GLIWICE – MIASTO NA PRAWACH POWIATU, 44-100 Gliwice,
ZAŁĄCZNIK NR 16
Umowa nr…………………………………; CRU: ………/2… zawarta w dniu ……………………… w pomiędzy stronami:
GLIWICE – MIASTO NA XXXXXXX XXXXXXX, 00-000 Xxxxxxx,
ul. Zwycięstwa 21, NIP 000-000-00-00, reprezentowanym przez Prezydenta Miasta Gliwice, zwanym dalej w treści Umowy „Administratorem”, z upoważnienia którego działa ………… [wstawić dane naczelnika wydziału zawierającego umowę] na podstawie upoważnienia nr [wstawić właściwe]
a [wstawić dane podmiotu przetwarzającego], zwanym dalej w treści Umowy
„Przetwarzającym”, reprezentowanym przez [xxxxxxx
reprezentanta podmiotu przetwarzającego]
dalej zwanymi „Stronami”
na podstawie art. 28 ust. 3 i ust. 9 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L Nr 119, str. 1 ze sprostowaniami)
Mając na uwadze, że Xxxxxx zawarły umowę dotyczącą …… [w tym miejscu należy wpisać przedmiot umowy głównej] , której realizacja wiąże się z przetwarzaniem danych
osobowych w imieniu Administratora przez Przetwarzającego, konieczne stało się ustalenie warunków, na jakich Przetwarzający wykona operacje przetwarzania danych osobowych w imieniu Administratora. Xxxxxx postanowiły zawrzeć umowę powierzenia o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych i oświadczenia stron
1. Administrator powierza Przetwarzającemu dane osobowe do przetwarzania w trybie art.
28 ust. 3 ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego w dalszej części Umowy „Rozporządzeniem”, na zasadach, w zakresie i w celu określonych w niniejszej Umowie.
2. Przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z niniejszą Umową, Rozporządzeniem oraz innymi przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane dotyczą.
3. Administrator oświadcza, że niniejsza Umowa stanowi udokumentowane polecenie przetwarzania danych wydane Przetwarzającemu i dotyczy wyłącznie zakresu i celu opisanego w § 2 Umowy.
4. Administrator oświadcza, że spełnia warunki legalności przetwarzania danych osobowych, jak również, że jest uprawniony do powierzenia danych osobowych.
5. Przetwarzający przed zawarciem Umowy oświadczył, iż spełnia wymagania z art. 32 Rozporządzenia, wdrożył i dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającymi mu prawidłowe wykonanie niniejszej Umowy, spełnienie wymogów Rozporządzenia, a ponadto gwarantuje ochronę praw osób, których dane dotyczą, co potwierdza załącznik nr … [wstawić właściwy nr załącznika] do Umowy.
6. [wstawić w przypadku, kiedy oświadczenie o poufności nie zostało złożone na etapie zawierania umowy głównej] Przetwarzający złożył oświadczenie o zachowaniu poufności o treści określonej przez Administratora – zgodnie z załącznikiem nr … [wstawić właściwy nr załącznika] do niniejszej Umowy.
7. Strony oświadczają, że dopełniły obowiązku informacyjnego zgodnie z art. 13 ust. 1-2 Rozporządzenia względem osób wskazanych w komparycji Umowy oraz zgodnie z art. 14 Rozporządzenia wobec osób, o których mowa w § … [wstawić właściwy paragraf] Umowy głównej, przekazując wzajemnie klauzule informacyjne stanowiące załączniki nr … [wstawić właściwy nr załącznika] do Umowy głównej. [Takie postanowienie można zamieścić jedynie w przypadku, gdy w Umowie powierzenia nie występują nowe osoby, niewskazane w Umowie głównej.]
§ 2
Zakres, charakter i cel przetwarzania danych osobowych
1. Dane osobowe powierzone przez Administratora będą przetwarzane przez Przetwarzającego wyłącznie w celu …………………… [należy podać cel przetwarzania danych przez Przetwarzającego, np. realizacji Umowy z dnia ……………… nr …………
dotyczącej ].
2. Administrator powierza Przetwarzającemu przetwarzanie następujących danych osobowych:
1) Rodzaj danych [należy podać rodzaj danych, tj. tzw. dane zwykłe oraz
dane szczególnych kategorii]
2) Kategoria osób [należy podać kategorię osób, których dane dotyczą, np.
klientów, pracowników Urzędu, itd.]
3) Kategoria danych …………….. [należy podać kategorie danych osobowych, np. imiona i nazwiska, adresy zamieszkania, numery PESEL itd.].
3. Przetwarzanie objęte niniejszą Umową ma charakter stały i będzie się odbywać … [w tym miejscu należy wstawić sposób przetwarzania – czy w systemach informatycznych, jeśli tak – dodać nazwę systemu, czy na papierze itp.]
4. Przetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania powierzonych danych: [wybrać właściwe, zgodnie ze stanem faktycznym,
pozostałe usunąć] utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – które są w minimalnym zakresie niezbędne do realizacji celu, o którym mowa w ust. 1.
§ 3
Obowiązki Przetwarzającego
1. Przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązuje się do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, odpowiadających aktualnemu stanowi wiedzy technicznej, zapewniających zgodność z Rozporządzeniem, w tym adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą.
2. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe, przy czym będą to jedynie osoby, które mają odpowiednie przeszkolenie z zakresu ochrony danych osobowych i są niezbędne do realizacji celu niniejszej Umowy.
4. Przetwarzający zapewnia, że osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zobowiążą się do zachowania tajemnicy lub będą
podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b) Rozporządzenia, zarówno w trakcie zatrudnienia ich u Przetwarzającego, jak i po jego ustaniu. Przetwarzający zapewnia ponadto, że osoby, o których mowa w niniejszym ustępie, będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej.
5. Dla prawidłowej realizacji ust. 4 Przetwarzający dokonuje okresowej weryfikacji listy osób, którym udzielono dostępu do danych przetwarzanych w imieniu Administratora.
6. Przetwarzający, po zakończeniu świadczenia usług związanych z przetwarzaniem, niezwłocznie usuwa / zwraca [zostawić właściwe] Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. [Niniejszy punkt nie będzie miał zastosowania, w przypadku gdy celem powierzenia będzie usunięcie / zniszczenie danych.]
7. Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, oraz z obowiązków określonych w art. 32–36 Rozporządzenia.
8. Przetwarzający w razie wpływu do niego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, informuje o tym Administratora w terminie 5 dni roboczych od otrzymania żądania. Udzielając informacji Przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do jego realizacji.
9. Przetwarzający zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania Rozporządzenia.
10. Przetwarzający współdziała z Administratorem w sytuacji stwierdzenia naruszenia ochrony danych osobowych, to jest:
1) umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia przesyła do Administratora nie później niż w ciągu 24 godzin od powzięcia takiej informacji wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzorczego,
2) współpracuje przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane dotyczą.
§ 4
Prawo do kontroli
1. Zgodnie z art. 28 ust. 3 lit. h) Rozporządzenia Administrator ma prawo do przeprowadzania audytów, w tym inspekcji (dalej: prawo do kontroli) mających na celu weryfikację, czy Przetwarzający spełnia obowiązki wynikające z Umowy.
2. Administrator będzie realizować prawo do kontroli w godzinach pracy Przetwarzającego i z uprzedzeniem minimum 5 dni roboczych. [Zaleca się przynajmniej 5 dni roboczych, jednakże termin można dostosować do potrzeb.]
3. Prawo do kontroli obejmuje:
1) wstęp do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych osobowych,
2) żądanie złożenia pisemnych lub ustnych wyjaśnień od osób upoważnionych do przetwarzania powierzonych danych osobowych,
3) wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli,
4) przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych.
4. Przetwarzający udostępni niezbędne informacje Administratorowi lub upoważnionemu przez niego audytorowi. Przetwarzający niezwłocznie poinformuje Administratora, jeżeli jego zdaniem wydane mu polecenie udostępnienia informacji stanowiłoby naruszenie Rozporządzenia lub innych przepisów o ochronie danych osobowych.
5. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych, jednakże nie dłuższym niż 7 dni roboczych. [Termin można określić inaczej, w miarę potrzeb i uzgodnień z Przetwarzającym.]
§ 5
Dalsze powierzenie i przekazywanie danych do państwa trzeciego
[wersja postanowień § 5 w przypadku braku automatycznej zgody na podpowierzenie – zalecane]
1. W zakresie realizacji Umowy Przetwarzający nie korzysta z usług innego podmiotu przetwarzającego (dalej: Podprocesora) bez pisemnej szczegółowej zgody. [Szczegółowa zgoda oznacza akceptację ze strony Administratora na dalsze powierzenie dla konkretnego Podprocesora.]
2. W przypadku pisemnej zgody wyrażonej przez Administratora Podprocesor winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Przetwarzającego niniejszą Umową.
3. Podpowierzenie może nastąpić wyłącznie w zakresie niezbędnym do realizacji niniejszej Umowy przez Przetwarzającego.
4. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora danych, chyba że taki obowiązek nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
[wersja postanowień § 5 w przypadku zgody ogólnej (blankietowej) na podpowierzenie]
1. Przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania kolejnemu podmiotowi (dalej: Podprocesorowi) jedynie w ściśle określonym celu i zakresie, wyłącznie pod warunkiem uprzedniego poinformowania Administratora w formie pisemnej o zamiarze wyboru Podprocesora w celu umożliwienia Administratorowi wyrażenia sprzeciwu w terminie 7 dni roboczych od poinformowania go przez Przetwarzającego.
2. Podprocesor winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Przetwarzającego w niniejszej Umowie.
3. W przypadku powierzenia przetwarzania danych osobowych przez Przetwarzającego Podprocesorowi, zgodnie z ust. 1, Przetwarzający:
1) zawiera z Podprocesorem na piśmie odrębną umowę powierzenia przetwarzania danych osobowych (zwaną dalej „umową podpowierzenia”), w rozumieniu art. 28 ust. 4 RODO, z określeniem stosownego do umowy powierzenia celu, czasu i zakresu przetwarzania danych osobowych oraz rodzaju danych osobowych i kategorii osób, których te dane dotyczą,
2) zawiera w umowie podpowierzenia postanowienie dotyczące uprawnień Administratora do kontroli Podprocesora w zakresie bezpieczeństwa powierzonych mu danych osobowych w ramach umowy podpowierzenia,
3) przekazuje Administratorowi kopię umowy podpowierzenia zawartej z Podprocesorem.
4. Przetwarzający, w przypadku gdy w umowie podpowierzenia dopuszcza, za zgodą Administratora, kolejne podpowierzenia, zapewnia Administratorowi posiadanie przez niego, na każdym etapie realizacji niniejszej Umowy, aktualnego wykazu wszystkich Podprocesorów zaangażowanych w celu realizacji niniejszej Umowy, który w takim przypadku stanowić musi załącznik do niniejszej Umowy.
5. Przetwarzający nie ma prawa przekazać Podprocesorowi całości wykonania Umowy.
6. Jeżeli Podprocesor nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, o których mowa w niniejszej Umowie, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podprocesora spoczywa na Przetwarzającym.
7. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora danych, chyba że taki obowiązek nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 6
Odpowiedzialność Przetwarzającego
1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za ich udostępnienie osobom nieupoważnionym.
2. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub brakiem zastosowania właściwych środków bezpieczeństwa.
3. Przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z Rozporządzeniem lub Umową przetwarzania danych osobowych przez Przetwarzającego, w szczególności w sytuacji zapłaty odszkodowania przez Administratora na podstawie art. 82 RODO.
4. W przypadku niewykonania lub nienależytego wykonania przez Przetwarzającego niniejszej Umowy, Przetwarzający zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
5. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w Umowie,
o jakiejkolwiek decyzji administracyjnej lub jakimkolwiek orzeczeniu dotyczących przetwarzania tych danych, skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§ 7
Czas obowiązywania Umowy
Niniejsza Xxxxx zostaje zawarta na czas obowiązywania umowy głównej. [Oznacza to, że umowa powierzenia wygasa w przypadku wygaśnięcia umowy głównej.]
§ 8
Rozwiązanie Umowy
Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie lub
2) przetwarza dane osobowe w sposób niezgodny z Umową lub
3) powierzył przetwarzanie danych osobowych innemu podmiotowi z naruszeniem przepisów o ochronie danych osobowych bądź niezgodnie z postanowieniami niniejszej Umowy.
§ 9
Zasady zachowania tajemnicy
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy danych osobowych będących przedmiotem niniejszej Umowy oraz innych informacji, do których uzyskał dostęp w związku z realizacją Umowy. [w przypadku, kiedy oświadczenie o poufności nie zostało złożone na etapie zawierania umowy głównej, należy wstawić dodatkowo zdanie:] Przetwarzający zobowiązuje się do złożenia oświadczenia o zachowaniu poufności zgodnie z załącznikiem nr … [wstawić właściwy nr załącznika] do niniejszej Umowy powierzenia.
2. Przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych, o których mowa w ust. 1, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia tych informacji wynika z obowiązujących przepisów prawa. W takim przypadku, jeśli przepisy prawa nie stanowią inaczej, Przetwarzający poinformuje Administratora o ujawnieniu tych informacji na rzecz osób lub organów, co do których ujawnienie ma nastąpić lub już nastąpiło, podając zakres i podstawy prawne ujawnienia.
§ 10
Wynagrodzenie Przetwarzającego
Wykonanie przedmiotu niniejszej Umowy przez Przetwarzającego nie będzie wiązać się z dodatkowymi kosztami dla Administratora ponad koszty przewidziane w umowie głównej.
§ 11
Postanowienia końcowe
1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
2. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy a umowy głównej, pierwszeństwo mają postanowienia niniejszej Umowy. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy.
3. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla Administratora.
5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Załączniki do umowy:
Załącznik nr 1 – Oświadczenie o zachowaniu poufności, zgodne z obowiązującym wzorem [jeśli dotyczy]
Załącznik nr 2 – Oświadczenie w sprawie gwarantowanych środków technicznych i organizacyjnych stosowanych przez Podmiot przetwarzający
Załącznik nr 3 – Wykaz Podprocesorów [jeśli dotyczy]
Załącznik nr 4 – Klauzule informacyjne RODO [jeśli dotyczy]
…………………………… …………………………..
Administrator Przetwarzający