UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr./2018 zawarta w dniu 2018 roku w POMIĘDZY: Grupą Azoty.., z siedzibą w., wpisaną do Krajowego Rejestru Sądowego przez Sąd pod numerem KRS.., NIP.., REGON.., o wysokości kapitału zakładowego i wpłaconego PLN, zwaną dalej Zamawiającym, reprezentowaną przez:.. -.,.. -., zwaną dalej Powierzającym a, reprezentowaną przez:.. -.,.. -., zwaną dalej Procesorem, łącznie zwanymi Stronami, a każda z nich Stroną. ZWAŻYWSZY, ŻE: A) Powierzający jest administratorem Danych Osobowych w rozumieniu ustawy z dn. 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2016 r., poz. 922 z późniejszymi zmianami), oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) lub podmiotem je przetwarzającym uprawnionym do powierzenia dalszego ich przetwarzania, który zobowiązany jest do zagwarantowania ochrony Danych Osobowych, B) Procesor świadczy na rzecz Powierzającego usługi audytu i opracowania koncepcji modernizacji i integracji wszystkich zainstalowanych w obiektach Grupy Azoty ZAK S.A. elektronicznych systemów wspomagających oraz ochrony fizycznej, zgodnie z zawartą w tym zakresie przez Strony umową. nr.. z dnia, w związku z czym przetwarza Dane Osobowe administrowane przez Powierzającego lub jemu powierzone, w celu spełnienia wszystkich wymogów przewidzianych przez Ustawę i Rozporządzenie, a od dnia 25 maja 2018 roku również RODO, o których mowa w punkcie 1 niniejszej Umowy, z uwzględnieniem zmieniających się uregulowań prawnych w zakresie przetwarzania Danych Osobowych, na podstawie niniejszej umowy, w związku z art. 31 Ustawy i art. 28 RODO, niniejszym Strony zawierają umowę o powierzenie przetwarzania Danych Osobowych. 1
NINIEJSZYM STRONY POSTANOWIŁY, CO NASTĘPUJE: 1. Definicje i Interpretacje 1.1 W niniejszej Umowie poniższe wyrażenia otrzymują następujące znaczenia: Ustawa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2016 r., poz. 922 z późniejszymi zmianami). Rozporządzenie Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Dane Osobowe dane osobowe w rozumieniu Ustawy i RODO, administrowane przez Powierzającego lub jemu powierzone, przekazywane przez Powierzającego Procesorowi do przetwarzania w celu opisanym w pkt 3.1. Umowy i w zakresie wskazanym w ust. 3.2. Umowy. Umowa niniejsza umowa o powierzenie przetwarzania Danych Osobowych. Umowa audytu umowa zawarta pomiędzy Stronami o przeprowadzenie audytu i opracowanie koncepcji modernizacji i integracji wszystkich zainstalowanych w obiektach Grupy Azoty ZAK S.A. elektronicznych systemów wspomagających oraz ochrony fizycznej nr.. z dnia r. RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); w każdym przypadku gdy w Umowie Strony odwołują się do RODO, przyjmuje się, że zapisy te będą miały zastosowanie od dnia 25 maja 2018 roku. System teleinformatyczny pod pojęciem systemu teleinformatycznego rozumie się ogół sprzętu/ oprogramowania/ systemów wykorzystywanych do przetwarzania informacji/ danych, będącego przedmiotem prowadzonego przez Procesora audytu. 2. Przedmiot Umowy Powierzający, będący administratorem Danych Osobowych lub będąc podmiotem je przetwarzającym uprawnionym do powierzenia dalszego ich przetwarzania, na podstawie niniejszej Umowy powierza Procesorowi do przetwarzania Dane Osobowe w celu i zakresie opisanych odpowiednio w ust. 3.1. i 3.2. Umowy, a Procesor przyjmuje je do przetwarzania w tym celu i zobowiązuje się do ich przetwarzania zgodnie z prawem obowiązującym w chwili zawarcia Umowy, z uwzględnieniem jego ewentualnych zmian (w tym w szczególności, ale nie wyłącznie, zgodnie z Ustawą, Rozporządzeniem oraz RODO) oraz niniejszą Umową. 3. Cel i zakres powierzenia przetwarzania Danych Osobowych 3.1 Powierzenie przetwarzania Danych Osobowych następuje w celu świadczenia przez Procesora na rzecz Powierzającego usługi przeprowadzenia audytu i opracowania koncepcji modernizacji i integracji wszystkich zainstalowanych w obiektach Powierzającego elektronicznych systemów wspomagających oraz ochrony fizycznej funkcjonującej u Powierzającego, w zakresie i na zasadach określonych w Umowie audytu. 2
3.2 Zakres Danych Osobowych powierzonych Procesorowi do przetwarzania obejmuje dane administrowane przez Powierzającego lub jemu powierzone, przetwarzane w formie papierowej i systemie teleinformatycznym, użytkowanym przez Grupę Azoty ZAK S.A. w zakresie i na zasadach określonych w Umowie audytu Szczegółowy zakres Danych Osobowych przetwarzanych w ramach zbiorów administrowanych przez Powierzającego lub jemu powierzonych określono w obowiązującej u Powierzającego dokumentacji przetwarzania danych osobowych, wymaganej przepisami prawa (w tym Rozporządzenia). 3.3 Procesor jest uprawniony do przetwarzania Danych Osobowych wyłącznie w celu i zakresie określonych odpowiednio w ust. 3.1. oraz 3.2. powyżej. 3.4 Procesor, wyłącznie w zakresie określonym w Umowie audytu, jest uprawniony do wykonywania wszelkich operacji na powierzonych mu Danych Osobowych niezbędnych do prawidłowej jej realizacji. Procesor przetwarzał będzie powierzone Dane Osobowe w ramach prowadzonego audytu, zgodnie z zawartą w tym zakresie Umową audytu, Porozumienia o zachowaniu poufności i zapisami niniejszej Umowy. 3.5 Powierzający upoważnia Procesora do udzielania imiennych upoważnień do przetwarzania Danych Osobowych pracownikom Procesora uczestniczącym w procesie przetwarzania powierzonych Danych Osobowych w swoim imieniu. Procesor w ramach prowadzonej działalności gospodarczej ma prawo przetwarzać powierzone Dane Osobowe w innym celu niż określony w niniejszej Umowie, o ile uzyska tytuł prawny do ich przetwarzania w tym zakresie, stając się ich administratorem w rozumieniu Ustawy. 3.6 Procesor zobowiązany jest przed rozpoczęciem przetwarzania Danych Osobowych podjąć środki zabezpieczające powierzone mu Dane Osobowe określone w przepisach Ustawy i Rozporządzenia, w szczególności Procesor jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych Danych Osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy i Rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 3.7 Procesor oświadcza, że wyznaczył w ramach prowadzonej działalności gospodarczej administratora bezpieczeństwa informacji w rozumieniu przepisów Ustawy lub inną osobę, zobowiązaną do nadzoru przestrzegania zasad ochrony, o których mowa w ust. 3.6. powyżej oraz osoby upoważnione do przetwarzania Danych Osobowych. 3.8 W zakresie przestrzegania obowiązków wymienionych w ust. 3.6 i 3.7. powyżej Procesor ponosi odpowiedzialność jak Powierzający w zakresie powierzonych mu danych i ustalonym celu przetwarzania. 3.9 Procesor zobowiązuje się do wykonania usługi opisanej Umową audytu z najwyższą starannością, w sposób zapewniający poufność powierzonych Danych Osobowych, dokumentów i informacji zgodnie z Ustawą i Rozporządzeniem. 3.10 Strony mają obowiązek informowania drugiej Strony o planowanych i przeprowadzonych kontrolach odpowiedniego organu nadzoru i przez niego zleconych, dotyczących powierzonych na podstawie niniejszej Umowy do przetwarzania Danych Osobowych, w tym także prawidłowości zastosowanych zabezpieczeń oraz powiadomić drugą Stronę o wynikach tych kontroli. 3.11 Na podstawie przepisów 3, ust. 4, pkt 1 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745), Administrator 3
Bezpieczeństwa Informacji, powołany uchwałą Zarządu Grupy Azoty ZAK S.A. uprawniony jest do prowadzenia w stosunku do Procesora czynności kontrolnych wynikających z zapisów rozporządzenia jw. odnośnie zobowiązań, o których mowa w niniejszej Umowie. Warunkiem przeprowadzenia sprawdzenia jest zawiadomienie Procesora w terminie nie krótszym niż 7 dni przed planowanym terminem jej przeprowadzenia, z wyłączeniem przypadku określonego w 5, ust. 3, pkt 1 i 2 cytowanego rozporządzenia. W imieniu Powierzającego może działać także wyznaczony przez Powierzającego podmiot trzeci, o czym Procesor zostanie poinformowany na piśmie; 3.12 W przypadku konieczności dalszego powierzenia (podwykonawcy) przez Procesora Danych Osobowych, może ono nastąpić wyłącznie za pisemną zgodą Powierzającego, na zasadach określonych przez Powierzającego i zgodnie z postanowieniami obowiązujących przepisów prawa. 3.13 Procesor, w przypadku konieczności przekazania Danych Osobowych w związku z realizacją niniejszej Umowy i Umowy serwisowej do państwa trzeciego zobowiązany jest uzyskać pisemną zgodę Powierzającego. Przekazanie Danych Osobowych do państwa trzeciego może nastąpić zgodnie z obowiązującymi przepisami prawa w tym w zakresie, w szczególności przepisami art. 47-48 Ustawy. 3.14 Procesor zobowiązuje się naprawić wszelkie szkody poniesione przez Powierzającego w związku z niewykonaniem lub nienależytym wykonaniem przez siebie postanowień niniejszej Umowy do wysokości określonej w limitach odpowiedzialności Procesora zdefiniowanych w zawartym pomiędzy Stronami porozumieniu o zachowaniu poufności z dnia 3.15 Procesor zobowiązuje się: a) opracować dokumentację przetwarzania Danych Osobowych wymaganą przepisami Ustawy i Rozporządzenia, opisującą sposób przetwarzania Danych Osobowych oraz środki techniczne i organizacyjne umożliwiające należyte ich zabezpieczenie zgodnie z zapisami pkt. 3.6. w terminie do od podpisania niniejszej Umowy, jeżeli nie posiada dokumentacji jw. b) przetwarzać powierzone Dane Osobowe zgodnie z dokumentacją, o której mowa w punkcie a) powyżej, c) udostępnić Powierzającemu na każde jego żądanie dokumentację, o której mowa w punkcie a) powyżej, d) dopuszczać do przetwarzania powierzonych Danych Osobowych wyłącznie osoby posiadające imienne upoważnienie nadane przez Procesora na podstawie upoważnienia nadanego Procesorowi w niniejszej Umowie, e) prowadzić ewidencję osób, które upoważnione są do przetwarzania Danych Osobowych na podstawie Umowy (art. 39 ust. 1 Ustawy), a także ewidencję podwykonawców, którym powierzył przetwarzanie Danych osobowych zgodnie z punktem 3.12. powyżej, f) zapoznać osoby uczestniczące w realizacji Umowy z obowiązującymi zasadami w zakresie ochrony Danych Osobowych wynikającymi z przepisów prawa i regulacji wewnętrznych Procesora i Powierzającego oraz odebrać od powyższych osób oświadczenia w formie pisemnej o zachowaniu poufności powierzonych Danych Osobowych i sposobów ich zabezpieczeń, g) nadzorować swoich pracowników w zakresie zabezpieczenia powierzonych do przetwarzania Danych Osobowych. 4
4. Zapewnienia Powierzającego 4.1 Powierzający zapewnia, że: 4.1.1 jest administratorem danych, w rozumieniu Ustawy, w stosunku do Danych Osobowych lub jest uprawniony do ich przetwarzania oraz powierzania do dalszego przetwarzania, 4.1.2 uzyskuje i przetwarza wszystkie Dane Osobowe zgodnie z Ustawą. 5. Czas trwania Umowy 5.1 Umowa zostaje zawarta na czas trwania Umowy. i wygasa z dniem rozwiązania lub wygaśnięcia tej umowy. Przetwarzanie danych osobowych będzie następowało w całym okresie obowiązywania Umowy. 6. Wynagrodzenie 6.1 Wynagrodzenie z tytułu wykonywania niniejszej Umowy uwzględnione jest w wysokości wynagrodzenia należnego Procesorowi z tytułu Umowy audytu. 5
7. Realizacja umowy po rozpoczęciu stosowania RODO 7.1 Bez uszczerbku dla pozostałych postanowień niniejszej Umowy Powierzenia, postanowienia niniejszego rozdziału mają zastosowanie począwszy od dnia rozpoczęcia stosowania RODO, tj. od 25 maja 2018 r. Postanowienia te mają zastosowanie od tego dnia nawet w przypadku braku, zmiany lub uchylenia Ustawy. 7.2 Procesor zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z udokumentowanymi poleceniami Powierzającego, przy czym za takie udokumentowane polecenia uważa się także polecenia przekazywane Procesorowi w trakcie trwania niniejszej Umowy drogą elektroniczną lub na piśmie przez osoby uprawnione ze strony Powierzającego, wskazane w Umowie audytu. 7.3 Począwszy od dnia rozpoczęcia stosowania RODO, Procesor zobowiązuje się w ramach uwzględnienia celu i zakresu powierzenia przetwarzania Danych Osobowych, w szczególności zaś z uwzględnieniem faktu, iż Dane Osobowe przetwarzane są w formie papierowej i systemach teleinformatycznych Powierzającego i Procesora, w związku ze świadczeniem usługi opisanej Umową audytu: a) wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku wiążącym się z przetwarzaniem powierzonych danych, o którym mowa w art. 32 RODO. Zapewnienie gwarancji odpowiednich środków technicznych i organizacyjnych poprzez Procesora może być wykazane poprzez stosowanie zatwierdzonego kodeksu postępowania o którym mowa w art. 40 RODO lub zatwierdzonego mechanizmu certyfikacji, a którym mowa w art. 42 RODO b) współpracować i wspierać Powierzającego w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO; w szczególności, Procesor bez zbędnej zwłoki zobowiązuje się przekazywać Powierzającemu informacje dotyczące stosowanych przez Procesora środków zabezpieczenia Danych Osobowych w zakresie w jakim są one przetwarzane przez Procesora, przypadków naruszenia ochrony Danych Osobowych w celu zawiadamiania o tym przez Powierzającego organu nadzorczego lub osób, których dane dotyczą, przeprowadzenia oceny skutków dla ochrony Danych Osobowych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu; 6
c) współpracować i wspierać Powierzającego, poprzez zastosowanie na zlecenie Przetwarzającego odpowiednich środków technicznych i organizacyjnych, w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w Rozdziale III RODO, biorąc pod uwagę charakter przetwarzania. W szczególności, Procesor zobowiązuje się do przekazywania Powierzającemu wszelkich informacji oraz wykonywania wszelkich poleceń Powierzającego, które mają związek z realizacją praw osób, których dane dotyczą. Procesor będzie przekazywał Powierzającemu takie informacje drogą elektroniczną lub na piśmie, wedle wyboru Powierzającego, bez zbędnej zwłoki. W przypadku, w którym osoba, której dane dotyczą zwróci się bezpośrednio do Procesora, Procesor przekaże niezwłocznie taki wniosek do Powierzającego, wraz z żądanymi we wniosku informacjami, jeżeli są one w posiadaniu Procesora. W celu uniknięcia wątpliwości, Strony przyjmują, że informacji, o które zwracają się osoby jw. nie przekazuje osobom, których dane dotyczą Procesor; d) wykonywać w imieniu Powierzającego obowiązek informacyjny wynikający z art. 13 RODO w przypadkach, w których Procesor bezpośrednio zbiera dane od osób, których one dotyczą, o ile Powierzający zgłosi takie żądanie; e) stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO. 7.4 W razie powstania po dniu 25 maja 2018 roku wątpliwości interpretacyjnych pomiędzy postanowieniami niniejszego rozdziału a innymi postanowieniami niniejszej Umowy, zastosowanie mają te z postanowień, które przewidują wyższy stopień ochrony Danych Osobowych lub dalej idące obowiązki Procesora. 8. Postanowienia Końcowe 8.1 Wszelkie zmiany Umowy wymagają, pod rygorem nieważności, formy pisemnej. 8.2 Wszelkie zawiadomienia i korespondencja dokonywane zgodnie z niniejszą Umową lub w związku z nią będą przekazywane w formie i na zasadach przewidziany w Umowie audytu. 8.3 W sprawach nieuregulowanych niniejszą Umową zastosowanie mają odpowiednie przepisy prawa polskiego, w tym w szczególności przepisy Ustawy oraz Kodeksu Cywilnego, a począwszy od 25 maja 2018 roku RODO. 8.4 Niniejsza umowa nie stanowi tajemnicy przedsiębiorstwa w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2003 r. Nr 153, poz. 1503, z późniejszymi zmianami). 8.5 Niniejsza Umowa została sporządzona w dwóch egzemplarzach w języku polskim, po jednym egzemplarzu dla każdej ze Stron. NA DOWÓD CZEGO, w imieniu Stron podpisano: W imieniu Powierzającego W imieniu Procesora 7
Imię i Nazwisko: Stanowisko: Imię i Nazwisko: Stanowisko: 8