Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: Zał. nr 5 do umowy...... wpisanym do rejestru przedsiębiorców / ewidencji działalności gospodarczej pod nr... "Administratorem" reprezentowanym przez:... a Miejskim Towarzystwem Budownictwa Społecznego Spółka z o. o., 09-400 Płock, ul. Kwiatka 5, wpisanym do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla M.st. Warszawy w Warszawie XIV Wydział Gospodarczy KRS pod numerem 0000117624, NIP: 774-12-61-654, kapitał zakładowy: 62.429.000,00 zł, zwanym dalej w umowie zwanym dalej Procesorem reprezentowanym przez :... o następującej treści : Przedmiot umowy 1 1. Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych, zwanej dalej,,umową, w związku z zawarciem niniejszej umowy o wykonanie robót budowlanych polegających na wykonaniu zadania inwestycyjnego pn. Rozbiórka istniejących oficyn przy ul. H. Sienkiewicza 40 i 42 oraz budowa budynku mieszkalnego wielorodzinnego z usługami przy ul. Kaczmarskiego wraz z infrastrukturą techniczną (instalacjami wewnętrznymi: wod-kan, c.o., elektryczną, telekomunikacyjną, wentylacji hybrydowej, węzłem cieplnym, instalacjami zewnętrznymi i oświetleniem terenu), zwaną dalej Umową Główną. 2. Administrator powierza Procesorowi, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej Rozporządzeniem ) dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej Umowie. 3. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 4. Procesor oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia. 2 Zakres i cel przetwarzania danych 1. Procesor będzie przetwarzał, powierzone na podstawie umowy przez Administratora
1) następujące zbiory/ kategorie danych : - pracownicy administratora, - klienci administratora 2) następujące rodzaje danych osobowych : - imię nazwisko, - adres poczty elektronicznej, - numer telefonu stacjonarnego/ komórkowego, - NIP, - PESEL, - adres zamieszkania, - numer rachunku bankowego. 2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji Umowy Głównej w zakresie koniecznym do prawidłowej realizacji zadań wynikających z Umowy Głównej. 3. Przetwarzanie danych przez Procesora zdeterminowane jest poleceniami Administratora. Procesor z własnej inicjatywy nie dokonuje jakichkolwiek czynności na danych, na żądanie Administratora Procesor informuje o czynnościach dokonanych na danych. Procesor może dokonywać czynności na danych bez polecenia Administratora gdy posiada ku temu umocowanie wynikające z powszechnie obowiązujących przepisów prawa. 4. Zakres powierzenia wskazany powyżej może zostać w każdym momencie rozszerzony lub ograniczony przez Administratora. Ograniczenie lub rozszerzenie może być dokonane na piśmie lub na adres poczty elektronicznej wskazanej w Umowie Głównej do kontaktu. 3 Obowiązki podmiotu przetwarzającego 1. Procesor zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. 2. Procesor zobowiązuje się w szczególności do : a. przetwarzania danych wyłącznie na udokumentowane polecenie Administratora co dotyczy też przekazywania danych do państwa trzeciego lub organizacji międzynarodowej chyba że obowiązek taki nakładają na niego obowiązujące przepisy. Przed przekazaniem danych do państwa trzeciego lub organizacji międzynarodowej przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile przepisy nie zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, b. zapewnienia by osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, c. podejmowania wszelkich środków wymaganych na mocy obowiązujących przepisów prawa, w szczególności stosuje środki techniczne i organizacyjne zapewniające ochronę powierzonych do przetwarzania danych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien
zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, d. pomagania Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych przepisami prawa, e. pomagania Administratorowi wywiązać się z obowiązków określonych przepisami prawa w zakresie ochrony danych osobowych, f. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków Procesora, jako podmiotu przetwarzającego dane, wynikających z obowiązujących przepisów prawa, niezwłocznego informowania Administratora jeżeli zdaniem Procesora wydane polecenie stanowi naruszenie obowiązujących przepisów prawa w zakresie ochrony danych osobowych. g. informowania Administratora o wszelkich dostrzeżonych przez niego naruszeniach ochrony danych osobowych w terminie nie późniejszym niż 48 godzin od chwili powzięcia o nich wiadomości, Prawo kontroli 4 1. Administrator ma prawo audytu - kontroli, czy środki zastosowane przez Procesora przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy. 2. Administrator realizować będzie prawo kontroli w godzinach pracy Procesora i z minimum 4- godzinnym jego uprzedzeniem. 3. Procesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora nie dłuższym niż 3 dni. 4. Procesor udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia, w szczególności również poprzez udzielanie dostępu do pomieszczeń i urządzeń, pracowników i współpracowników w zakresie uzasadnionym przedmiotem audytu. 5 Dalsze powierzenie danych do przetwarzania 1. Procesor może powierzyć dane do dalszego przetwarzania podmiotom trzecim tylko i wyłącznie w celu określonym w niniejszej umowie, po wcześniejszym uzyskaniu zgody Administratora wyrażonej w formie pisemnej. 2. W razie powierzenia, o którym mowa w ust. 1 powyżej, Procesor zapewni by na podmiot trzeci nałożone zostały te same obowiązki ochrony danych jak w niniejszej umowie. W razie niewywiązywania się przez podmiot trzeci z obowiązków ochrony danych, o których mowa w niniejszym ustępie, Procesor ponosi z tego tytułu pełną odpowiedzialność wobec Administratora. 3. Niniejszym Administrator wyraża zgodę na dalsze powierzenie przetwarzania danych przez Procesora następującym podmiotom trzecim : a.... b...
6 Odpowiedzialność Procesora 1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 2. Procesor zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Procesora danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Procesora, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Procesora tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych. Czas obowiązywania umowy 1. Umowa zawarta jest na czas obowiązywania Umowy Głównej. 7 2. Administrator jest uprawniony do rozwiązania umowy bez zachowania okresu wypowiedzenia w przypadku: a. istotnego naruszenia przez Procesora postanowień umowy, jeżeli Procesor nie zaprzestanie naruszeń lub nie naprawi ich skutków w odpowiednim terminie wyznaczonym przez Administratora w wezwaniu skierowanym w formie wiadomości e-mail; b. jeśli w wyniku kontroli organu nadzorczego zostanie wykazane, że Procesor nie podjął środków zapewniających ochronę danych osobowych 3. Procesor jest uprawniony do rozwiązania umowy bez zachowania okresu wypowiedzenia jeśli w wyniku kontroli organu nadzorczego zostanie wykazane, że Administrator nie podjął środków zapewniających ochronę danych osobowych w zakresie w jakim sam jest do tego zobowiązany. Usunięcie danych 8 1. Po rozwiązaniu lub wygaśnięciu niniejszej umowy i wygaśnięciu lub przedawnieniu roszczeń z niej wynikających Procesor zobowiązany jest do zaprzestania przetwarzania danych osobowych i w zależności od decyzji Administratora, na podjęcie której Administrator ma 3 dni licząc od dnia rozwiązania lub wygaśnięcia niniejszej umowy, zwrócić lub trwale usunąć dane. W przypadku biernej postawy Administratora Procesor trwale usunie dane. 2. Przez usunięcie danych osobowych rozumieć należy fizyczne zniszczenie nośników danych osobowych, a w przypadku danych przechowywanych w systemach komputerowych ich usunięcie i nadpisanie lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. 3. Usunięcie przez Procesora danych osobowych zostanie na żądanie Administratora potwierdzone stosownym protokołem.
9 Zasady zachowania poufności 1. Procesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej ( dane poufne ). 2. Procesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy. Postanowienia końcowe 10 1. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia. 2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron Administrator danych Podmiot przetwarzający