UMOWA NA ŚWIADCZENIE USŁUGI INSPEKTORA OCHRONY DANYCH OSOBOWYCH
UMOWA NA ŚWIADCZENIE USŁUGI INSPEKTORA OCHRONY DANYCH OSOBOWYCH
W/272/8/ORG/8/22
Zawarta dnia 01.01.2022 roku w Warszawie pomiędzy:
Gminą Milanówek, xx. Xxxxxxxxxx 00, 00-000 Xxxxxxxxx, NIP: 5291799245, REGON: 013269150
zwaną dalej „Zamawiającym”
reprezentowanym przez:
Pana Xxxxxx Xxxxxxxxxxxxxx – Burmistrza Miasta Milanówka
a
INBASE sp. z o. o. z siedzibą w Warszawie, xx. Xxxxxxxxxx Xxxxxx 00, 00-000 Xxxxxxxx, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr 0000467111, NIP: 000-000-00-00,
REGON: 146735375
zwaną dalej „InBase”
reprezentowaną przez:
Xxxx Xxxxxxxx Xxxxxxxxxxx - Prezesa Zarządu
zwanych również dalej wspólnie „Stronami” a każdy z osobna „Stroną”
§1
PRZEDMIOT UMOWY
1 . Przedmiotem umowy jest prowadzenie kompleksowej usług z zakresu ochrony danych osobowych oraz pełnienie funkcji Inspektora Ochrony Danych dla Urzędu Miasta Milanówka. InBase zobowiązuje się do świadczenia na rzecz Zamawiającego kompleksowej obsługi w zakresie ochrony danych osobowych, w tym pełnienie funkcji Inspektora Ochrony Danych, a Zamawiający zobowiązuje się płacić InBase miesięczne wynagrodzenie.
§ 2
USŁUGA INSPEKTORA OCHRONY DANYCH
1. InBase będzie świadczył usługę przez Xxxxxxxxx Xxxxxxxxxxxx − inspektora ochrony danych, lub
inną osobę o wymaganych kompetencjach.
2. Obowiązki Inspektora Ochrony Danych obejmują:
a) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie
ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (dalej zwane rozporządzenie) oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk Administratora lub podmiotu
przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
d) współpraca z organem nadzorczym;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
f) przygotowywanie instrukcji, dokumentów obiegowych,
g) szkolenie personelu uczestniczącego w operacjach przetwarzania,
h) udzielania wskazówek administratorowi w przedmiocie wdrożenia odpowiednich i skutecznych środków technicznych jak również organizacyjnych mających zabezpieczyć dane osobowe oraz jak wykazać przestrzeganie prawa przez administratora lub podmiotu
przetwarzającego dane w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod katem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko,
i) udzielania na żądanie zaleceń co do oceny skutków oraz monitorowanie ich wykonania w przypadku, gdy administrator danych przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych,
j) kontakt z osobami, których dane dotyczą,
k) prowadzenie rejestru czynności przetwarzania,
l) kontakt z organami nadzoru, itp.,
m) a także inne czynności wynikające z przepisów powszechnie obowiązującego prawa (krajowego i unijnego) mające na celu zapewnienie przetwarzania danych osobowych w
Urzędzie Miasta Milanówka w zgodzie z wszelkimi przepisami, procedurami, wymogami lub
wytycznymi obowiązującymi w tym zakresie.
3. Realizacja usługi następować będzie on-line za pośrednictwem systemu udostępnionego przez InBase z 24 godzinnym dostępem. Zgłoszenie będzie następować poprzez wysłanie informacji na adres mailowy xxxxxxx@xxxxxx.xx lub telefonicznie.
4. Usługa realizowana będzie w godzinach 8:00 − 16:00 (w dni robocze) - konsultacje telefoniczne, mailowe.
5. W ramach umowy przewidziana jest 1 wizyta w miesiącu w miejscu prowadzenia działalności
przez Zamawiającego.
6. W przypadku potencjalnego naruszenia ochrony danych, bądź kontroli UODO wizyta w miejscu prowadzenia działalności przez Zamawiającego będzie zrealizowana niezwłocznie po ustaleniu z Zamawiającym terminu spotkania.
7. InBase zobowiązuje się do reakcji na zgłoszenie w zależności od rodzaju zapytania, estymowany czas reakcji zostanie wskazany w odpowiedzi na zapytanie ale nie będzie dłuższy niż 3 dni robocze od momentu otrzymania kompletu niezbędnych dokumentów, informacji umożliwiających realizacje zgłoszenia, a w przypadku weryfikacji dokumentacji systemu ochrony danych osobowych nie będzie dłuższy niż 7 dni roboczych o momentu otrzymania dokumentacji. Jeżeli ze względu na złożoność zgłoszenia odpowiedź będzie wymagała znacznego nakładu pracy lub sporządzenia dodatkowej dokumentacji, to czas odpowiedzi może przekroczyć wskazane powyżej estymowane czasy nie dłuższe niż 7 dni o czym Zamawiający zostanie poinformowany.
§ 3
WYNAGRODZENIE
1. Za wykonywanie usługi opisanej w § 1 ust. 1 niniejszej umowy Zamawiający zobowiązuje się płacić InBase miesięczne wynagrodzenie ryczałtowe w wysokości 635,00 zł netto (słownie: sześćset trzydzieści pięć złotych 0/100).
2. Wynagrodzenie płatne będzie na podstawie faktur VAT wystawionych przez InBase, w terminie 14 dni od dnia jej doręczenia.
3. Za doręczenie faktur strony rozumieją jej wysłanie wiadomością mailową do przedstawiciela
Zamawiającego na adres e-mail: xxxxxx@xxxxxxxxx.xx.
4. Do podanych kwot wynagrodzenia doliczony zostanie podatek VAT w stawce obowiązującej w dniu wystawienia faktury.
5. Wynagrodzenie płatne będzie na rachunek bankowy InBase:
z uwzględnieniem mechanizmu podzielonej płatności /split payment/ .
6. Za każdy dzień zwłoki w płatności Zamawiający zobowiązuje się uiścić InBase odsetki ustawowe za opóźnienie w transakcjach handlowych.
§ 4
OŚWIADCZENIA STRON
1. InBase oświadcza iż dysponuje niezbędną wiedzą i doświadczeniem do świadczenia usług opisanych w § 1 w sposób profesjonalny i rzetelny.
2. Zamawiający zobowiązuje się współdziałać z InBase w wykonaniu niniejszej umowy, pozostawiając InBase pełną swobodę w zakresie decydowania o sposobie realizacji usług zgodnie z przepisami prawa, z zastrzeżeniem postanowień §2.
3. Zamawiający zobowiązuje się do dostarczania na żądanie InBase wyjaśnień dotyczących sposobu przetwarzania danych osobowych oraz specyfikacji technicznych wykorzystywanych w tym celu przez Zamawiającego.
4. Zamawiający zobowiązuje się do bieżącego informowania InBase o zamiarach wprowadzenia zmian
w sposobie prowadzenia swojej działalności i realizowanych czynnościach, które mają lub mogą mieć wpływ na przebieg realizacji niniejszej umowy, a w szczególności zmian dotyczących sposobu przetwarzania danych osobowych oraz specyfikacji technicznych.
5. InBase nie ponosi odpowiedzialności za skutki niewdrożenia lub niewłaściwego wdrożenia przez Zamawiającego rozwiązań rekomendowanych przez InBase oraz działalności osób trzecich na szkodę Zamawiającego.
§ 5
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Ze względu na możliwość dostępu przez InBase do danych osobowych przetwarzanych przez Zamawiającego w trakcie realizacji niniejszej umowy, Zamawiający powierza InBase przetwarzanie danych osobowych w celu prawidłowego wykonywania umowy głównej, a InBase zobowiązuje się do przetwarzania powierzonych danych osobowych wyłącznie w celach związanych z jej realizacją oraz wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów.
2. Zamawiający jest Administratorem Danych Osobowych w odniesieniu do danych powierzonych
InBase zgodnie z niniejszą umową, a InBase jest podmiotem przetwarzającym.
3. Powierzone przez Zamawiającego dane osobowe obejmują rodzaj danych osobowych zwykłych w postaci: imię, nazwisko, nr pesel, adres e-mail, nr telefonu oraz inne niewymienione dane do których dostęp będzie niezbędny w zakresie analizy naruszenia ochrony danych, dotyczące następującej kategorii osób: pracownicy, klienci, współpracownicy, a ich przetwarzanie będzie polegało na realizacji następujących czynności przetwarzania: zbieranie, utrwalanie, organizowanie, porzqdkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie,
przeglqdanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łqczenie, ograniczanie, usuwanie lub niszczenie.
4. InBase zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i chroniło prawa osób, których dane dotyczą.
5. InBase oświadcza, że osobom zatrudnionym przy przetwarzaniu powierzonych danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te, zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia.
6. InBase przetwarza dane osobowe wyłącznie na udokumentowane polecenie Zamawiającego.
7. InBase, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Zamawiającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
8. InBase, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga
Zamawiającemu wywiązać się z obowiązków określonych w art. 32−36 RODO.
9. InBase po wygaśnięciu umowy głównej zależnie od decyzji Zamawiającego usuwa lub zwraca mu wszelkie dane osobowe oraz trwale usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
10. InBase nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Zamawiającego.
§ 6
ZACHOWANIE POUFNOŚCI
1. InBase zobowiązuje się do zachowania w tajemnicy wszelkich nieujawnionych do wiadomości publicznej informacji dotyczących Zamawiającego pozyskanych poprzez InBase podczas lub w związku ze współpracą z Zamawiającym. Obowiązek zachowania w tajemnicy obejmuje („Informacje Poufne”):·
a/ dane osobowe, do których Inbase ma dostęp lub zostały mu powierzone;
b/ procedury, instrukcje, wszelkie informacje techniczne i technologiczne;
c/ informacje organizacyjne przedsiębiorstwa, plany biznesowe, działania reklamowe i marketingowe;
d/ informacje dotyczące płynności finansowej, kontraktów, informacji dotyczących kontrahentów;
e/ innych informacji prawnie chronionych.
2. InBase zobowiązuje się do zabezpieczenia uzyskanych Informacji Poufnych w tym danych osobowych przed dostępem osób nieupoważnionych, a w momencie przekazania informacji prawnie chronionych przetwarzający zobowiązuje się do zachowania wszelkich wymogów określonych w odpowiednich aktach prawnych w stosunku do tych danych.
3. Udostępnienie Informacji Poufnych w tym danych osobowych przez przetwarzającego osobom trzecim możliwe jest:
a/ jedynie za uprzednią pisemną zgodą;
b/ na żądanie sądu, prokuratury, policji i innych organów państwowych uprawnionych do ich uzyskania na podstawie ustawy. W tym przypadku przetwarzający zobowiązuje się niezwłocznie poinformować Zamawiającego o wpłynięciu takiego żądania.
W obu powyższych przypadkach Inbase udostępni Informacje Poufne jedynie w niezbędnym
zakresie.
4. InBase zobowiązuje się, na każde żądanie Zamawiającego, do wydania lub zniszczenia wszelkich przedmiotów będących nośnikami Informacji Poufnych (w tym kopii, notatek, plików komputerowych)
w zakresie, w jakim zawierają one Informacje Poufne. W przypadku sytuacji przechowywania Informacji Poufnych na urządzeniach elektronicznych należących do przetwarzającego należy usunąć te Informacje Poufne w sposób nieodwracalny. Odmowa zadośćuczynienia takiemu żądaniu może nastąpić jedynie w takim zakresie, w jakim spełnienie żądania stanowiłoby naruszenie bezwzględnie obowiązujących przepisów prawa. W przypadku danych osobowych po wygaśnięciu lub rozwiązaniu Umowy przetwarzający jest bezwzględnie zobowiązany do zwrotu powierzonych mu danych osobowych oraz skasowaniu wszelkich kopii tych danych, będących w posiadaniu przetwarzającego w celu zaprzestania dalszego ich przetwarzania.
5. InBase zobowiązuje się przekazać informację o obowiązku zachowania poufności wynikającej z niniejszej umowy swoim pracownikom oraz współpracownikom przetwarzającego, odpowiada także za zachowanie tajemnicy przez swoich pracowników oraz współpracowników.
6. Obowiązek zachowania poufności nie ustaje po wygaśnięciu niniejszej umowy.
7. Obowiązek zachowania poufności może zostać zniesiony na piśmie przez Zamawiającego lub gdy dana informacja została upubliczniona.
§7
NARUSZENIE ZASAD OCHRONY DANYCH OSOBOWYCH I INFORMACJI POUFNYCH
1. Naruszenie obowiązku zachowania poufności polega w szczególności na przekazaniu, wykorzystaniu, ujawnieniu jakiejkolwiek Danych Osobowych czy Informacji Poufnych osobom nie upoważnionym.
2. W razie naruszenia przez InBase obowiązku zachowania poufności, InBase zobowiązuje się na żądanie Zamawiającego, wykonać wszelkie czynności potrzebne do usunięcia skutków takiego naruszenia oraz zapobieżenia dalszym naruszeniom, w szczególności:
a/ złożyć rzetelne wyjaśnienia na piśmie, ujawniając wszystkie szczegóły przebiegu zdarzeń, mających związek z ujawnieniem danych osobowych;
b/ podjąć wszelkie kroki mające na celu wykrycia osób odpowiedzialnych za naruszenie i zapobieżenia ich dalszemu rozpowszechnianiu.
§ 8
ZGODA NA UDOSTĘPNIENIE ZNAKU GRAFICZNEGO
1. Zamawiający wyraża InBase zgodę na umieszczenie znaku graficznego którym się posługuje określonego w załączniku Nr 2 do niniejszej umowy, na stronie internetowej InBase w miejscu przeznaczonym do prezentacji klientów InBase.
2. Zgoda jest ważna bezterminowo od chwili zawarcia umowy. W przypadku rozwiązania niniejszej umowy, bez względu na przyczynę, InBase usunie ze swojej strony internetowej znak graficzny.
3. InBase oświadcza, iż znak graficzny Zamawiającego będzie wykorzystane jednorazowo jedynie w celu przedstawienia Zamawiającego jako kontrahenta InBase i zobowiązuje się nie korzystać z niego do żadnych innych celów.
§ 9
ODPOWIEDZIALNOŚĆ I PRAWA AUTORSKIE
1. Osobiste prawa autorskie do raportów i wszelkich dokumentów jakie zostaną stworzone przez InBase w związku z realizacją niniejszej umowy, pozostają własnością i będą wykonywane przez InBase.
2. W ramach wynagrodzenia, należnego InBase na podstawie niniejszej Umowy, z dniem wydania jakiegokolwiek utworu, InBase przenosi na Zamawiającego majątkowe prawa autorskie do powstałej dokumentacji na polach eksploatacji wymienionych w art. 50 ustawy o prawie autorskim i prawach pokrewnych.
3. Zamawiający uprawniony jest do wykonywania praw zależnych do utworów powstałych z związku z realizacją niniejszej umowy oraz może dokonywać modyfikacji tych utworów bez jakichkolwiek ograniczeń osobiście, lub za pośrednictwem osób trzecich.
§10
POSTANOWIENIA KOŃCOWE
1. Niniejsza umowa wchodzi w życie z dniem jej zawarcia i będzie trwała 12 miesięcy.
2. Strony maja prawo wypowiedzenia umowy z zachowaniem 3 miesięcznego okresu
wypowiedzenia.
3. InBase ma prawo wypowiedzieć umowę ze skutkiem natychmiastowych z uwagi na brak współpracy ze strony Zamawiającego niezbędnej do wykonania umowy, pod warunkiem uprzedniego pisemnego wezwania, do zaniechania konkretnie wskazanych w piśmie naruszeń w terminie nie krótszym niż 7 dni.
4. W chwili rozwiązania umowy w trybie wskazanym w ust. 3 Zamawiający ma obowiązek zapłacić
InBase wynagrodzenie proporcjonalne za czas i zakres wykonanej umowy.
5. Strony dopuszczają możliwość dokonywania zmian niniejszej umowy w całości lub w części.
6. Zmiany umowy wymagają formy pisemnej (aneksu) pod rygorem nieważności.
7. Spory związane z wykonaniem tej umowy, a nierozwiązane przez Strony na drodze polubownej, będą rozstrzygane przez Sąd właściwy dla siedziby Zamawiającego.
8. Żadna ze Stron nie może, bez uzyskania uprzedniej, pisemnej pod rygorem nieważności zgody drugiej Strony, przenieść jakichkolwiek praw lub obowiązków wynikających z umowy na osoby trzecie.
9. Niniejsza umowa sporządzona została w dwóch jednobrzmiących egzemplarzach, po jednym dla
każdej ze Stron.
InBaIn
/-/ Xxxxxxx Xxxxxxxx /-/ Xxxxx Xxxxxxxxxxx InBase Zamawiający