UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Zawarta w dniu………, w Stąporkowie, pomiędzy:
Miejsko-Gminnym Ośrodkiem Pomocy Społecznej w Stąporkowie z siedzibą: 00-000 Xxxxxxxxx, xx. Xxxxxxxxxxxx 000 X, zwanym dalej „Administratorem” reprezentowanym przez:
Panią Xxxxxxxxxx Xxxxxxxxxxx – Dyrektora Miejsko-Gminnego Ośrodka Pomocy Społecznej w Stąporkowie
oraz
……….
zwanym dalej „Procesorem”, reprezentowanym przez:
………..
Administrator i Procesor są zwani łącznie „Stronami”, a każdy z nich z osobna „Stroną”.
§ 1. PRZEDMIOT UMOWY
1. Administrator i Procesor zawierają umowę powierzenia przetwarzania danych osobowych, zwaną dalej „Umową”, na mocy której Administrator powierza Procesorowi przetwarzanie danych osobowych uczestników przeprowadzanego poradnictwa.
2. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu określonym w niniejszej Umowie.
§ 2 OŚWIADCZENIA I OBOWIĄZKI PROCESORA
1. Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, stosowne aktualne zezwolenia wymagane przepisami prawa, doświadczenie, wiedzę oraz wykwalifikowany personel z uprawnieniami, w zakresie umożliwiającym należyte wykonanie niniejszej Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczania danych osobowych wynikające z:
a) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako:
„RODO”);
b) Polskich przepisów rangi ustawowej i aktów wykonawczych z zakresu ochrony danych osobowych.
2. Procesor jest zobowiązany:
1) Przetwarzać powierzane dane osobowe wyłącznie na podstawie Umowy, chyba, że obowiązek przetwarzania w szerszym zakresie wynika z prawa krajowego lub unijnego;
2) Przetwarzać powierzone dane osobowe zgodnie z RODO, innymi obowiązującymi przepisami prawa oraz niniejszą Umową;
3) Przetwarzać powierzone mu dane osobowe wyłącznie na terytorium Europejskiego Obszaru Gospodarczego;
4) Udzielać dostępu do powierzonych danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy;
5) Zapewnić, aby osoby upoważnione do przetwarzania danych osobowych, były zobowiązane do zachowania tajemnicy;
6) Wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację
zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 RODO);
7) Xxxxxxx Administratorowi wywiązywać się z obowiązków określonych w RODO ( w tym w szczególności w art. 32-36 RODO) tj. w szczególności w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych;
8) Wspierać Administratora w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO, w szczególności niezwłocznie, na żądanie Administratora, nie później jednak niż w terminie
5 dni od daty zgłoszenia takiego żądania, Procesor, udzieli informacji dotyczących przetwarzania powierzonych mu do przetwarzania danych osobowych w tym zastosowanych technicznych i organizacyjnych środków zabezpieczenia danych osobowych;
9) Niezwłocznie, nie później jednak niż w terminie 24 godzin od momentu stwierdzenia naruszenia, informować Administratora o każdym naruszeniu ochrony danych osobowych, w szczególności jego skali, charakterze, podejmowanych działaniach naprawczych, tożsamości podmiotów danych dotkniętych naruszeniem oraz ryzyku jakie naruszenie może powodować dla podmiotu danych;
10) Wdrożyć i stosować procedury służące wykrywaniu naruszeń ochrony danych osobowych oraz wdrażać właściwe środki naprawcze;
11) Prowadzić w formie pisemnej (w tym elektronicznej) rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora zgodnie z art. 30 RODO;
12) Umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów przetwarzania powierzonych danych osobowych. W tym celu Procesor na żądanie Administratora lub upoważnionego przedmiotu udzieli informacji dotyczących przetwarzania powierzonych danych osobowych, technicznych i organizacyjnych środkach ich ochrony, a także umożliwi dostęp do swoich pomieszczeń, pracowników, współpracowników oraz urządzeń, w zakresie uzasadnionym wykonywaniem czynności audytowych;
13) Niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych;
14) Niezwłocznie, jednak nie później niż w ciągu 2 dni roboczych, informować ( o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych prze Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora;
15) Przechowywać dane osobowe tylko tak długo, jak to określił Administrator, a także bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora (jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Procesor poinformuje Administratora przed jego podjęciem, a następnie zastosuje się do polecenia Administratora).
§ 3 ŚRODKI ORGANIZACYJNE I TECHNICZNE
1. Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane na podstawie Umowy.
2. Oceniając, czy stopień bezpieczeństwa, o którym mowa wyżej jest odpowiedni. Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych.
3. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Procesor informuje o tym Administratora i w porozumieniu z Administratorem dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych.
§ 4 PODPOWIERZENIE
1. Dalsze powierzenie przez Procesora przetwarzania danych osobowych innym podmiotom przetwarzającym możliwe jest wyłącznie po uzyskaniu uprzedniej pisemnej zgody Administratora pod rygorem nieważności.
2. 2. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych, a także chroniło prawa osób, których dane dotyczą.
3. Procesor jest w pełni odpowiedzialny przed Administratorem za spełnienie obowiązków wynikających z umowy powierzania zawartej pomiędzy Procesorem, a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnianie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Procesorze.
§ 5 AUDYT/PRAWO KONTROLI
1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Procesora.
2. Administrator poinformuje Procesora co najmniej 5 dni robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia.
3. Audyty, o których mowa w § 5 ust. 1 , mogą być wykonywane przez Administratora (osoby przez niego wyznaczone) lub podmioty zewnętrzne, którym Administrator zleci wykonanie audytu, w miejscu przetwarzania danych osobowych objętych powierzeniem w dni robocze w godzinach od 8:00 do 15.30.
4. Procesor ma obowiązek współpracować z Administratorem i upoważnionymi przez niego audytorami.
5. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
6. Administrator ma prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 dni roboczych.
7. Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym, możliwość przeprowadzenia przez Administratora (lub podmiot zewnętrzny, któremu Administrator zleci wykonanie audytu) audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający na zasadach określonych w § 5 ust. 1-6.
8. Koszty związane z przeprowadzeniem audytu ponosi podmiot, który zleci przeprowadzenie audytu, bez prawa żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
§ 6 POUFNOŚĆ
1. Procesor ma obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i przetwarzania.
2. Procesor w szczególności zapewnia, że wszelkie przekazane, udostępnione lub ujawnione mu przez Administratora informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy, a uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu wykonania Umowy.
3. Procesor będzie zwolniony z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienie informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Procesor jest zobowiązany niezwłocznie, nie później niż w terminie 24 godzin od dowiedzenia się o nim, powiadomić Administratora.
§7 CZAS TRWANIA UMOWY ORZA ZASADY ODPOWEIDZIALNOŚCI
1. Niniejsza Xxxxx zostaje zawarta na czas określony, począwszy od dnia 5 lipca 2018 roku i przestaje obowiązywać wraz zakończeniem umowy głównej tj. umowy o współpracy Stron w przedmiocie świadczenia usług, o których mowa w § 1 ust. 2 niniejszej umowy.
2. Administrator może rozwiązać Umowę z zachowaniem 1- miesięcznego okresu wypowiedzenia.
3. Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub niniejszej Umowy, a w szczególności, gdy:
a) Organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
b) Prawomocne orzeczenie sądu powszechnego wykaże, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
c) Administrator w wyniku przeprowadzenia audytu, stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Procesor nie zastosuje się do zaleceń pokontrolnych;
4. Naruszenie przez Procesora postanowień niniejszej Umowy, RODO lub innych przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do rozwiązania współpracy Stron bez zachowania okresu wypowiedzenia.
5. W dniu zakończenia obowiązywania Umowy Procesor winien z dyspozycją Administratora zwrócić lub zniszczyć, w sposób odrębnie ustalony z Administratorem wszelkie dane osobowe i ich kopie, chyba, że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych. Na prośbę Administratora Procesor przesyła pisemne potwierdzenie zniszczenia danych osobowych w terminie wskazanym przez Administratora.
6. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Administratora, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane.
7. W przypadku dalszego powierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z dalszymi {podmiotami przetwarzającymi postanowień, zgodnie
z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy.
8. W przypadku naruszenia obowiązujących przepisów prawa lub Umowy z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany administracyjną karą finansową, Procesor zobowiązuje się zrekompensować w całości szkodę poniesioną przez Administratora, wpłacając Administratorowi kwoty odpowiadające kwotom odszkodowania, zadośćuczynienia lub kary, niezależnie od wszelkich postanowień Umowy lub Umowy głównej wyłączającej lub ograniczającej odpowiedzialność Procesora.
9. Administrator jest uprawniony do naliczenia Procesorowi kary umownej z tytułu opóźnienia w zgłoszeniu naruszenia ochrony danych w terminie określonym w Umowie, w wysokości 100 złotych netto za każdą godzinę opóźnienia.
10. Administrator jest uprawniony do dochodzenia naprawienia szkody na zasadach ogólnych w zakresie, w jakim wyrządzona szkoda przekracza wysokość kary umownej.
§ 8 POSTANOWIENIA KOŃCOWE
1. Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
2. W sprawach, które nie zostały uregulowane Umową, znajdą zastosowanie odpowiednie przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych.
3. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
4. Procesor nie może przenieść praw lub obowiązków wynikających z niniejszej Umowy bez pisemnej zgody Administratora.
5. O ile Umowa główna nie stanowi inaczej, wszelkie spory powstałe w związku z niniejszą Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowego właściwego ze względu na siedzibę Administratora.
…………..……………………… ……..…………………………..