UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa )

Załącznik Nr 2 do umowy nr UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa ) zawarta w dniu [ ].. 2018 roku w Lublinie pomiędzy MPWiK reprezentowana przez: ( Administrator ) a ( Podmiot Przetwarzający ) Zważywszy, że Strony zawarły dnia. Umowę.. (dalej Kontrakt ) i w związku z wykonywaniem tej umowy konieczne jest przekazanie Podmiotowi Przetwarzającemu przez Administratora danych osobowych do przetwarzania, Strony postanowiły zawrzeć niniejszą Umowę ze względu na przepisy Ogólnego Rozporządzenia o Ochronie Danych 2016/679/WE ( RODO ), a w szczególności jego art. 28, Strony postanawiają co następuje: 1 Postanowienia ogólne 1. Administrator oświadcza, że jest administratorem danych osobowych wymienionych w Załączniku nr 1 ( Dane Osobowe ), których przetwarzanie powierza niniejszą umową - na zasadach i w zakresie w niej określonych - Podmiotowi Przetwarzającemu. 2. Podmiot Przetwarzający zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z obowiązującymi w tym zakresie przepisami prawa. W szczególności, przetwarzanie powierzonych Danych Osobowych odbywać się będzie w zgodzie z postanowieniami RODO oraz wydanych na jego podstawie krajowych przepisów z zakresu ochrony danych osobowych. 3. Wszystkie terminy pisane w niniejszej umowie wielką literą, a niezdefiniowane odrębnie w niniejszej Umowie, mają znaczenie nadane im w art. 4 RODO. 1

Załącznik Nr 2 do umowy nr 2 Przedmiot i czas trwania Umowy 1. Przedmiot i czas trwania powierzenia określa Załącznik nr 1. 2. Załącznik nr 1 określa ponadto: 1. Szczegółowy opis i określenie czynności przetwarzania, 2. Odwołanie do Kontraktu, 3. Rodzaje przetwarzanych Danych Osobowych, 4. Kategorie osób, których Dane Osobowe Administrator powierza Podmiotowi Przetwarzającemu do przetwarzania, 5. Charakter przetwarzania Danych Osobowych, 6. Dane kontaktowe Inspektora Ochrony Danych Osobowych powołanego przez Podmiot Przetwarzający (jeśli dotyczy), 7. Kategorie danych, które są powierzone do przetwarzania, 8. Informacje nt. podpowierzenia przetwarzania danych osobowych, 9. Prawa Administratora do monitorowania, 10. Dane osób do kontaktu. 3. Niniejsza Umowa oraz Załączniki do niej stanowią część Kontraktu. 4. Podmiot Przetwarzający nie będzie przetwarzał jakichkolwiek Danych Osobowych powierzonych przez Administratora poza obszarem Państwa Członkowskiego Unii Europejskiej (UE) lub państw sygnatariuszy Umowy o Europejskim Obszarze Gospodarczym (EOG). Jakiekolwiek przekazanie danych do państwa trzeciego wymaga uprzedniej pisemnej zgody Administratora i musi spełniać szczególne wymagania określone w rozdziale V RODO. 5. Jeżeli Podmiot Przetwarzający ma siedzibę w państwie trzecim, a Administrator wyrazi zgodę na Przetwarzanie Danych Osobowych w państwie trzecim, Administrator i Podmiot Przetwarzający zawrą, wraz z zawarciem niniejszej Umowy, także Standardowe Klauzule Umowne UE o których mowa w art. 28 ust. 7 8 lub art. 46 ust. 2 lit c-d RODO. Administratora uznaje się za Podmiot Przekazujący Dane w rozumieniu Standardowych Klauzul Umownych UE, zaś Podmiot Przetwarzający za Podmiot Odbierający Dane. W odniesieniu do dodatku 1 do Standardowych Klauzul Umownych UE stosuje się szczegółowe postanowienia Załącznika nr 1, a Załącznik nr 3 ŚTO stosuje się jako dodatek 2 do Standardowych Klauzul Umownych UE. 6. Powyższa zasada, dotycząca obowiązku zawarcia Standardowych Klauzul Umownych UE nie ma zastosowania w przypadku, gdy Komisja Europejska zdecyduje, że państwo trzecie, w którym Podmiot Przetwarzający ma siedzibę i w którym odbywa się Przetwarzanie na mocy niniejszej Umowy, zapewnia odpowiedni poziom ochrony danych. 3 Środki techniczne i organizacyjne 1. Podmiot Przetwarzający zobowiązuje się wdrożyć odpowiednie środki gwarantujące bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym m.in. wdrożyć, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednie środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku. 2. Minimalne środki techniczne i organizacyjne, do których podjęcia zobowiązany jest Podmiot Przetwarzający zostały określone w Załączniku nr 3 ŚTO (środki techniczne i organizacyjne) do Umowy. 3. Podmiot Przetwarzający udokumentuje wdrożenie swoich środków technicznych i organizacyjnych określonych w Załączniku nr 3 ŚTO do Umowy i na wniosek 2

Załącznik Nr 2 do umowy nr Administratora przedstawi taką dokumentację Administratorowi do wglądu przed rozpoczęciem przetwarzania danych osobowych. 4. Na przetwarzanie Danych Osobowych poza siedzibą Podmiotu Przetwarzającego, np. w lokalach prywatnych lub w kontekście pracy na odległość, wymagana jest uprzednia pisemna zgoda Administratora. Podmiot Przetwarzający gwarantuje i zapewnia, że świadczenie usług lub wykonywanie pracy poza siedzibą Podmiotu Przetwarzającego przez jego pracowników lub współpracowników spełnia określone środki i wymogi, w tym w szczególności zagwarantowane są odpowiednie środki techniczne i organizacyjne w rozumieniu art. 32 RODO oraz środki wymagane przez Umowę. 5. Podmiot Przetwarzający może wdrożyć odpowiednie alternatywne środki w trakcie okresu obowiązywania Umowy. Takie środki będą zgodne z postanowieniami art. 32 RODO i będą zapewniać poziom ochrony równy lub wyższy w porównaniu do środków określonych w Załączniku nr 3 ŚTO. Podmiot Przetwarzający jest zobowiązany do aktualizacji i podnoszenia jakości środków organizacyjnych i technicznych wraz z rozwojem istniejących technologii oraz wraz z pojawianiem się nowych zagrożeń. 6. Wdrożenie alternatywnych środków technicznych i organizacyjnych, o których mowa w pkt. 4.5. Umowy wymaga uzgodnienia z Administratorem. Wszelkie takie działania będą dokumentowane na piśmie i staną się częścią Umowy. Załącznik nr 3 ŚTO zostanie odpowiednio zmieniony przez Podmiot Przetwarzający za zgodą Administratora. 4 Przetwarzanie, poprawianie, usuwanie i blokowanie Danych Osobowych 1. Podmiot Przetwarzający przetwarzając Dane Osobowe może je poprawiać, usuwać lub blokować w imieniu Administratora wyłącznie wtedy, gdy otrzyma od Administratora instrukcję, by to zrobić. 2. Jeżeli osoba, której dane dotyczą zgłosi się bezpośrednio do Podmiotu Przetwarzającego z prośbą o poprawienie lub usunięcie swoich danych osobowych, wówczas Podmiot Przetwarzający niezwłocznie przekaże taką prośbę Administratorowi, który zadecyduje o dalszych działaniach związanych z przetwarzaniem Danych Osobowych tej osoby. 5 Obowiązki Podmiotu przetwarzającego 1. W związku z powierzeniem przetwarzania danych osobowych, Podmiot Przetwarzający oprócz obowiązków wynikających z niniejszej umowy i obowiązków wynikających z art. 28 RODO, zobowiązuje się: a) Przetwarzać Dane Osobowe wyłącznie w związku z realizacją Kontraktu; b) Zapewnić by wszystkie osoby, które mają dostęp do danych osobowych należących do Administratora na warunkach określonych w niniejszej Umowie, zobowiązały się do zachowania poufności i zostały poinformowane o wymogach w zakresie ochrony Danych Osobowych, wynikających z Umowy oraz ograniczeniach co do wykorzystywania do konkretnych celów zgodnie z Załącznikiem nr 1; c) Jeżeli Podmiot Przetwarzający jest na mocy prawa zobowiązany do ujawnienia jakichkolwiek Danych Osobowych, informuje o tym niezwłocznie Administratora; d) Powołać na piśmie - w przypadkach określonych przez prawo - Inspektora Ochrony Danych Osobowych (dalej IOD ). Podmiot Przetwarzający poda imię i nazwisko IOD w uzgodnionym Załączniku nr 1. Administrator będzie niezwłocznie informowany przez Podmiot Przetwarzający o każdej zmianie danych kontaktowych IOD; e) Wdrożyć i dokonywać konserwacji wszystkich środków technicznych i organizacyjnych wymaganych do celów Umowy zgodnie z art. 32 RODO, wykraczających poza środki określone w Załączniku nr 3 ŚTO do Umowy; 3

Załącznik Nr 2 do umowy nr f) Niezwłocznie powiadomić Administratora o zdarzeniach/incydentach dotyczących przetwarzania Danych Osobowych, m.in. o czynnościach kontrolnych lub nadzorczych podejmowanych przez organ nadzorczy; g) Monitorować w drodze regularnych przeglądów wykonanie i realizację obowiązków wynikających z niniejszej Umowy; h) Do aktywnej współpracy z Administratorem przez cały okres trwania powierzenia przetwarzania danych osobowych a także pomagać Administratorowi w zapewnianiu przestrzegania obowiązków wynikających z art. 32 do 36 RODO (dotyczących bezpieczeństwa, powiadamiania o naruszeniach, Ocen Wpływu dla Ochrony Danych oraz konsultacji z organami nadzorczymi); i) Prowadzić wymaganą przepisami prawa dokumentację na temat przetwarzania oraz wykorzystywania danych, która umożliwi Administratorowi przedstawienie dowodów na takie uporządkowane przetwarzanie i wykorzystywanie danych. Podmiot przetwarzający przekaże do wglądu taką dokumentację na wniosek Administratora także po wygaśnięciu niniejszej Umowy; j) Przekazywać Administratorowi na jego wniosek dowody potwierdzające podjęte środki techniczne i organizacyjne; k) Nie sporządzać żadnych kopii Danych Osobowych ani duplikatów przekazanych Danych Osobowych bez wiedzy Administratora; l) Poinformować Administratora niezwłocznie i przed jakimkolwiek przetwarzaniem, jeżeli poweźmie wątpliwości w zakresie zgodności z prawem ochrony danych osobowych w stosunku do jakiejkolwiek instrukcji Administratora. 2. Podmiot Przetwarzający niezwłocznie zawiadamia Administratora o: a) Każdym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Administratora wynika z przepisów prawa; b) Każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba, że zostanie do tego upoważniony przez Administratora. 3. Podmiot Przetwarzający i Administrator będą się niezwłocznie nawzajem powiadamiać w przypadkach wystąpienia błędów, nieprawidłowości lub podejrzeń naruszeń postanowień dotyczących ochrony danych osobowych. 4. W przypadku zdarzenia zagrażającego bezpieczeństwu powierzonych danych, tj. zdarzenia, jak również podejrzenia wystąpienia zdarzenia, w szczególności w postaci kradzieży, nieuprawnionego dostępu, wykorzystania, ujawnienia, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych lub jakiegokolwiek innego niewłaściwego lub bezprawnego przetwarzania powierzonych danych osobowych, Podmiot Przetwarzający jest zobowiązany: a) Niezwłocznie po powzięciu wiadomości o takim zdarzeniu, jednak w każdym przypadku nie później niż w ciągu 24 godzin od powzięcia takiej wiadomości, poinformować Administratora o takim zdarzeniu oraz zapewnić pomoc i przekazać wszelkie dalsze informacje dotyczące tego zdarzenia; b) Ustalić przyczynę zdarzenia; c) Podjąć wszelkie czynności mające na celu usunięcie negatywnych skutków zdarzenia i zabezpieczenie danych osobowych w sposób należyty przed dalszymi takimi zdarzeniami; d) Zebrać wszystkie możliwe dane i dokumenty, które mogą pomóc w ustaleniu okoliczności wystąpienia zdarzenia i przeciwdziałaniu podobnym zdarzeniom w przyszłości i w tym celu współpracować z Administratorem na każdym etapie wyjaśniania sprawy; e) Wyłącznie, jeżeli zostanie to uprzednio zaakceptowane na piśmie przez Administratora, powiadomić o zdarzeniu organ nadzoru i/lub osoby, na które to zdarzenie miało wpływ. 4

Załącznik Nr 2 do umowy nr 5. Podmiot Przetwarzający oświadcza, że wdrożył procedurę reakcji na incydenty. Na żądanie Administratora procedura zostanie okazana do wglądu Administratorowi. 6 Podpowierzenie 1. Podmiot Przetwarzający ma prawo podpowierzania powierzonych mu danych osobowych, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania Danych Osobowych, wyłącznie za wyraźną, uprzednią, pisemną zgodą Administratora. 2. Podmiot Przetwarzający nałoży na podmiot, któremu zamierza podpowierzyć przetwarzanie danych takie same obowiązki ochrony danych jak w niniejszej Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych oraz zobowiązania do zachowania poufności Danych Osobowych swoich pracowników i współpracowników. 3. Podmiot Przetwarzający jest zobowiązany zapewnić umownie, że Administratorowi przysługiwać będzie prawo do monitorowania i kontrolowania podwykonawcy zgodnie z niniejszą Umową oraz wymogami RODO. 4. Na każde żądanie Administratora, Podmiot Przetwarzający przedstawi pełną listę innych podmiotów przetwarzających, z których usług korzysta i którym podpowierzył przetwarzanie Danych Osobowych powierzonych mu przez Administratora, a także okaże zawarte z tymi podmiotami umowy w zakresie powierzenia przetwarzania danych osobowych.. 5. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu spoczywa na Podmiocie Przetwarzającym. 7 Prawa i obowiązki Administratora 1. Instrukcje Administratora dotyczące wykonywania Umowy oraz przetwarzania Danych Osobowych są zawsze wiążące dla Podmiotu Przetwarzającego. Administrator zachowuje ogólne prawo do udzielania instrukcji co do charakteru, zakresu i metod przetwarzania danych, które może być uzupełniane o indywidualne instrukcje. 2. Administrator może przeprowadzać wizyty kontrolne i/lub audyty w siedzibie Podmiotu Przetwarzającego oraz miejscach przetwarzania Danych Osobowych przed rozpoczęciem przetwarzania lub w innym uzgodnionym terminie oraz w regularnych odstępach po rozpoczęciu przetwarzania w celu weryfikacji zgodności środków technicznych i organizacyjnych wdrożonych przez Podmiot Przetwarzający z Umową. 3. Administrator może wyznaczać audytorów (wewnętrznych lub zewnętrznych) do dokonywania czynności kontrolnych. 4. Podmiot Przetwarzający na wniosek Administratora przekaże mu informacje wymagane do spełnienia przez Administratora obowiązku kontrolnego dotyczącego przetwarzania danych osobowych i udostępni niezbędną dokumentację w tym w, szczególności dokumentację potwierdzającą wdrożenie środków technicznych i organizacyjnych zgodnie z niniejszą Umową i art. 32 RODO. 5. Administrator dokonuje kontroli: a) Po uprzednim poinformowaniu Podmiotu przetwarzającego o tej kontroli, co najmniej 24 godziny przed jej rozpoczęciem; b) Niezwłocznie, w przypadku, kiedy kontrola spowodowana jest wystąpieniem naruszenia ochrony powierzonych danych osobowych, o którym to naruszeniu Administrator powziął podejrzenia. 6. Kontrola może być wykonywana w dni robocze w miejscach przetwarzania danych. Podmiot Przetwarzający umożliwia Administratorowi lub audytorowi upoważnionemu 5

Załącznik Nr 2 do umowy nr przez Administratora i współpracuje z Administratorem podczas kontroli. W szczególności, Podmiot Przetwarzający zobowiązany jest umożliwić wstęp do pomieszczeń, w których przetwarzane są dane oraz wgląd do danych powierzonych mu do przetwarzania, jak również udzielać informacji dotyczących przebiegu przetwarzania tych danych osobowych. 7. Administrator nie jest zobowiązany zwracać wydatków poniesionych przez Podmiot Przetwarzający z powodu wizyt kontrolnych mających na celu weryfikację zgodności uzgodnionego poziomu ochrony danych. 8 Usuwanie danych i zwrot nośników danych 1. Po wykonaniu Kontraktu lub na wniosek Administratora, Podmiot Przetwarzający zwróci Administratorowi wszystkie dane osobowe, dokumenty znajdujące się w jego posiadaniu oraz wszelkie wyniki prac i dane oraz ich kopii wytworzonych w związku z Umową lub usunie je zgodnie z prawem ochrony danych za uprzednią zgodą Administratora. Protokół usunięcia zostanie przedstawiony na wniosek. 2. Dokumentacja mająca stanowić dowód odpowiedniego przetwarzania danych będzie przechowywana przez Podmiot Przetwarzający po zakończeniu Umowy zgodnie z odpowiednimi okresami retencji. Podmiot Przetwarzający na wniosek Administratora przekaże taką dokumentację Administratorowi po wygaśnięciu Umowy. 3. Podmiot Przetwarzający także po zakończeniu niniejszej Umowy zachowa poufność w odniesieniu do wszelkich danych osobowych i innych informacji uzyskanych od Administratora, o których dowiedział się w trakcie wykonywania niniejszej Umowy. 9 Odpowiedzialność 1. Administrator ponosi odpowiedzialność w stosunku do osób, których dane dotyczą z tytułu szkód, jakie osoba, której dane dotyczą może ponieść w wyniku niezgodnego z prawem lub nieprawidłowego przetwarzania lub wykorzystywania danych w trakcie wykonywania Umowy, stanowiącego naruszenie przepisów określonych w RODO lub innych przepisów dotyczących ochrony danych. 2. W przypadku, gdy Administrator jest zobowiązany do zapłaty odszkodowania/grzywny itp. z powodu niezgodnego z prawem lub nieprawidłowego przetwarzania lub wykorzystania danych, za które odpowiedzialność ponosi Podmiot Przetwarzający, wówczas Podmiot Przetwarzający zwolni Administratora z odpowiedzialności z tytułu wszelkich roszczeń osób trzecich i przejmie taką odpowiedzialność. Podmiot Przetwarzający dołoży najlepszych starań w celu wsparcia Administratora w obronie przeciwko wszelkim nieuzasadnionym roszczeniom. 3. Postanowienia pkt 2 nie mają wpływu na dalsze roszczenia prawne. Podmiot Przetwarzający zobowiązuje się prowadzić adekwatną, wymaganą przepisami prawa dokumentację na temat przetwarzania oraz wykorzystywania Danych Osobowych, która umożliwi Administratorowi przekazywanie dowodów na takie uporządkowane przetwarzanie i wykorzystywanie danych. Podmiot Przetwarzający przekaże taką dokumentację Administratorowi także po wygaśnięciu niniejszej Umowy w przypadku, gdy będzie ona niezbędna dla Administratora do obrony przeciwko roszczeniom osób, których dane dotyczą lub innych osób trzecich. 10 Czas trwania umowy Umowa wchodzi w życie z dniem podpisania jej przez obie strony i wygasa z dniem zakończenia Kontraktu. 6

Załącznik Nr 2 do umowy nr 11 Postanowienia Końcowe 1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności. 2. Niniejsza Umowa stanowi udokumentowanie polecenie Administratora, o którym mowa w art. 28 ust. 3 lit. a) RODO. 3. Jeżeli jakiekolwiek postanowienie Umowy jest lub zostanie uznane za nieważne lub niekompletne w całości lub w części, nie będzie to miało wpływu na ważność i wykonalność pozostałych postanowień. W takim przypadku strony zobowiązują się wspólnie zastąpić takie postanowienie ważnym postanowieniem, które będzie najlepiej służyć celowi gospodarczemu i woli stron. 4. Strony wskazują następujące osoby do kontaktów do celów wykonania Umowy: W imieniu Administratora:. W imieniu Podmiotu Przetwarzającego:.. 5. O wszelkich zmianach dotyczących osoby lub zakresu odpowiedzialności tych osób kontaktowych należy niezwłocznie zawiadomić drugą stronę. 6. Niniejsza Umowa oraz wszelkie spory lub roszczenia z niej wynikające lub z nią związane czy jej podlegające, podlegają prawu polskiemu. Wyłączną właściwość do rozpoznawania sporów wynikających z niniejszej Umowy lub związanych z wykonaniem Umowy maja sąd właściwy dla siedziby Administratora. 7. Załącznik nr 1, Załącznik nr 2 oraz Załącznik nr 3 ŚTO stanowią cześć Umowy. Administrator Podmiot Przetwarzający 7

Załącznik nr 1 do umowy powierzenia przetwarzania danych na podstawie z art. 28 RODO UWAGA: ZAŁĄCZNIK NR 1 MUSI BYĆ UZUPEŁNIONY I PODPISANY POMIĘDZY STRONAMI PRZED JAKIMKOLWIEK PRZEKAZANIEM DANYCH. JEŻELI PRZEKAZANIE DANYCH ODBĘDZIE SIĘ PO PODPISANIU UMOWY, WÓWCZAS ZAŁĄCZNIK NR 1 SŁUŻY WYŁĄCZNIE DO CELÓW REFERENCYJNYCH. Administrator: Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji w Lublinie Sp. z o.o. Podmiot Przetwarzający: Okres powierzenia: Data powierzenia: Data zawarcia Umowy: czas realizacji łączącej strony umowy Zob. podpisanie niniejszej Umowy Zob. podpisanie niniejszej Umowy 1. Dane kontaktowe Inspektora Ochrony Danych Osobowych powołanego przez Podmiot Przetwarzający W przypadkach określonych przez prawo Podmiot Przetwarzający powołał imię, nazwisko i dane kontaktowe inspektora ochrony danych lub osoby odpowiedzialnej za wszystkie sprawy dotyczące ochrony danych i prywatności na Inspektora Ochrony Danych. Wszelkie zmiany danych kontaktowych Inspektora Ochrony Danych będą przekazywane Administratorowi. 2. Przedmiot usługi, w tym odwołanie do Kontraktu 2.1. W nawiązaniu do wyszczególnionego Kontraktu przedmiotem usługi jest między innymi wykonanie następujących zadań przez Podmiot Przetwarzający: a) dostarczenie oprogramowania mobilnej wersji systemu GIS wraz z tabletami oraz wykonanie sprzęgła stacjonarnego systemu GIS Zamawiającego (systemu mapy numerycznej InterCAD WodKan) do mapy mobilnej, gdzie konieczna jest analiza i pobieranie danych do mobilnej wersji GIS z systemów informatycznych Zamawiającego (Administratora), w których są przetwarzane dane osobowe tj. systemów: system, system GIS, bilingu usług. 2.2. W nawiązaniu do Umowy o Przetwarzanie Danych strony zgadzają się na poniższą usługę dotyczącą przetwarzania i/lub obejmującą przetwarzanie Danych Osobowych, która to usługa ma być świadczona przez Podmiot Przetwarzający. a) Celem powierzenia przetwarzania danych osobowych jest prawidłowe wykonywanie Umów zawartych z Administratorem, w tym: b) Przeglądanie danych celem określenia sposobu wykorzystania danych zapisanych w funkcjonujących u Zamawiającego (Admnistratora) systemie bilingu usług, systemie GIS, systemie ewidencji awarii do mobilnej wersji systemu GIS. c) Podczas analizy systemów informatycznych Wykonawca będzie miał możliwość wglądu w część danych określonych jako dane osobowe, w szczególności przy analizie danych dotyczących przyłącza i wodomierza będzie powiązanie z płatnikiem usług naliczanych w oparciu o odczyty tego wodomierza, dla danych zawartych w 8

Załącznik nr 1 do umowy powierzenia przetwarzania danych na podstawie z art. 28 RODO systemie ewidencji awarii w zgłoszeniach awaryjnych będą dane osób dokonujących zgłoszenia. d) Określenie sposobu rozbudowy interfejsu systemu GIS (systemu mapy numerycznej InterCAD WodKan) dla potrzeb efektywnego przekazywania danych warstwy wektorowej (rysunki sieci wodociągowej i sieci kanalizacji), warstwy rastrowej (podkład ulic, działek, budynków itp.), danych opisowych, w tym danych osobowych związanych z obiektami mapy typu przyłącza, wodomierze. e) Budowa interfejsu systemu ewidencji awarii dla potrzeb przekazywania do mobilnego GIS informacji o pracach przeznaczonych dla brygady, informacji o zgłoszeniach powiązanych z pracami brygady. f) Budowa interfejsu przekazywania danych z mobilnego GIS do systemu ewidencji awarii w zakresie informacji zwrotnej dotyczącej obsługi. 2.3. Zakres przetwarzanych danych osobowych na podstawie niniejszej umowy określony został w pkt 4 załącznika nr 1. 2.4. Powierzenie przetwarzania danych osobowych ma charakter samoistny/jest uzupełnieniem innego stosunku prawnego. 2.5. Celem powierzenia przetwarzania danych osobowych jest prawidłowe wykonywanie Umów zawartych z Administratorem. 2.6. Podmiot Przetwarzający w zakresie realizacji celu określonego w pkt 3.3. Załącznika 1, jest uprawniony do wykonywania następujących operacji na powierzonych mu danych: pobieranie przesyłanie do nowej aplikacji przetwarzającej (tzw. aplikacja mobilnego GIS przeznaczona do wykorzystania przez Administratora), przeglądanie, adaptowanie, wykorzystywanie, udostępnienie, uzupełnianie dodatkowymi informacjami technicznymi np. w postaci zdjęć miejsca zgłoszenia awarii. 2.7. Przetwarzanie powierzonych danych odbywać się będzie przy wykorzystaniu systemów informatycznych zarówno Administratora, jak i Podmiotu Przetwarzającego. 2.8. Przetwarzanie przez Podmiot Przetwarzający powierzonych mu przez Administratora danych osobowych będzie miało charakter ciągły. 2.9. Dane Osobowe będą przetwarzane i wykorzystywane wyłącznie na terytorium Państwa Członkowskiego Unii Europejskiej (UE) lub państw sygnatariuszy Umowy o Europejskim Obszarze Gospodarczym (EOG). Jakiekolwiek przekazanie Danych Osobowych do państwa będącego stroną trzecią wymaga uprzedniej pisemnej zgody Administratora i musi spełniać szczególne wymogi określone w rozdziale 5 RODO. 2.10. Podmiot Przetwarzający nie będzie przetwarzał jakichkolwiek danych osobowych powierzonych przez Administratora poza Europejskim Obszarem Gospodarczym (dalej: EOG ) lub w państwie nieuznanym przez Komisję Europejską za zapewniające odpowiedni poziom ochrony danych osobowych, bez uprzedniej pisemnej zgody Administratora. 2.11. W przypadku uzyskania uprzedniej pisemnej zgody Administratora, Podmiot Przetwarzający zapewni, że przekazanie danych osobowych poza EOG odbywa się w sposób zgodny z właściwymi, obowiązującymi na czas przekazania, przepisami w zakresie przetwarzania danych osobowych, w szczególności z art. 46 RODO. 2.12. W przypadku, kiedy prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający, nakłada na niego obowiązek przekazywania danych osobowych do państwa spoza EOG lub do organizacji międzynarodowej, przed 9

Załącznik nr 1 do umowy powierzenia przetwarzania danych na podstawie z art. 28 RODO rozpoczęciem przetwarzania Podmiot Przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. 3. Kategorie osób, których dane są powierzone do przetwarzania oraz rodzaj danych Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych: a) Kontrahentów Administratora b) Potencjalnych kontrahentów Administratora c) Pracowników Administratora 4. Kategorie danych,(zakres danych) które są powierzone do przetwarzania: a) Nazwisko i imię (imiona), b) Numer ewidencyjny, c) Adres zamieszkania, d) Adres do korespondencji, e) Numer PESEL, f) Numer NIP, g) Numer telefonu, h) Numer konta bankowego, i) dane określające umowę kontrahenta ( w tym rodzaje sprzedawanych produktów, j) dane opisujące wodomierze zainstalowane w punktach poboru wody, k) daty, wartości odczytów wodomierzy kontrahentów, l) dane transakcji kontrahenta (dane faktur), m) dane dotyczace zgłoszenia awarii infrastruktury wod-kan powiązanej ze swiadczeniem usługi dostawy wody/odbioru scieków, n) warunki techniczne na budowę przyłącza, o) protokoły odbioru przyłączy posesji kontrahenta do sieci głównej, p) dane określające status własności kontrahenta do posesji. 5. Podpowierzenie przetwarzania danych osobowych Administrator udziela zgody na angażowanie następujących podmiotów zgodnie z pkt. 6 Umowy o Przetwarzanie Danych. podmioty, którym podpowierzono dane do przetwarzania na terytorium UE i EOG: Proszę uzupełnić nazwy i adresy firm... inne: Proszę uzupełnić nazwy i adresy firm... 10

Załącznik nr 1 do umowy powierzenia przetwarzania danych na podstawie z art. 28 RODO 6. Prawa Administratora do monitorowania 6.1. Wizyty kontrolne zgodnie z paragrafem 7 ust.2. Umowy o Przetwarzanie Danych, z zastrzeżeniem prawa Administratora do niezapowiedzianych wizyt kontrolnych w przypadku np. uzasadnionego podejrzenia wystąpienia incydentów lub niezgodności ze środkami technicznymi lub organizacyjnymi, ustala się w następujący sposób: Przed rozpoczęciem przetwarzania danych oraz co najmniej 1 wizyta w trakcie trwania Umowy o Świadczenie Usług. 7. Osoby do kontaktów 7.1. Strony wyznaczają następujące osoby do kontaktów do celów realizacji poszczególnych zleceń: W imieniu Administratora: W imieniu Podmiotu Przetwarzającego: Proszę uzupełnić (Imię, nazwisko, kod działu) Proszę uzupełnić... 7.2. O wszelkich zmianach co do wymienionych osób lub ich obowiązków należy niezwłocznie powiadomić drugą stronę. Administrator Podmiot Przetwarzający Imię, nazwisko, data Imię, nazwisko, data 11

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) Do celów art. 26 ust. 2 Dyrektywy 95/46/WE w odniesieniu do przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w państwach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych: Nazwa organizacji przekazującej dane: Zob. definicja Administratora w niniejszej Umowie. Adres: Zob. definicja Administratora w niniejszej Umowie. Tel.: Fax: E-mail: Inne informacje niezbędne do identyfikacji organizacji: (podmiot przekazujący dane) i Nazwa organizacji odbierającej dane: Zob. definicja Podmiotu Przetwarzającego w niniejszej Umowie. Adres: Zob. definicja Podmiotu przetwarzającego w niniejszej Umowie. Tel.: Proszę uzupełnić... Fax: : Proszę uzupełnić... e-mail: : Proszę uzupełnić... Pozostałe informacje niezbędne do identyfikacji organizacji: Proszę uzupełnić... (podmiot odbierający dane) UZGODNIONO następujące klauzule umowne (klauzule) w celu dostarczenia odpowiednich gwarancji ochrony prywatności i podstawowych praw i wolności osób fizycznych w zakresie przekazywania podmiotowi odbierającemu dane przez podmiot przekazujący danych osobowych wyszczególnionych w dodatku 1. Do celów niniejszych klauzul: Klauzula 1 Definicje a) dane osobowe, szczególne kategorie danych, przetwarzać/przetwarzanie, administrator danych, podmiot przetwarzający, osoba, której dane dotyczą i organ nadzorczy mają to samo znaczenie co w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 1 1 W ramach niniejszej klauzuli strony mogą powtórzyć definicje i znaczenia zawarte w dyrektywie 95/46/WE, jeżeli uznają, że bardziej korzystne będzie ich odrębne zawarcie w umowie. 12

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) b) podmiot przekazujący dane oznacza administratora danych, który przekazuje dane osobowe; c) podmiot odbierający dane oznacza podmiot przetwarzający dane, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszych klauzulach i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE; d) podwykonawca przetwarzania oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, warunkami ustalonymi w niniejszych klauzulach i warunkami sporządzonej na piśmie umowy o podwykonawstwo; e) właściwe prawo o ochronie danych oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą; f) techniczne i organizacyjne środki ochrony oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania. Klauzula 2 Szczegóły dotyczące przekazywania danych Szczegóły dotyczące przekazywania danych, a w szczególności w stosownych przypadkach szczególne kategorie danych, są określone w dodatku 1, który stanowi integralną część klauzul. Klauzula 3 Klauzula na rzecz osoby trzeciej 1. Osoba, której dotyczą dane, może żądać od podmiotu przekazującego dane wykonania niniejszej klauzuli, klauzuli 4 lit. b) i), klauzuli 5 lit. a) e) oraz lit. g) j), klauzuli 6 pkt 1 i 2, klauzuli 7, klauzuli 8 pkt 2 i klauzuli 9 12, jako osoba trzecia, na rzecz której zawarto umowę. 2. Osoba, której dotyczą dane, może żądać od podmiotu odbierającego dane wykonania niniejszej klauzuli, klauzuli 5 lit. a) e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9 12 w przypadkach, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy.. 3. Osoba, której dotyczą dane, może żądać od podwykonawcy przetwarzania wykonania niniejszej klauzuli, klauzuli 5 lit. a) e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9 12 w przypadkach, w których zarówno podmioty przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stały się niewypłacalne. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może 13

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) żądać wykonania wymienionych klauzul od tego następcy. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul. 4. Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli takie jest wyraźne życzenie osoby, której dane dotyczą, i jeżeli zezwala na to prawo krajowe. Klauzula 4 Obowiązki podmiotu przekazującego dane Podmiot przekazujący dane zgadza się na poniższe warunki i gwarantuje, że: a) przetwarzanie danych, włącznie z samym ich przekazywaniem, odbywało się i będzie się nadal odbywało zgodnie z odpowiednimi przepisami właściwego prawa o ochronie danych (i w stosownych przypadkach było przedmiotem powiadomienia odpowiednich władz państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą) oraz bez naruszenia odpowiednich przepisów tego państwa; b) nakazał i będzie nakazywał podmiotowi odbierającemu dane podczas całego okresu świadczenia usług przetwarzania danych osobowych, przetwarzanie przekazywanych danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z właściwym prawem o ochronie danych i z niniejszymi klauzulami; c) podmiot odbierający dane zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa wyszczególnionych w dodatku 2 do niniejszej umowy; d) biorąc pod uwagę ocenę wymogów właściwego prawa o ochronie danych osobowych, środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci, oraz przed innymi niezgodnymi z prawem formami przetwarzania, a także że środki te zapewniają poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie, uwzględniając stan wiedzy w tej dziedzinie i koszty ich wdrożenia; e) zapewni zgodność ze środkami bezpieczeństwa; f) jeżeli przekazanie obejmuje szczególne kategorie danych, osoba, której dane dotyczą, została poinformowana lub będzie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu o tym, że jej dane mogą być przekazane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony w rozumieniu dyrektywy 95/46/WE; g) prześle wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane lub podwykonawcy przetwarzania na mocy klauzuli 5 lit. b) i klauzuli 8 pkt 3 do organu nadzorczego ds. ochrony danych, jeżeli podmiot przekazujący dane zdecyduje się kontynuować przekazywanie danych lub znieść zawieszenie; h) na żądanie udostępni osobie, której dotyczą dane, kopię niniejszych klauzul, z wyjątkiem dodatku 2, oraz skrócony opis środków bezpieczeństwa, a także kopię każdej umowy dotyczącej usług podwykonawstwa przetwarzania danych, która musi być zawarta zgodnie z niniejszymi klauzulami; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć; i) w przypadku podwykonawstwa przetwarzania danych działalność związana z przetwarzaniem prowadzona jest zgodnie z klauzulą 11 przez podwykonawcę przetwarzania zapewniającego co najmniej ten sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, co podmiot odbierający dane zgodnie z niniejszymi klauzulami; oraz j) zapewni zgodność z klauzulą 4 lit. a) i). 14

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) Klauzula 5 Obowiązki podmiotu odbierającego dane 1 Podmiot odbierający dane zgadza się na poniższe warunki i gwarantuje, że: a) będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz niniejszymi klauzulami; jeżeli z jakichkolwiek powodów nie może zapewnić takiej zgodności, zgadza się na natychmiastowe poinformowanie podmiotu przekazującego dane o niemożności spełnienia tego warunku, a podmiot przekazujący dane jest w takim przypadku uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy; b) nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy oraz że w przypadku zmiany prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w niniejszych klauzulach, zawiadomi o tym jak najszybciej podmiot przekazujący dane, który w takim przypadku jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;; c) wdrożył techniczne i organizacyjne środki bezpieczeństwa wyszczególnione w dodatku 2 przed przetwarzaniem przekazanych danych osobowych; d) niezwłocznie powiadomi podmiot przekazujący dane o: (i) jakichkolwiek prawnie wiążących wnioskach o ujawnienie danych osobowych ze strony organów ścigania, chyba że powiadomienie o takim wniosku jest zakazane, na przykład na mocy prawa karnego w celu zachowania poufności postępowań prowadzonych przez organy ścigania; (ii) jakimkolwiek przypadkowym lub nieupoważnionym dostępie; oraz (iii) jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dotyczą dane, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania; e) niezwłocznie i we właściwy sposób zajmie się wszystkimi zapytaniami ze strony podmiotu przekazującego dane, dotyczącymi przetwarzania przez siebie danych osobowych będących przedmiotem przekazania, oraz zastosuje się do zaleceń organów nadzorczych w odniesieniu do przetwarzania przekazywanych danych; f) na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu kontroli działalności związanej z przetwarzaniem danych objętej niniejszymi klauzulami, przeprowadzanej przez podmiot przekazujący dane lub organ kontrolny złożony z niezależnych członków i posiadający wymagane kwalifikacje zawodowe, związany obowiązkiem zachowania poufności, wybrany przez podmiot przekazujący dane, w stosownych przypadkach w porozumieniu z organem nadzorczym; g) na żądanie udostępni osobie, której dane dotyczą, kopię niniejszych klauzul lub jakiejkolwiek istniejącej umowy dotyczącej podwykonawstwa przekazywania danych; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć, z wyjątkiem dodatku 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa, w przypadkach, w których osoba, której dane dotyczą, nie jest w stanie uzyskać kopii od podmiotu przekazującego dane; 1 Obowiązujące wymogi przepisów krajowych mające zastosowanie do podmiotu odbierającego dane, które nie wykraczają poza to, co konieczne w demokratycznym społeczeństwie na podstawie jednego z interesów wymienionych w art. 13 ust. 1 dyrektywy 95/46/WE (tj. jeżeli stanowią środek konieczny do zabezpieczenia: bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom lub czynom stanowiącym naruszenie zasad etyki w zawodach regulowanych i ich dochodzenia, wykrywania i ścigania, ważnego interesu ekonomicznego lub finansowego państwa lub ochrony osoby, której dane dotyczą, lub praw i wolności innych osób), nie są sprzeczne ze standardowymi klauzulami umownymi. Niektóre przykłady wspomnianych bezwzględnie obowiązujących wymogów niewykraczających poza to, co konieczne w demokratycznym społeczeństwie, to m.in. sankcje uznane na szczeblu międzynarodowym, wymagania związane ze sprawozdawczością podatkową lub w zakresie przeciwdziałania praniu pieniędzy. 15

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) h) w przypadku podwykonawstwa przetwarzania danych poinformował wcześniej podmiot przekazujący dane i uzyskał jego uprzednią pisemną zgodę; i) usługi przetwarzania danych przez podwykonawcę przetwarzania będą świadczone zgodnie z klauzulą 11; j) niezwłocznie prześle podmiotowi przekazującemu dane kopię każdej umowy dotyczącej podwykonawstwa przetwarzania danych zawartej na podstawie niniejszych klauzul. Klauzula 6 Odpowiedzialność 1. Strony uzgadniają, że każda osoba, której dotyczą dane, która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, o których mowa w klauzuli 3 lub 11, przez którąkolwiek ze stron lub podwykonawcę przetwarzania, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane. 2. Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane z roszczeniem o odszkodowanie zgodnie z pkt 1, wynikającym z naruszenia przez podmiot odbierający dane lub jego podwykonawcę przetwarzania któregokolwiek z ich obowiązków, o których mowa w klauzuli 3 lub klauzuli 11, ponieważ podmiot przekazujący dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny, podmiot odbierający dane zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec podmiotu odbierającego dane, tak jakby był on podmiotem przekazującym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego dane, osoba, której dane dotyczą, może egzekwować swoje prawa wobec tego następcy. Podmiot odbierający dane nie może powoływać się na naruszenie przez podwykonawcę przetwarzania jego obowiązków, aby uniknąć swojej własnej odpowiedzialności. 3. Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane z roszczeniem, o którym mowa w pkt 1 i 2, wynikającym z naruszenia przez podwykonawcę przetwarzania któregokolwiek z obowiązków, o których mowa w klauzulach 3 lub klauzuli 11, ponieważ zarówno podmiot przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie lub stały się niewypłacalne, podwykonawca przetwarzania zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec niego w odniesieniu do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul, tak jakby był on podmiotem przekazującym lub odbierającym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego lub odbierającego dane, osoba, której dotyczą dane, może egzekwować swoje prawa wobec tego następcy. Odpowiedzialność podwykonawcy przetwarzania jest ograniczona do jego własnych czynności przetwarzania danych zgodnie z niniejszymi klauzulami. Klauzula 7 Mediacja i sąd właściwy 1. Podmiot odbierający dane zgadza się na to, że jeżeli osoba, której dotyczą dane, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę lub występuje o odszkodowanie za szkody na podstawie niniejszych klauzul, podmiot odbierający dane przyjmie decyzję osoby, której dane dotyczą, o: a) przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub, w stosownych przypadkach, organ nadzorczy; 16

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) b) przekazaniu sporu do sądów w państwie członkowskim, w którym prowadzi działalność gospodarczą podmiot przekazujący dane. 2. Strony uzgadniają, że wybór osoby, której dotyczą dane, nie będzie naruszał jej materialnych lub proceduralnych praw do środków ochrony prawnej zgodnie z odrębnymi przepisami prawa krajowego lub międzynarodowego. Klauzula 8 Współpraca z organami nadzorczymi 1. Podmiot przekazujący dane zgadza się dostarczyć kopię niniejszej umowy organowi nadzorczemu na jego żądanie lub jeżeli dostarczenie kopii jest wymagane na mocy właściwego prawa o ochronie danych. 2. Strony uzgadniają, że organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania, która ma ten sam zakres i podlega tym samym warunkom, jakie miałyby zastosowanie do kontroli podmiotu przekazującego dane na mocy właściwego prawa o ochronie danych. 3. Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane o istnieniu przepisów mających zastosowanie do podmiotu odbierającego dane lub któregokolwiek z podwykonawców przetwarzania działających na jego zlecenie, które uniemożliwiałyby przeprowadzenie kontroli podmiotu odbierającego dane lub podwykonawcy przetwarzania na podstawie pkt 2. W takim przypadku podmiot przekazujący dane ma prawo podjąć środki przewidziane w klauzuli 5 lit. b). Klauzula 9 Prawo właściwe Klauzule podlegają prawu państwa członkowskiego, w którym prowadzi działalność podmiot przekazujący dane, a mianowicie: Zob. pkt 12 niniejszej Umowy. Klauzula 10 Zmiany umowy Strony zobowiązują się do niedokonywania zmian lub modyfikacji niniejszych klauzul. Nie wyklucza to dodawania przez strony w razie potrzeby klauzul dotyczących kwestii związanych z ich działalnością gospodarczą, pod warunkiem że nie są one sprzeczne z niniejszymi klauzulami. Klauzula 11 Podwykonawstwo przetwarzania danych 1. Podmiot odbierający dane nie podzleca czynności przetwarzania danych wykonywanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Jeżeli podmiot odbierający dane podzleca wykonanie swoich obowiązków w ramach niniejszych klauzul za zgodą podmiotu przekazującego dane, czyni to wyłącznie na podstawie umowy pisemnej z podwykonawcą przetwarzania, która nakłada na podwykonawcę przetwarzania te same obowiązki, jakie spoczywają na podmiocie odbierającym dane w ramach niniejszych klauzul 1. Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych w ramach takiej umowy pisemnej, podmiot odbierający dane ponosi pełną odpowiedzialność wobec podmiotu 1 Ten wymóg może zostać spełniony przez wspólne podpisanie przez podwykonawcę przetwarzania umowy zawartej między podmiotem przekazującym a odbierającym dane na mocy niniejszej decyzji. 17

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania na mocy takiej umowy. 2. Umowa pisemna zawarta między podmiotem odbierającym dane a podwykonawcą przetwarzania przed przekazaniem danych osobowych podwykonawcy przetwarzania obejmuje również klauzulę na rzecz osoby trzeciej, określoną w klauzuli 3, w odniesieniu do przypadków, w których osoba, której dotyczą dane, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w klauzuli 6 pkt 1 przeciw podmiotowi przekazującemu lub odbierającemu dane, ponieważ przestały one istnieć faktycznie lub formalnie lub stały się niewypłacalne, a żaden podmiot będący następcą nie przejął na podstawie umowy lub z mocy prawa wszystkich zobowiązań prawnych podmiotu przekazującego lub odbierającego dane. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul. 3. Postanowienia umowy, o której mowa w ust. 1, dotyczące aspektów ochrony danych w odniesieniu do podwykonawstwa przetwarzania, podlegają prawu państwa członkowskiego, w którym prowadzi działalność gospodarczą podmiot przekazujący dane, a mianowicie: Zob. pkt. 12 niniejszej Umowy. 4. Podmiot przekazujący dane prowadzi wykaz umów dotyczących podwykonawstwa przetwarzania danych zawartych na podstawie niniejszych klauzul, o których został poinformowany przez podmiot odbierający dane na postawie klauzuli 5 lit. j); wykaz ten podlega aktualizacji co najmniej raz do roku. Wykaz udostępnia się organowi nadzorczemu właściwemu dla podmiotu przekazującego dane. Klauzula 12 Obowiązki po zakończeniu usług przetwarzania danych osobowych 1. Strony uzgadniają, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania zwracają podmiotowi przekazującemu dane wszystkie przekazane dane osobowe i ich kopie lub niszczą wszystkie dane osobowe i poświadczają przekazującemu dane, że to uczynili, zgodnie z decyzją przekazującego dane, chyba że przepisy prawa obowiązujące podmiot odbierający dane uniemożliwiają mu zwrot lub zniszczenie wszystkich lub części przekazanych danych osobowych. W tym przypadku podmiot odbierający dane gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie ich już aktywnie przetwarzał. 2. Podmiot odbierający dane lub podwykonawca przetwarzania gwarantują przedstawienie na żądanie podmiotu przekazującego dane lub organu nadzorczego urządzeń do przetwarzania danych do celów kontroli środków, o których mowa w ust. 1. W imieniu podmiotu przekazującego dane: Imię, nazwisko, kod działu, data Imię, nazwisko, kod działu, data W imieniu podmiotu odbierającego dane: Imię, nazwisko, data Imię, nazwisko, data 18

Załącznik 2 Standardowe Klauzule Umowne (2010/87/WE) Dodatek 1 do standardowych klauzul umownych Niniejszy dodatek stanowi część klauzul i musi być wypełniony i podpisany przez strony Zgodnie z procedurami krajowymi państwa członkowskie mogą uzupełniać niniejszy dodatek lub określić wszelkie niezbędne dodatkowe informacje, które należy zawrzeć w niniejszym dodatku. Podmiot przekazujący dane Podmiot przekazujący dane (proszę krótko scharakteryzować działalność związaną z przekazywaniem danych): Załącznik nr 1 do Umowy o Przetwarzanie Danych ma zastosowanie do: Zob. Preambuła do niniejszej Umowy. Podmiot odbierający dane Podmiot odbierający dane (proszę krótko scharakteryzować działalność związaną z przekazywaniem danych): Zob. Preambuła do niniejszej Umowy. Osoby, których dane dotyczą Podmioty, których dotyczą przekazywane dane osobowe, należą do następujących kategorii (proszę wyszczególnić): Zob. obowiązujący Załącznik nr 1 do niniejszej Umowy. Kategorie danych Przekazane dane osobowe dotyczą następujących kategorii danych (proszę wyszczególnić): Zob. obowiązujący Załącznik nr 1 do niniejszej Umowy. Szczególne kategorie danych (jeśli dotyczy) Przekazywane dane osobowe dotyczą następujących szczególnych kategorii danych (proszę wyszczególnić): Zob. obowiązujący Załącznik nr 1 do niniejszej Umowy. Czynności przetwarzania Przekazane dane osobowe będą podlegały następującym podstawowym czynnościom przetwarzania (proszę wyszczególnić): Zob. obowiązujący Załącznik nr 1 do niniejszej Umowy. 19