Umowa o powierzenie przetwarzania danych osobowych

Umowa o powierzenie przetwarzania danych osobowych

zawarta w dniu pomiędzy:

………………………………………………………………………………………………… zwaną w dalszej części Umowy Wykonawcą

którą reprezentują:

………………………………………………………..

………………………………………………………..

a

ArcelorMittal Poland S.A., z siedzibą: 00-000 Xxxxxxx Xxxxxxxx, Xx. X. Xxxxxxxxxxxx 00, wpisana przez Sąd Rejonowy Katowice – Wschód w Katowicach Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 115891; NIP 000-00-00-000; REGON 277839653; kapitał zakładowy w pełni opłacony PLN;

zwaną w dalszej części Umowy AMP

którą reprezentują:

………………………………………………………..

………………………………………………………..

§ 1 Oświadczenia Stron

1. Wykonawca oświadcza, że jest administratorem danych osobowych w stosunku do powierzanych AMP danych osobowych osób zatrudnionych przez siebie.

2. Wykonawca oświadcza, że jest przetwarzającym dane osobowe w stosunku do podpowierzanych AMP danych osobowych osób i podmiotów, które świadczą na rzecz Wykonawcy usługi i osób u nich zatrudnionych. Administratorem danych jest w tym przypadku osoba lub podmiot świadczący usługi na rzecz Wykonawcy, zatrudniający pracowników i/lub zleceniobiorców. Wykonawca oświadcza, że posiada pisemną zgodę administratora na podpowierzenie danych osobowych na rzecz AMP.

3. W dalszej części umowy przez dane osobowe rozumie się dane osób, o których mowa w ust. 1 i 2 powyżej.

4. W dalszej części umowy przez powierzenie danych osobowych rozumie się również podpowierzenie tych danych, o którym mowa w ust. 2.

5. Wykonawca powierza AMP przetwarzanie danych osobowych w zakresie i celu określonych w niniejszej Umowie, a AMP oświadcza, że wyraża zgodę na powierzenie przetwarzania danych osobowych i będzie przetwarzać dane osobowe na polecenie Wykonawcy udokumentowane w niniejszej Umowie.

6. Wykonawca oświadcza, iż wszedł w posiadanie wszystkich objętych niniejszą Umową danych osobowych zgodnie z obowiązującymi przepisami prawa.

7. AMP oświadcza, że jest administratorem danych osobowych osób zatrudnionych przez Wykonawcę lub osób i podmiotów, które świadczą na rzecz Wykonawcy usługi i osób u nich zatrudnionych w zakresie, w jakim dane osobowe są wykorzystywane do wystawiania przepustek oraz zapewnienia ochrony na jej terenie.

§ 2 Zakres i cel przetwarzania danych osobowych. Powierzenie danych do przetwarzania i udostępnienie danych.

1. Dane osobowe będą przetwarzane przez AMP tylko i wyłącznie w celu:

a) identyfikacji wszystkich osób wchodzących / wjeżdżających na teren AMP zgodnie z obowiązującym planem ochrony sporządzonym na podstawie Ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia, a także obowiązującymi aktami wewnętrznymi AMP regulującymi dostęp do lokalizacji AMP, w tym w szczególności Zarządzeniem w sprawie: systemu przepustkowego dla ruchu osób i pojazdów w AMP SA.

b) ewidencjonowania czasu wykonywanych przez Wykonawcę usług na rzecz AMP;

c) zamówienia u podmiotu trzeciego wykonania systemu kontroli dostępu do terenu AMP, dostosowania go do wymogów AMP i pełnego wdrożenia a także wydania osobom wskazanym przez Wykonawcę elektronicznych zbliżeniowych kart ;

d) przeszkolenia wszystkich osób działających w imieniu Wykonawcy, wykonujących pracę i przebywających na terenie AMP zgodnie z zapisami Umowy o zdrowiu i bezpieczeństwie pracy (w/w proces obejmuje: egzamin BHP, dostęp do zasobów informatycznych znajdujących się na stronie internetowej ArcelorMittal Poland S.A., wydanie paszportu bezpieczeństwa);

e) zapewnienia bezpieczeństwa osobom wchodzącym/wjeżdżającym, wykonującym pracę oraz przebywającym na terenie AMP poprzez przeprowadzanie audytów kontrolnych i przechowywanie dokumentacji z nimi związanej oraz wyciąganie dalszych czynności zgodnie z zapisami Umowy o zdrowiu i bezpieczeństwie pracy.

2. W celach opisanych w § 2 ust. 1 lit. b), c) d) i e) Wykonawca powierza AMP przetwarzanie następujących kategorii danych osobowych osób przez siebie zatrudnionych oraz osób, których dane przetwarza jako podmiot przetwarzający:

• imię i nazwisko osoby,

• data urodzenia,

• PESEL,

• numer ewidencyjny pracownika,

• firma,

• adres,

• NIP,

• Regon,

• stanowisko,

• uprawnienia,

• ważność ostatnich badań okresowych wraz z informacją o zdolności do wykonywania pracy na wysokości,

• informacja o wejściu / wyjściu lub wjeździe / wyjeździe na teren AMP,

• wizerunek,

• informacja o czasie wykonywanych usług.

3. W celu opisanym w § 2 ust. 1 lit. a) Wykonawca udostępnia AMP opisane powyżej kategorie danych osobowych osób przez siebie zatrudnionych oraz osób, których dane przetwarza jako podmiot przetwarzający.

4. Przez przetwarzanie danych osobowych rozumie się dokonywanie następujących czynności: zbieranie, odczyt, zapisywanie, utrwalanie, uzupełnianie, archiwizowanie, modyfikowanie oraz usuwanie danych osobowych, w tym w sposób elektroniczny na nośnikach elektronicznych.

§ 3 Zobowiązania podmiotu przetwarzającego

1. AMP zobowiązuje się do przetwarzania danych osobowych wyłącznie w zakresie i celu określonym w niniejszej Umowie.

2. AMP zobowiązuje się do wykonywania Umowy poprzez działania zgodne z przepisami prawa. W szczególności AMP oświadcza, że przed rozpoczęciem przetwarzania danych podejmie środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych.

3. AMP oświadcza, że będzie przetwarzała dane osobowe przy użyciu urządzeń i systemów informatycznych zapewniających wysoki poziom bezpieczeństwa, przy dołożeniu należytej staranności w celu zabezpieczenia danych osobowych.

4. AMP zobowiązuje się do:

1) zapewnienia kontroli nad prawidłowością przetwarzania danych osobowych,

2) zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,

3) dopuszczenia do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład służących do przetwarzania danych osobowych wyłącznie osób, którym nadano stosowne upoważnienia,

4) zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zachowały je w tajemnicy, również po zakończeniu realizacji Umowy, między innymi poprzez poinformowanie ich o prawnych konsekwencjach naruszenia poufności danych i wykorzystania ich niezgodnie z przeznaczeniem oraz odebranie od tych osób oświadczeń o zachowaniu w tajemnicy tych danych,

5) zwrotu lub trwałego usunięcia powierzonych danych osobowych po zakończeniu obowiązywania niniejszej Umowy,

6) pomocy Wykonawcy, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw,

7) udostępnienia Wykonawcy wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z powszechnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych.

5. AMP niezwłocznie powiadomi Wykonawcę o wszelkich czynnościach i postępowaniach prowadzonych w zakresie powierzonych do przetwarzania danych osobowych przez organy państwowe.

6. W przypadku naruszenia ochrony danych osobowych, AMP zobowiązuje się niezwłocznie podjąć działania w celu ich usunięcia oraz niezwłocznie (nie później niż w ciągu 48 godzin) zawiadomić o nich Wykonawcę.

7. W przypadku wytoczenia przeciwko Administratorowi danych lub Spółce przez osobę trzecią powództwa opartego na twierdzeniu, że przetwarzanie danych osobowych nastąpiło z naruszeniem powszechnie obowiązujących przepisów prawa – AMP zostanie zawiadomiony o toczącym się postepowaniu w celu wzięcia w nim aktywnego udziału.

8. AMP odpowiada wyłącznie za szkody rzeczywiste, jakie powstały wobec Wykonawcy lub osób trzecich w wyniku niezgodnego z Umową przetwarzania danych osobowych.

§ 4 Prawo kontroli Administratora

1. Wykonawca ma prawo kontroli, czy środki zastosowane przez AMP przy przetwarzaniu i zabezpieczaniu danych osobowych spełniają postanowienia Umowy.

2. Kontrole, o których mowa powyżej odbywać się mogą po uprzednim ustaleniu ich terminu przez Wykonawcę i AMP, nie częściej niż jeden raz w roku. Wykonawca powinien przeprowadzić kontrolę podczas jednego dnia roboczego, po uprzednim wskazaniu, jakie dokumenty lub procesy będą objęte kontrolą.

3. W przypadku stwierdzenia przez Wykonawcę, iż mają miejsce nieprawidłowości lub uchybienia w przetwarzaniu danych osobowych, AMP winna w terminie nie dłuższym niż 7 dni usunąć nieprawidłowości lub uchybienia.

§ 5 Podpowierzenie danych osobowych

4. Wykonawca wyraża zgodę lub posiada odpowiednią zgodę administratora danych na podpowierzenie przez AMP danych osobowych, o których mowa w § 2 na rzecz podmiotów trzecich, które będą współpracować z AMP w celu wykonania systemu kontroli dostępu, w zakresie określonym w § 2 niniejszej Umowy, wyłącznie w celu dostosowania go do wymagań AMP i pełnego wdrożenia tego systemu. Ponadto Wykonawca wyraża zgodę lub posiada odpowiednią zgodę administratora danych na podpowierzenie przez AMP danych osobowych, o których mowa w § 2 na rzecz podmiotów trzecich, które będą współpracować z AMP przy obsłudze strony internetowej lub innego narzędzia umożliwiającego Wykonawcy korzystanie z prowadzonych przez AMP szkoleń lub innych działań z obszaru BHP. Wykonawca, współdziałając z AMP, uprawniony jest dokonać kontroli prawidłowości ochrony danych u podmiotu, któremu podpowierzono przetwarzanie danych osobowych.

5. AMP oświadcza, że podmiot, któremu dane osobowe zostaną podpowierzone, będzie procedował zgodnie pod każdym względem z zobowiązaniami z zakresu ochrony danych osobowych, zawartymi w niniejszej Umowie oraz zgodnie z obowiązującymi przepisami prawa w zakresie ochrony danych osobowych.

§ 6 Czas obowiązywania Umowy

1. Umowa obowiązuje przez okres związania Stron współpracą biznesową. W przypadku rozwiązania przez Strony współpracy biznesowej, niniejsza umowa ulega automatycznemu rozwiązaniu z datą, kiedy ustanie współpraca między Stronami, przy czym AMP upoważniony jest do zarchiwizowania powierzonych danych osobowych i wykorzystania ich w niezbędnym zakresie w sytuacji, gdyby dane te były niezbędne do wypełnienia prawnie chronionych interesów AMP lub obowiązków wynikających z przepisów prawa (względy BHP, zapobieganie kradzieżom mienia).

2. Wykonawca ma prawo wypowiedzieć Umowę w trybie natychmiastowym, gdy AMP lub inne osoby/podmioty, którym AMP powierzył przetwarzanie danych wymienionych w Umowie:

a) wykorzystuje dane osobowe w sposób niezgodny z Umową, na co Wykonawca zwróci AMP uwagę na piśmie, a AMP w terminie 7 dni nie usunie wskazanych naruszeń,

b) niezaprzestanie niewłaściwego przetwarzania danych osobowych, na co Wykonawca zwróci AMP uwagę na piśmie, a AMP w terminie 7 dni nie usunie wskazanych naruszeń.

§ 7Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą Umową zastosowanie znajdują obowiązujące przepisy prawa.

2. Zmiana umowy wymaga formy pisemnej pod rygorem nieważności.

3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

………………………… …………………………………