Regulamin powierzenia przetwarzania danych osobowych
§ 1
Powierzenie przetwarzania danych osobowych
- Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia, dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej Umowie.
- Administrator oświadcza, że jest Administratorem danych, które powierza Podmiotowi przetwarzającemu.
- Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
- Podmiot przetwarzający oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO określone w § 3 ust. 1 niniejszej Umowy.
§ 2
Zakres i cel przetwarzania danych
- Podmiot przetwarzający będzie przetwarzał powierzone na podstawie niniejszej Umowy dane. Zakres tych danych określa Umowa główna.
- Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celach określonych w Umowie głównej.
§ 3
Obowiązki i prawa Stron
- Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
- Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.
- Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust. 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
- Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zobowiązany jest do przekazania danych administratorowi i usunięcia wszelkich kopii.
- W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
- Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych niezwłocznie zgłasza je Administratorowi nie później niż w ciągu 48 godzin.
- Podmiot przetwarzający umożliwi Administratorowi lub podmiotom przez niego upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem, ustawą o ochronie danych osobowych, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z Umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 3 dni robocze przed rozpoczęciem kontroli. W przypadku powzięcia przez Administratora wiadomości o rażącym naruszeniu przez Beneficjenta obowiązków wynikających z RODO, ustawy o ochronie danych osobowych, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z Umowy, Podmiot przetwarzający umożliwi Administratorowi lub podmiotom przez niego upoważnionym dokonanie niezapowiedzianej kontroli lub audytu.
- Kontrolerzy Administratora lub podmiotów przez niego upoważnionych, mają w szczególności prawo:
-
- wstępu, w godzinach pracy do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem,
- żądać złożenia pisemnych lub ustnych wyjaśnień,
- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
- przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
-
- Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Administratora lub przez podmioty przez niego upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
- Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
- Podmiot przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec administratora, za szkody powstałe w związku z nieprzestrzeganiem RODO, ustawy o ochronie danych osobowych, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową powierzenia przetwarzania danych osobowych.
§ 4
Dalsze powierzenie danych do przetwarzania
- Podmiot przetwarzający nie może powierzyć danych osobowych objęte niniejszą Umową do dalszego przetwarzania podwykonawcom bez uprzedniej, pisemnej zgody Administratora.
- Podmiot przetwarzający zobowiązuje się do korzystania z usług wyłącznie takich podwykonawców, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie przez tych podwykonawców danych osobowych, spełniało wymogi Rozporządzenia.
- Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora.
- Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 5
Odpowiedzialność Podmiotu przetwarzającego
- Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
- Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie.
§ 6
Czas obowiązywania Umowy
- Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas określony w Umowie Głównej.
§ 7
Rozwiązanie umowy
- Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
-
- pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
- przetwarza dane osobowe w sposób niezgodny z Umową;
- powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
§ 8
Zasady zachowania poufności
- Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”). Podjęte zobowiązanie pozostaje w mocy w czasie trwania i po zakończeniu przetwarzania w ramach powierzenia danych osobowych.
- Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonania Umowy, chyba że konieczność ujawnienia informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 9
Postanowienia końcowe
- Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
- Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
- W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
- Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy Administratora.