Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta we ……….. w dniu …………….
pomiędzy
Załącznik nr 3 do załącznika nr 4
do SWKO
GMINĄ KOBIERZYCE z siedzibą 00-000 Xxxxxxxxxx, Xxxxx Xxxxxxxx 0, NIP: 896-13- 08-068, reprezentowaną przez
Xxxxxxxx Xxxxxxxxx – Wójta Gminy Kobierzyce,
zwaną dalej Powierzającym a
……………
zwanym dalej Przetwarzającym, zwanych łącznie Stronami.
§ 1 Definicje
Dla potrzeb Umowy Strony ustalają następujące definicje:
1) Administrator - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
2) Dane osobowe – oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
3) przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
4) RODO - oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
5) Umowa – rozumie się przez to niniejszą Umowę o powierzeniu przetwarzania danych osobowych;
6) Umowa Główna – rozumie się przez to umowę nr………, z dnia ……… w sprawie ,
w związku z wykonaniem której następuje powierzenie przetwarzania danych osobowych;
7) Ustawa – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.2019, poz. 1781);
8) zbiór danych - rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
§ 2 Przedmiot umowy
1. Przedmiotem Umowy jest powierzenie Przetwarzającemu przez Powierzającego przetwarzania danych osobowych, w związku z realizacją Umowy Głównej.
2. Przetwarzający pozyskuje dane osobowe od uczestników programu. Przetwarzający przekazuje Powierzającemu dane osobowe wraz z przekazaniem faktur oraz sprawozdaniem.
3. Powierzający powierza Przetwarzającemu, w rozumieniu art. 28 RODO, przetwarzanie danych osobowych, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową.
4. Przetwarzający przetwarza dane osobowe wyłączne na udokumentowane polecenie Powierzającego, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo polskie. Za udokumentowane polecenie uważa się polecenie przetwarzania danych zawarte Umowie lub w Umowie Głównej, a także wskazówki lub instrukcje przekazywane przez Powierzającego w trakcie obowiązywania Umowy drogą pisemną lub elektroniczną na adres …….
§ 3 Zakres i cele przetwarzania danych osobowych
1. Zakres przetwarzanych danych osobowych obejmuje dane osobowe uczestników programu zakwalifikowanych do rehabilitacji leczniczej po przebytej chorobie Covid-19– mieszkańców Gminy Kobierzyce : imię i nazwisko, data urodzenia, adres zamieszkania, PESEL, nr. telefonu, adres mailowy, które są Przetwarzającemu niezbędne do wykonania Umowy Głównej.
2. Dane osobowe będą przetwarzane w celu realizacji umowy na świadczenie zdrowotne pn.
: „Program rehabilitacji leczniczej dla mieszkańców Gminy Kobierzyce po przebytej chorobie COVID-19”.
3.W ramach przetwarzania danych Przetwarzający może dokonywać na powierzonych danych osobowych następujących operacji: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, wykorzystywanie w celu wykonania przedmiotu umowy głównej.
§ 4 Wykonanie Umowy
1. Przed rozpoczęciem przetwarzania Danych osobowych Przetwarzający podejmie środki zabezpieczające dane osobowe o których mowa w art. 32 RODO. Zostaną podjęte następujące środki:
1) pseudonimizacja i szyfrowanie danych osobowych
2) zdolność do ciągłego zapewnienia poufności, integralności i odporności systemów i usług przetwarzania.
2. Przetwarzający oświadcza, że będzie realizował przetwarzanie danych na warunkach i zgodnie z treścią przepisów w tym Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
3.Każde przekazanie powierzonych danych osobowych do państwa trzeciego w rozumieniu Ustawy oraz RODO wymaga uprzedniej pisemnej zgody Powierzającego i może nastąpić wyłącznie w przypadku, gdy spełnione będą szczególne warunki przewidziane w przepisach.
1. Przetwarzający zobowiązuje się pomagać Powierzającemu w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. Przetwarzający przekaże Powierzającemu informacje o każdym przypadku naruszenia ochrony danych osobowych w terminie 24 godzin od ich wykrycia. Informacje te w miarę możliwości powinny zawierać elementy wskazane w art. 33 ust. 3 i 34 ust. 3 RODO. Przetwarzający bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia
2. Przetwarzający zobowiązuje się również przekazywać Powierzającemu informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczeń danych osobowych.
3. Przetwarzający pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO. W szczególności Przetwarzający informuje Powierzającego i przekazuje mu każde żądanie takich osób w terminie tygodnia od ich wpłynięcia.
4. Przetwarzający zobowiązuje się prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający informacje o:
1) nazwie oraz danych kontaktowych Przetwarzającego oraz innych podmiotów przetwarzających (w przypadku powierzenia danych osobowych) oraz administratora, a także inspektora ochrony danych, gdy ma to zastosowanie,
2) kategoriach przetwarzań dokonywanych w imieniu administratora,
3) gdy ma to zastosowanie - przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej,
4) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych.
5. Przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z Ustawy oraz RODO.
§ 5 Upoważnienia, dalsze powierzenie
1. Do wykonywania Umowy oraz Umowy Głównej w zakresie przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie i przeszkolone, a jednocześnie zobowiązuje się do ograniczenia dostępu do danych wyłącznie do osób, których dostęp do danych jest potrzebny do realizacji Umowy lub Umowy Głównej.
2. Przetwarzający zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
§ 6 Wynagrodzenie
Wynagrodzenie za powierzenie przetwarzania danych osobowych przewidziane Umową jest rozliczone w ramach wynagrodzenia określonego w Umowie Głównej.
§ 7 Kary umowne
1. Jeśli Przetwarzający udostępnieni lub będzie przetwarzał dane osobowe niezgodnie z Umową, to Powierzający jest uprawniony do nałożenia kary umownej w wysokości 1000 zł netto (słownie: jeden tysiąc złotych) za każdy stwierdzony przypadek udostępnienia lub wykorzystania danych osobowych niezgodnie z Umową, ale nie więcej niż 30 000 zł (słownie: trzydzieści tysięcy złotych).
2. Jeśli wysokość szkody będzie przewyższała wysokość naliczonej kary umownej Powierzający będzie uprawniony do dochodzenia odszkodowania uzupełniającego na zasadach ogólnych.
§8 Usunięcie danych osobowych
Z chwilą zakończenia obowiązywania Umowy Przetwarzający jest zobowiązany do niezwłocznego (w terminie uzasadnionym względami technicznymi lecz w żadnym wypadku nie później niż w ciągu 30 dni, chyba że właściwe przepisy prawa krajowego lub unijnego
nakazują przechowywanie tych danych osobowych) przekazania Powierzającemu lub usunięcia (zależnie od decyzji Powierzającego) powierzonych danych osobowych (w tym kopii zapasowych), a następnie zniszczenia wszelkich informacji mogących posłużyć do odtworzenia w całości lub części, powierzonych na podstawie Umowy oraz Umowy Głównej danych osobowych.
§ 9 Czas trwania i rozwiązanie Umowy
1. Czas trwania Umowy kończy się z chwilą zakończenia obowiązywania Umowy Głównej.
2. Powierzający ma prawo rozwiązać Umowę w trybie natychmiastowym, gdy Przetwarzający:
1) wykorzystał dane osobowe w sposób niezgodny z Umową,
2) powierzył wykonanie Umowy osobie trzeciej bez zgody Powierzającego,
3) nie zaprzestał niewłaściwego przetwarzania danych osobowych pomimo wezwania.
§ 10 Kontrole i audyty
1. Powierzający ma prawo do prowadzenia okresowej kontroli wykonania postanowień Umowy w postaci audytu lub kontroli realizowanej przez upoważnionego przedstawiciela Powierzającego.
2. Przetwarzający zobowiązany jest udostępnić wgląd do wszystkich materiałów oraz systemów, w których realizowane jest przetwarzanie danych Powierzającego oraz umożliwić dostęp do osób zaangażowanych w ich przetwarzanie.
§ 11 Postanowienia końcowe
1. W sprawach nieuregulowanych postanowieniami Umowy zastosowanie będą mieć przepisy RODO, Ustawy oraz podjętych na jej podstawie aktów wykonawczych oraz ustawy z dnia 23 kwietnia 1964 r. -Kodeks Cywilny.
2. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy powinny być sporządzone na piśmie pod rygorem nieważności.
3. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji Umowy sądem właściwym będzie sąd właściwy dla siedziby Powierzającego.
4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
………………………………………………
…………………………………………..
Powierzający Przetwarzający