Umowa powierzenia przetwarzania danych osobowych

Załącznik nr 3


Umowa powierzenia przetwarzania danych osobowych


zawarta w dniu …………… 2020 roku, w Drawsku Pomorskim, pomiędzy:


Skarbem Państwa – Sądem Rejonowym w Drawsku Pomorskim , xx. Xxxxx 0 , 00-000 Xxxxxxx Xxxxxxxxx, posiadającą NIP 000-00-00-000 , numer REGON 000322560, zwaną dalej „Administratorem”, reprezentowanym przez:

……………………. – Prezesa Sądu Rejonowego w Drawsku Pomorskim

……………………. - Dyrektora Sądu Rejonowego w Drawsku Pomorskim

a

………………………………………………………………………………………………………………………………………………………………………………………………………………., reprezentowanym przez:


………………………………………..

zwaną dalej Podmiotem przetwarzającym, reprezentowanym przez:


Administrator i Podmiot przetwarzający są zwani dalej łącznie również „Stronami”, a każdy z nich
z osobna „Stroną”.


Zważywszy, że zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako: „RODO” przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora,


Xxxxxx postanowiły zawrzeć niniejsza umowę, w której określiły x.xx. przedmiot przetwarzania, czas trwania przetwarzania, charakter przetwarzania, cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, prawa i obowiązki Administratora, prawa i obowiązki Podmiotu przetwarzającego, a także możliwość korzystania z usług innego podmiotu przetwarzającego.


Administratorzy oświadczają, że w stosunku do danych powierzonych Przetwarzającemu zakresie realizowanych zadań zgodnie z art. 175a ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych są administratorami danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - dalej RODO.




§1

Postanowienia ogólne

    1. Przedmiotem niniejszej umowy jest określenie zasad Przetwarzania rozumianego jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, w tym taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie przez Podmiot przetwarzający w imieniu Administratora.

    2. Strony za „dane osobowe” uznają informacje wskazane w przepisach prawa, w tym w RODO,
      a zatem informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

    3. Wszelkie zwroty użyte w niniejszej Umowie, należy w pierwszej kolejności interpretować tożsamo z odpowiadającymi im zwrotami w RODO.

    4. Umowa podstawowa - „Umowa nr A – 235- /20”„ z dnia …………….r., na podstawie której Podmiot przetwarzający wykonuje usługi związane z świadczeniem usług BHP oraz ochrony przeciwpożarowej tj. między innymi wykonywanie szkoleń pracowników oraz wszelkich spraw związanych z BHP i ochroną przeciwpożarową na rzecz Administratora, obowiązująca do dnia ………………., w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 roku ( zwanego w dalszej części „Rozporządzeniem), dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej umowie powierzenia.

    5. Przedmiotem przetwarzania na podstawie niniejszej umowy, będą przetwarzane następujące dane osobowe:


  1. Dane osobowe następującego rodzaju: imię, nazwisko, numer ewidencyjny PESEL, obywatelstwo, datę i miejsce urodzenia, płeć, seria i numer dokumentu tożsamości, dane teleadresowe, adres zamieszkania lub zameldowania, imiona rodziców, informacje o cechach osobowościowych i innych przejawach podejmowanej działalności, dokumentacja medyczna, w tym karta informacyjna z leczenia szpitalnego, historia zdrowia i choroby, skierowanie do szpitala lub innego podmiotu, skierowanie na badania diagnostyczne lub konsultacyjne, zaświadczenia, orzeczenia lub opinie lekarskie, informacje o stanie zdrowia, inne treści o potencjalnej i prawdopodobnej zawartości danych osobowych (dokumentacja fotograficzna, nagrania z monitoringu wizyjnego) dotyczące następującej kategorii osób: obecni i byli pracownicy Administratora, współpracownicy, kandydaci do pracy, w tym członkowie rodzin obecnych i byłych pracowników oraz współpracowników, osób uprawnionych do renty rodzinnej po w/w osobach, spadkobierców w/w osób, świadków wypadku.

Administrator oświadcza, iż charakter danych osobowych powierzanych niniejszą umową, obejmuje szczególne kategoria danych osobowych, w rozumieniu art. 9 ust. 1 RODO.

  1. Przetwarzający może przetwarzać dane osobowe wyłącznie w celu wykonywania usług wynikających z Umowy Podstawowej, w tym w szczególności w zakresie wykonywania zadań służby BHP, a mianowicie x.xx.: sporządzania i prowadzenia dokumentacji dotyczącej szkoleń w dziedzinie BHP i p.poż, wypadków przy pracy, wypadków w drodze do lub z pracy, chorób zawodowych, prowadzenia i przechowywania rejestrów dotyczących wypadków przy pracy, stwierdzonych chorób zawodowych i podejrzeń o takie choroby, przeprowadzania kontroli warunków pracy i sporządzanie okresowych analiz stanu bhp, profilaktycznych badań lekarskich, reprezentowanie pracodawcy przed organami kontroli organów nadzoru nad warunkami pracy. Ponadto przetwarzanie danych w zakresie prawidłowej realizacji zadań związanych z ochrona przeciwpożarową, a także wykonania pozostałych operacji przetwarzania danych osobowych, nieobjętych wprost przedmiotem usług.

    1. Charakter przetwarzania: Przetwarzanie danych osobowych następowało będzie w formie papierowej i będzie polegało x.xx. na: zbieraniu, utrwalaniu, przechowywaniu, opracowywaniu, zmienianiu, udostępnianiu, uzupełnianiu, usuwaniu.

Cel przetwarzania: Przetwarzanie danych osobowych następowało będzie w celu wykonywania czynności i obowiązków wynikających z przepisów ustawy z dnia 00 xxxxxxx 0000 x - Xxxxxx pracy ( Dz.U. 2018r., poz. 917 t. j. ze zm.)

    1. Czas trwania przetwarzania: Przetwarzanie odbywać się będzie przez okres obowiązywania Umowy podstawowej, na podstawie której Podmiot przetwarzający wykonuje świadczenie usług BHP i ochrony przeciwpożarowej w imieniu lub na rzecz Administratora, a także po jej rozwiązaniu, w zakresie koniecznym do celów ewidencyjnych, wewnętrznych Podmiotu przetwarzającego lub wynikającym z przepisów prawa, do czasu istnienia uzasadnionego interesu.


§ 2

Obowiązki Administratora

    1. Administrator oświadcza, że dane osobowe powierzone do przetwarzania Podmiotowi przetwarzającemu pozyskał oraz przetwarza je i powierza ich przetwarzanie w sposób zgodny
      z prawem, w szczególności przepisami RODO, a w tym w szczególności posiada stosowne zgody osób, których te dane dotyczą, a także wypełnił związany z tym obowiązek informacyjny.

    2. Administrator uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne
      i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

    3. Administrator zobowiązany jest współdziałać z Podmiotem przetwarzającym w wykonaniu Umowy, udzielać Podmiotowi przetwarzającemu wyjaśnień w razie wątpliwości do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.

    4. Administrator zobowiązany jest udostępnić Podmiotowi przetwarzającemu na każde jego żądanie prowadzony przez siebie rejestr czynności przetwarzania danych osobowych w tym dla danych osobowych, których przetwarzanie powierzył Podmiotowi przetwarzającemu.



§ 3

Obowiązki Podmiotu przetwarzającego

  1. Podmiot przetwarzający obowiązany jest zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

  2. Podmiot przetwarzający:

    1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora – Podmiot przetwarzający nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy dalej -EOG). Jeżeli Przetwarzający ma zamiar lub obowiązek przekazania danych osobowych poza obszar EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.

    2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

    3. podejmuje wszelkie środki wymagane na mocy art. 32 RODO, to jest uwzględniając: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
      i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;

    4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, określonych art. 28 ust. 2 i ust. 4 RODO oraz niniejszej umowy;

    5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w Rozdziale III RODO;

    6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32 - 36 RODO;

    7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych oraz z zastrzeżeniem postanowień § 1 ust. 8 niniejszej umowy;

    8. udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia wskazanych wyżej obowiązków oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku
      z obowiązkiem określonym w zdaniu powyżej, Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych;

    9. po każdym stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, nie później jednak niż 24 godziny od zaistnienia zdarzenia. Informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia lub jego braku. Ponadto Podmiot przetwarzający przesyła powiadomienie o stwierdzeniu naruszenia wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia aby umożliwić Administratorowi spełnienia obowiązku powiadomienia organu nadzoru.

  1. Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający następujące informacje:

  1. imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

  3. gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń;

  4. jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,
    o których mowa w art. 32 ust. 1 RODO.

  1. Jeżeli Podmiot przetwarzający naruszy postanowienia RODO przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

  2. Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakładają bezpośrednio na Przetwarzającego. Podmiot przetwarzający odpowiada także za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa


§ 4

Inny podmiot przetwarzający

    1. Administrator wyraża szczegółową zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego w efekcie czego wyraża zgodę na dalsze powierzenie przez Podmiot przetwarzający przetwarzania danych osobowych innym podmiotom przetwarzającym,
      w tym brokerom, dostawcom IT, podmiotom zapewniającym obsługę prawną i księgową Podmiotowi przetwarzającemu, w zakresie oraz celu zgodnym z niniejszą umową.

    2. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający usług innego podmiotu przetwarzającego w efekcie czego wyraża zgodę na dalsze powierzenie przez Podmiot przetwarzający przetwarzania danych osobowych innym podmiotom przetwarzającym, w pozostałym zakresie. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

    3. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają– na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w niniejszej umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Podmiocie przetwarzającym.



§ 5

Postanowienia końcowe

    1. Niniejsza umowa zostaje zawarta na czas określony, od dnia jej zawarcia, do 30 dnia po dniu,
      w którym została rozwiązana lub wygasła Umowa podstawowa.

    2. Niniejsza umowa, z dniem jej zawarcia, zastępuje wszelkie postanowienia umowne i umowy łączące Strony w przedmiocie powierzenia przetwarzania danych osobowych określonych niniejszą umową.

    3. Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, w przypadku rażącego naruszenia przez Podmiot przetwarzający postanowień niniejszej umowy w szczególności, gdy Przetwarzający:

3.1 wykorzystuje dane osobowe niezgodny z umową;

3.2 nie zaprzestanie niewłaściwego przetwarzania danych osobowych, na co Administrator zwróci mu uwagę na piśmie, a Przetwarzający w wyznaczonych przez Administratora terminie nie usunie wskazanych naruszeń.

    1. Wszelkie zmiany i uzupełnienia niniejszej umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.

    2. W razie sprzeczności pomiędzy postanowieniami niniejszej umowy powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia umowy powierzenia.

    3. W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy kodeksu cywilnego, RODO oraz ustawy o ochronie danych osobowych.

    4. Zmiana postanowień niniejszej umowy może nastąpić tylko w formie pisemnego aneksu

    5. Niniejszą umowę sporządzono w formie pisemnej pod rygorem nieważności, w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.




Administrator: Podmiot przetwarzający:




………………………………… …………………………………










6


Document Metadata

Filed: June 5th, 2018