osobowych, ich danych identyfikacyjnych lub kontaktowych, Przetwarzający jest zobowiązany niezwłocznie poinformować o nich Powierzającego.
§ 3
Czas obowiązywania Umowy powierzenia
Niniejsza Umowa powierzenia zostaje zawarta na czas określony tj. na czas wykonywania przez Przetwarzającego obowiązków z Umowy Odrębnej, z zastrzeżeniem obowiązku wykonania czynności opisanych w §10.
§ 4
Sposób wykonania Umowy w zakresie przetwarzania danych osobowych
1. Przetwarzający zobowiązuje się do zabezpieczenia danych osobowych, do których uzyskał dostęp w związku z Umową i Umową odrębną stosownie do obowiązujących przepisów w zakresie ochrony danych osobowych, dobrych praktyk, kodeksów postępowania oraz stosownie do poziomu ryzyk dotyczących bezpieczeństwa
danych osobowych i zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie w celu, oraz w zakresie niezbędnym do realizacji Umowy odrębnej oraz Umowy. W zakresie przestrzegania przepisów Przetwarzający ponosi odpowiedzialność jak administrator danych.
2. Przetwarzający zobowiązuje się wypełniać obowiązki związane z zabezpieczaniem danych osobowych, a w
szczególności zobowiązuje się do:
a) zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem;
b) zapewnienia kontroli nad prawidłowością przetwarzania danych; w tym do prowadzenia kontroli i audytów stanu ochrony danych i środków ochrony danych jak również innych środków mających na celu zapewnienie zgodności przetwarzania danych z przepisami prawa;
c) dochowania szczególnej staranności, aby osoby upoważnione do przetwarzania danych osobowych były świadome obowiązku zachowania tych danych w tajemnicy również po zakończeniu obowiązywania niniejszej umowy, między innymi poprzez poinformowanie ich o prawnych konsekwencjach naruszenia poufności danych oraz odebranie oświadczeń o zachowaniu w tajemnicy tych danych.
3. Przetwarzający zobowiązuje się niezwłocznie zawiadomić Powierzającego o:
a) wszelkich przypadkach naruszenia bezpieczeństwa powierzonych do przetwarzania danych osobowych na podstawie Umowy lub o ich niewłaściwym użyciu; w szczególności nie później niż terminie 12 godzin od stwierdzenia naruszania ochrony danych do poinformowania Powierzającego w formie korespondencji e: mail lub pisemnej o naruszeniu ochrony danych osobowych oraz do współpracy w pełnym zakresie celem umożliwienia wykonania obowiązków administratora danych określonych przepisami prawa, dobrymi praktykami lub kodeksem postępowania;
b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony powierzonych do przetwarzania danych osobowych niniejszą Umową prowadzonych w szczególności przed Generalnym Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;
c) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych przetwarzanych na podstawie Umowy właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienia poufności wszczętego dochodzenia;
d) każdym żądaniu otrzymanym od osoby, której dane osobowe przetwarza na podstawie Umowy.
4. Strony zobowiązują się do wzajemnej współpracy jak również współpracy z organem państwa lub organem instytucji międzynarodowej w przypadku prowadzenia, u którejkolwiek ze Stron kontroli lub innego postępowania dotyczącego przetwarzania danych osobowych w zakresie w jakim dotyczy ona przetwarzania danych w związku z niniejszą umową. Obowiązek współdziałania obejmuje w szczególności udostępnianie informacji, odpowiedzi na pytania i udzielanie wyjaśnień w formie i terminie umożliwiającym wykonanie żądań organów. Strony są zobowiązane do zapewnienia takiej współpracy także przez swych przedstawicieli.
§ 5
Osoby przetwarzające dane osobowe
1. Przetwarzający zapewni, iż do przetwarzania powierzonych danych osobowych po stronie Przetwarzającego mogą być dopuszczone wyłącznie osoby, które są jego pracownikami lub współpracownikami i które posiadają imienne aktualne upoważnienie do przetwarzania danych osobowych oraz aktualne szkolenie z zakresu ochrony danych osobowych oraz zostały zobowiązane do zachowania poufności danych osobowych jak i informacji o środkach służących ochronie danych osobowych.
2. Imienne upoważnienia, o których mowa w ust. 1 zawierają obowiązkową klauzulę dotyczącą obowiązku zachowania w tajemnicy danych osobowych, także po ustaniu zatrudnienia.
3. Imienne upoważnienia, o którym mowa w ust. 1 nadawane są przez umocowane osoby po stronie Przetwarzającego.
4. Powierzający umocowuje: (stanowisko, imię, nazwisko) ………………………………………. do nadawania powyższych upoważnień do przetwarzania danych osobowych jedynie pracownikom i współpracownikom Przetwarzającego, wykonującym zadania związane z realizacją Umowy odrębnej.
5. Przetwarzający prowadzi pełną ewidencję pracowników i współpracowników upoważnionych do przetwarzania danych osobowych w związku z wykonywaniem Umowy odrębnej, oraz umożliwi dostęp do tej ewidencji, na
każde żądanie Powierzającego. W przypadku jakichkolwiek przyznania, cofnięcia, zmian w zakresie upoważnienia Przetwarzający nie dalej niż w terminie 2 dni roboczych od tej zmiany powiadomi Powierzającego o tym fakcie.
6. Przetwarzający zapewni, że osoby mające dostęp do powierzonych danych osobowych obowiązane były do zachowania ich w tajemnicy, między innymi poprzez zobowiązanie do zachowania poufności oraz pouczenie o konsekwencjach naruszenia bezpieczeństwa i poufności danych osobowych;
§ 6
Kontrola nad przetwarzaniem danych osobowych
1. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane, co najmniej 5 dni kalendarzowych przed dniem rozpoczęcia kontroli, a w przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu przez Przetwarzającego zobowiązań wynikających z postanowień niniejszej Umowy, Powierzający umożliwi Powierzającemu dokonanie niezapowiedzianej kontroli.
2. Na zakończenie kontroli, o których mowa w ust. 1, przedstawiciel Powierzającego sporządza protokół w 2 egzemplarzach, który podpisują przedstawiciele obu stron. Przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od dnia jego otrzymania.
3. Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie stwierdzonych uchybień.
4. Powierzający może wycofać zgodę na dalsze powierzenie przetwarzania danych osobowych podwykonawcom, jeśli z okoliczności wynika, że przetwarzanie przez nich danych osobowych odbywa się niezgodnie z prawem, umową lub zagraża bezpieczeństwu danych osobowych. W przypadku wycofania zgody, Przetwarzający jest zobowiązany niezwłocznie doprowadzić do zaprzestania przetwarzania danych przez podwykonawcę.
§ 7
Odpowiedzialność Przetwarzającego
1. Powierzający zastrzega sobie możliwość audytu sposobu wypełnienia przez Przetwarzającego wymagań wymienionych w Umowie. W ramach audytu Powierzający jest uprawniony do żądania od Przetwarzającego udostępnienia wszelkich procedur dotyczących przetwarzania danych osobowych, informacji o wdrożonych środkach ochrony danych, uzyskania informacji o prowadzonych kontrolach dotyczących przetwarzania danych osobowych i ich wynikach, informacji o wykonaniu zaleceń lub wniosków pokontrolnych, informacji o certyfikatach oraz stosowanych kodeksach lub dobrych praktykach, weryfikacji stosowania przez Przetwarzającego środków ochrony danych osobowych, dostępu do siedziby Przetwarzającego – w zakresie danych osobowych przetwarzanych na podstawie Umowy. Udostępnienie następuje niezwłocznie nie później jednak niż w terminie określonym przez Powierzającego. Brak skorzystania z uprawnienia do kontroli nie zwalnia ani nie umniejsza odpowiedzialności Przetwarzającego za należyte wykonanie umowy i obowiązków określonych prawem. Przetwarzający ma obowiązek poddania się kontroli i umożliwienie Powierzającemu jej skuteczne przeprowadzenie. Koszty kontroli ponosi Przetwarzający.
2. Przetwarzający jest odpowiedzialny za szkody powstałe u Powierzającego lub osób trzecich w wyniku niewykonania lub nienależytego wykonania Umowy, w szczególności w wyniku udostępnienia lub wykorzystania danych osobowych niezgodnie z Umową.
3. W przypadku naruszenia przepisów Ustawy lub niniejszej Umowy z przyczyn leżących po stronie Przetwarzającego w następstwie, czego Powierzający zostanie zobowiązany do wypłaty odszkodowania lub zostanie nałożony obowiązek zapłaty kar, grzywny lub innych sankcji Przetwarzający jest zobowiązany zwrócić Powierzającemu poniesione z tego tytułu straty finansowe.
4. W przypadku, jeżeli jakakolwiek osoba, której dane osobowe zostały powierzone w wyniku niniejszej Umowy, wystąpi wobec Powierzającego z jakimikolwiek roszczeniami z tego tytułu, powierzający zawiadomi
o roszczeniach Przetwarzającego, który zobowiązuje się podjąć wszelkie działania mające na celu rozwiązanie sporu i zaspokojenie roszczenia, w tym ponieść wszelkie koszty z tym związane. W szczególności Przetwarzający wstąpi do toczącego się postępowania w charakterze strony pozwanej, a w razie braku takiej możliwości zgłosi interwencję uboczną po stronie pozwanej oraz pokryje wszelkie koszty z tego tytułu oraz odszkodowania związane z roszczeniem osoby trzeciej, w tym poniesione uprzednio przez Przetwarzającego.
§ 8
Zachowanie poufności
1. Przetwarzający i osoby, które zostały upoważnione do przetwarzania danych osobowych w związku z realizacją Umowy odrębnej, zobowiązane są do zachowania w tajemnicy wszystkich informacji, których ujawnienie byłoby sprzeczne z interesem Powierzającego
2. Przetwarzający zobowiązuje się do nie udostępniania osobom trzecim jakichkolwiek informacji uzyskanych od Powierzającego w związku w wykonaniem niniejszej Umowy, bez pisemnej zgody Powierzającego chyba, że obowiązek udostępnienia informacji wynika z obowiązujących przepisów.
§ 9
Warunki wypowiedzenia Umowy
1. Powierzający ma prawo rozwiązać niniejszą Umowę bez zachowania terminu wypowiedzenia, gdy Przetwarzający:
a) wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową,
b) powierzył przetwarzanie danych osobowych innym podmiotom bez zgody Powierzającego,
c) nie zaprzestał niewłaściwego przetwarzania danych osobowych, nie zawiadomił o naruszeniu
d) zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej Umowy, a w szczególności niespełniania wymagań określonych w § 4.
§ 10
Obowiązki powierzającego
1. Powierzający zapewnia, iż powierzone przez niego do przetwarzania Przetwarzającemu dane osobowe Powierzający przetwarza zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą oraz w sposób zgodny z prawnie uzasadnionymi celami, w jakich dane osobowe przetwarza, w związku z czym powierzenie przetwarzania danych osobowych na podstawie Umowy następuje zgodnie z prawem.
2. Powierzający zapewnia, iż powierzone do przetwarzania na podstawie Umowy dane osobowe przetwarza w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
3. Powierzający na wniosek Przetwarzającego przekaże wszelką dokumentację istotną dla procesów
przetwarzania danych osobowych na podstawie Umowy.
4. Powierzający oświadcza, iż nie przekazuje danych osobowych powierzonych do przetwarzania na podstawie niniejszej Umowy do państwa trzeciego lub organizacji międzynarodowej.
§ 11
Zakończenie Umowy
1. Przetwarzający jest zobowiązany w ciągu 14 dni od dnia wygaśnięcia , rozwiązania lub ustania Umowy odrębnej do usunięcia wszystkich powierzonych mu danych osobowych oraz do podjęcia innych stosownych działań w celu wyeliminowania możliwości dalszego przetwarzania tych danych.
2. Przetwarzający dokonuje skutecznego i nieodwracalnego usunięcia danych osobowych z elektronicznych nośników pozostających w jego dyspozycji. Dokonanie tych operacji potwierdzone zostanie w sporządzonym na piśmie protokole, który niezwłocznie nie później niż w ciągu 2 dni roboczych przekazuje Powierzającemu. Powierzający zobowiązuje się do przedłożenia w ww. terminie oświadczenia, iż nie posiada żadnych danych osobowych powierzonych przez Powierzającego.
§ 12
Ustalenia końcowe
1. Wszelkie zmiany bądź uzupełnienia niniejszej Umowy wymagają aneksu w formie pisemnej pod rygorem nieważności. W szczególności formy takiej wymaga wykonywanie przez Przetwarzającego operacji przetwarzania danych osobowych w zakresie lub celu wykraczającym poza wskazany w § 2 niniejszej Umowy.
2. W sprawach nieuregulowanych niniejszą Umową mają zastosowanie obowiązujące przepisy prawa,
w szczególności Ustawy o ochronie danych osobowych i Kodeksu Cywilnego.
3. Sądem właściwym dla rozstrzygania sporów powstałych w związku z niniejszą Umową jest sąd właściwy miejscowo dla siedziby Powierzającego.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
......................................... .........................................
Powierzający Przetwarzający