POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA Nr …………..

POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta dnia 2020 r. w Ustce, pomiędzy:

Skarbem Państwa Państwowym Gospodarstwem Leśnym Lasy Państwowe, Nadleśnictwo Ustka, ul. Słupska 25, 76-270 Ustka, NIP 8390011807, REGON 770528271, e-mail: xxxxx@xxxxxxxxxx.xxxx.xxx.xx, reprezentowanym przez: Xxxxxxxxx Xxxxxxx Nadleśniczego Nadleśnictwa Ustka,

zwanym dalej „Administratorem” a

zwanym dalej „Przetwarzającym”.

§ 1 DEFINICJE

Dla potrzeb niniejszej umowy, Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:

1. Umowa Powierzenia – niniejsza umowa;

2. Umowa Główna – Umowa nr           z dnia       roku na świadczenie kompleksowej obsługi Ośrodka Szkoleniowo – Wypoczynkowego „Leśnik” w Orzechowie w 2019 roku, zawarta w Ustce pomiędzy Nadleśnictwem Ustka a        

3. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1).

§ 2 OŚWIADCZENIA STRON

Strony oświadczają, że niniejsza Umowa Powierzenia została zawarta w celu wykonania obowiązków, o których mowa w art. 28 RODO w związku z zawarciem Umowy Głównej.

§ 3 PRZEDMIOT UMOWY

1. W trybie art. 28 ust. 3 RODO, Administrator powierza Przetwarzającemu do przetwarzania dane osobowe wskazane w § 4 ust. 1 i 2, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i niniejszą Umową Powierzenia.

2. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie Powierzenia i Umowie Głównej oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora w formie pisemnej na adres wskazany w komparycji umowy lub na inny adres wskazany drugiej stronie jako nowy.

§ 4 CEL, ZAKRES I CHARAKTER PRZETWARZANIA

1. Przetwarzający będzie przetwarzał powierzone na podstawie niniejszej umowy dane osobowe następujących kategorii osób:

1) klientów Ośrodka Szkoleniowo-Wypoczynkowego „Leśnik” w Orzechowie,

2) przedstawicieli dostawców i usługodawców Ośrodka Szkoleniowo-Wypoczynkowego „Leśnik” w Orzechowie,

3) pracowników Nadleśnictwa Ustka.

2. Zakres powierzonych Przetwarzającemu do przetwarzania danych osobowych obejmuje, co do:

1) klientów:

a) imię i nazwisko,

b) adres zamieszkania,

c) adres korespondencyjny,

d) adres e-mail,

e) ilość członków rodziny (w tym dzieci oraz ich wiek),

f) numer telefonu,

g) wizerunek;

2) przedstawicieli dostawców i usługodawców:

a) imię i nazwisko osoby wskazanej do reprezentacji firmy,

b) adres e-mail,

c) numer telefonu,

d) wizerunek;

3) pracowników Nadleśnictwa Ustka:

a) imię i nazwisko,

b) adres e-mail,

c) numer telefonu,

d) wizerunek.

3. Celem przetwarzania danych osobowych wskazanych w ust. 1 i 2 jest wyłącznie wykonanie Umowy Głównej.

4. Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały w czasie trwania Umowy Głównej. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych:

1) prowadzenie dokumentacji związanej ze sprzedażą i organizacją usług szkoleniowych oraz usług wczasowych dla klientów indywidualnych i grup zorganizowanych,

2) wystawianie i kontrola kart pobytu,

3) pobór opłat uzdrowiskowych,

4) wykonywanie dozoru z wykorzystaniem systemu przemysłowego monitoringu wewnętrznego,

5) prowadzenie korespondencji elektronicznej z klientami, dostawcami i usługodawcami Ośrodka.

Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w systemach informatycznych oraz w formie papierowej.

5. Przetwarzający będzie zbierał/otrzymywał dane osobowe od pracowników Nadleśnictwa Ustka zatrudnionych w Ośrodku, klientów, dostawców i usługodawców oraz z systemu informatycznego.

§ 5 ZASADY POWIERZENIA PRZETWARZANIA

1. Przed rozpoczęciem przetwarzania danych osobowych Przetwarzający musi podjąć środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności:

1) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z administratorem;

2) zapewnić, by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora w celach i zakresie przewidzianym w Umowie Powierzenia;

3) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.

2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

3. Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.

4. Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust. 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich u Przetwarzającego, jak i po jego ustaniu.

§ 6 DALSZE OBOWIĄZKI PRZETWARZAJĄCEGO

1. Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.

2. W sytuacji podejrzenia naruszenia ochrony danych osobowych, Przetwarzający zobowiązuje się do:

1) przekazania Administratorowi informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w tym informacji, o których mowa w art. 33 ust. 3 RODO;

2) przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych;

3) przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.

3. Przetwarzający zobowiązuje się pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osób których dane dotyczą w zakresie wykonywania ich praw określonych w art. 15-22 RODO. W szczególności Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.

4. Przetwarzający zobowiązuje się stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.

5. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzorczy.

§ 7 KONTROLA PRZETWARZAJĄCEGO

1. Administrator jest uprawniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających RODO oraz niniejszej Umowy Powierzenia przez Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.

2. Administrator ma także prawo przeprowadzania audytów lub inspekcji Przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z Umową Powierzenia. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być przeprowadzane przez podmioty trzecie upoważnione przez Administratora i po uprzednim uprzedzeniu Przetwarzającego.

3. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§ 8 CZAS TRWANIA UMOWY

Niniejszą umowę zawarto na czas trwania Umowy Głównej.

§ 9 ZASADA POUFNOŚCI

1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 10 ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA

Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Przetwarzający zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.

§ 11 POSTANOWIENIA KOŃCOWE

1. Wszelkie zmiany w treści Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

2. W razie ewentualnych sporów, wynikających z realizacji niniejszej Umowy, Strony zgodnie oświadczają, że będą dochodzić ich rozwiązania na drodze polubownej. W przypadku nieuzyskania porozumienia na drodze polubownej, spory poddane zostaną pod rozstrzygnięcie sądu właściwego ze względu na siedzibę Administratora.

3. W sprawach nie uregulowanych niniejsza umową mają zastosowanie przepisy ustawy z dnia 23 kwietnia 1964 roku Kodeks Cywilny (t. j. Dz.U. z 2018 r., poz.1986 z późn. zm.).

4. Umowa została zawarta w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Administrator Przetwarzający