Umowa powierzenia przetwarzania danych osobowych zwana dalej Umową, zawarta w dnia. 2018 r., pomiędzy: Gminą Miasta Tychy, al. Niepodległości 49, 43-100 Tychy, reprezentowaną przez.. Miejskiego Ośrodka Pomocy Społecznej w Tychach, ul. Budowlanych 59, 43-100 Tychy Panią., zwaną dalej Procesorem a., zwanym dalej Subprocesorem, zwanymi łącznie Stronami. Mając na uwadze, iż Strony łączy Umowa nr.../342/18 z dnia.. 2018r., przedmiotem której jest transport i ubezpieczenie NNW uczestników, zwana dalej Umową główną, w trakcie wykonywania której przetwarzane są dane osobowe, Strony zgodnie postanowiły, co następuje: 1 Oświadczenia Stron 1. Strony oświadczają, że niniejsza Umowa została zawarta w celu wykonania obowiązków, o których mowa w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. zwanego dalej RODO, w związku z zawarciem Umowy głównej. 2. Procesor oświadcza, że spełnia warunki legalności przetwarzania danych osobowych, jak również, że jest uprawniony do powierzenia danych osobowych. 3. Administratorem danych osobowych uczestników projektu Pasja życia jest Zarząd Województwa Śląskiego, z siedzibą przy ul. Ligonia 46, 40-037 Katowice, który w dniu.2018r. udzielił Procesorowi szczegółowej, pisemnej zgody na dalsze powierzenie przetwarzania danych osobowych uczestników projektu Pasja życia w celu realizacji umowy głównej zawartej pomiędzy Procesorem a Subprocesorem. Administrator dysponuje uprawnieniami wynikającymi z niniejszej umowy, które przysługują Procesorowi. 4. Subprocesor oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającymi mu prawidłowe wykonanie niniejszej Umowy, spełnienie wymogów RODO oraz gwarantuje ochronę praw osób, których dane dotyczą. 5. Subprocesor na potwierdzenie gwarancji, o których mowa w ust. 4 przekazał Procesorowi opis wdrożonych mechanizmów zapewniających bezpieczeństwo przetwarzania danych osobowych, stanowiący załącznik nr 1. 2 Przedmiot Umowy oraz zakres, charakter i cel przetwarzania danych osobowych 1. Procesor w trybie art. 28 ust 3 RODO powierza Subprocesorowi dane osobowe, a Subprocesor zobowiązuje się do zgodnego z prawem i niniejszą Umową ich przetwarzania, w celu realizacji Umowy głównej. 2. Przetwarzanie danych osobowych odbywa się w formie... 3. Zakres przetwarzania obejmuje udostępnienie danych osobowych w zbiorach Administratora dot. uczestników projektu Pasja życia. 4. Przetwarzane dane dotyczą uczestników projektu Pasja życia. 5. Przetwarzane dane obejmują: imię, nazwisko, PESEL.. 3 Zasady przetwarzania danych osobowych 1. Subprocesor może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w 2 niniejszej Umowy.
2. Subprocesor zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem Procesora, zawartym w Umowie lub w innym dokumencie wydanym przez Procesora, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej. 3. Subprocesor informuje Procesora przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 4. Przy przetwarzaniu danych osobowych, Subprocesor powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO. 5. Subprocesor podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest: a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; b) współdziałać z Procesorem w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO, w szczególności Subprocesor zobowiązuje się przekazywać Procesorowi informacje dotyczące stosowanych środków zabezpieczania danych osobowych, c) współdziałać z Procesorem w sytuacji naruszenia ochrony danych osobowych: i. niezwłocznie informować Procesora o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji, ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą, iii. przekazywać informacje niezbędne Procesorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu, iv. umożliwiać Procesorowi uczestnictwo w czynnościach wyjaśniających i informować Procesora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Procesorowi spełnienie obowiązku powiadomienia organu nadzoru. d) współdziałać z Procesorem w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO; e) niezwłocznie informować Procesora, jeżeli zdaniem Subprocesora wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych; f) stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO; g) dopuszczać do przetwarzania danych osobowych, w szczególności do urządzeń w ramach których dane osobowe są przetwarzane, wyłącznie osoby działające z jego upoważnienia, w zakresie wydanych przez Procesora udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych; h) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w tajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Subprocesora; i) prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Procesora, o którym mowa w art. 30 RODO, o ile dotyczy.
6. Subprocesor nie może skorzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Procesora. Procesor wyraża szczegółową zgodę na udostępnienie przez Subprocesora danych osobowych, o których mowa w 2 Umowy następującemu podmiotowi -., w celu objęcia uczestników ubezpieczeniem NNW. Za prawidłowe wykonywanie obowiązków, o których mowa w RODO oraz w niniejszej Umowie, w związku z realizacją Umowy głównej - jest Subprocesor. Subprocesor oświadcza, że podmiot przetwarzający dane dysponuje odpowiednimi środkami technicznymi i organizacyjnymi niezbędnymi do wypełnienia obowiązków wynikających z RODO i niniejszej Umowy. 7. Subprocesor zobowiązuje się do niezwłocznego, jednak nie później niż w ciągu 7 dni od powzięcia takiej informacji, poinformowania Procesora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Subprocesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Subprocesora, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Subprocesora prowadzonych przez organ nadzorczy w zakresie danych osobowych. 8. W przypadku rozwiązania Umowy lub Umowy głównej Subprocesor zobowiązany jest do usunięcia (w terminie do 14 dni) wszelkich danych osobowych oraz do usunięcia wszelkich ich istniejących kopii, chyba że przepisy odrębne nakazują przechowywanie danych osobowych. 9. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Subprocesor ma obowiązek zastosować się do wymogów, o których mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Procesora o planowanych zmianach w taki sposób i terminach, aby zapewnić Procesorowi realną możliwość reagowania, jeżeli planowane przez Subprocesora zmiany w opinii Procesora grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Subprocesora. 4 Prawo kontroli 1. Procesor zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Subprocesora przy przetwarzaniu danych osobowych i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy. 2. Subprocesor zobowiązany jest umożliwiać Procesorowi lub wskazanej przez Procesora osobie trzeciej, dokonania audytów lub inspekcji, aby potwierdzić, iż przetwarzanie toczy się zgodnie z prawem oraz niniejszą Umową, a także wykonać wynikające z nich zalecenia, aby zapewnić zgodne z prawem przetwarzanie danych osobowych powierzonych Subprocesorowi. 3. Procesor realizować będzie prawo audytu lub inspekcji w godzinach pracy Subprocesora. 4. Subprocesor zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji w terminie wskazanym przez Procesora. 5. Subprocesor udostępnia Procesorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO. 5 Odpowiedzialność Stron 1. Subprocesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 2. Subprocesor odpowiada za szkody spowodowane zastosowaniem lub brakiem zastosowania właściwych środków bezpieczeństwa. 3. Subprocesor odpowiada za szkody, jakie powstaną u Procesora/Administratora lub osób
trzecich w wyniku niezgodnego z RODO lub niniejszą Umową przetwarzaniem danych osobowych przez Subprocesora, w szczególności w sytuacji zapłaty odszkodowania przez Procesora/Administratora na podstawie art. 82 RODO. 4. W przypadku niewykonania lub nienależytego wykonania przez Subprocesora niniejszej Umowy, Subprocesor zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych. 6 Wynagrodzenie Wykonanie przedmiotu niniejszej Umowy przez Subprocesora nie będzie wiązać się z dodatkowymi kosztami dla Procesora, ponad koszty przewidziane w Umowie głównej. 7 Zasady zachowania poufności 1. Subprocesor zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Procesora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej ( dane poufne ). 2. Subprocesor oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Procesora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy. 8 Rozwiązanie umowy Procesor może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym gdy Subprocesor: a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie; b) przetwarza dane osobowe w sposób niezgodny z Umową; c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Procesora. 9 Postanowienia końcowe 1. Niniejsza Umowa wchodzi w życie z dniem jej podpisania i zostaje zawarta na czas obowiązywania Umowy głównej oraz wykonania wszystkich zobowiązań wynikających z niniejszej Umowy. 2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności. 3. W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy RODO oraz przepisy krajowe. 4. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd właściwy dla siedziby Procesora. 5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron... Subprocesor.. Procesor
Załącznik nr 1 do Umowy o powierzenie przetwarzania danych osobowych Zgodnie z 1 ust. 4 Umowy, oświadczam, iż dysponuję środkami technicznymi i organizacyjnymi, doświadczeniem, wiedzą i wykwalifikowanym personelem, które umożliwiają mi prawidłowe wykonanie Umowy, spełnienie wymogów RODO oraz gwarantują ochronę praw osób, których dane dotyczą, w tym w szczególności: zapewnienie odpowiednich systemów informatycznych zapewniających bezpieczeństwo danych takich jak min. zabezpieczenie dostępu do urządzeń, systemów operacyjnych i baz danych hasłami; stosowanie mechanizmów wymuszających zmianę haseł; stosowanie programów chroniących przed szkodliwym oprogramowaniem (tzw. antywirusy), zabezpieczenie pomieszczeń oraz dostępu do danych osobowych, opracowanie polityki bezpieczeństwa danych osobowych, ewidencja osób upoważnionych do przetwarzania danych osobowych, ewidencja obszaru przetwarzania danych, ewidencja uprawnień w systemach informatycznych, powołanie inspektora ochrony danych, zapewnienie spełniania wymagań prawnych przewidzianych w ustawie o ochronie danych osobowych, przeszkolenie personelu w zakresie bezpieczeństwa przetwarzania danych osobowych, zobowiązanie pracowników do zachowania poufności posiadanych informacji. Subprocesor: 2018r. (data i podpis)