PROJEKT UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W dniu... r. we Wrocławiu pomiędzy: Miejskim Centrum Usług Socjalnych we Wrocławiu, przy ul. Mącznej 3, 54-131 Wrocław, REGON 932684540 - jednostka budŝetowa Gminy Wrocław, reprezentowanym przez: Janusza Nałęckiego - Dyrektora zwanym dalej Administratorem Danych, a...mającą siedzibę w... działającą na podstawie wpisu do... pod numerem..., REGON..., reprezentowaną przez:... -... zwaną dalej Przetwarzającym, zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. 2002 r. Nr 101, poz. 926 z późn. zm.), mając na celu niezbędne wykonanie zleceń art. 31 tej ustawy oraz poprawną realizację Umowy Nr zawartej w dniu pomiędzy Gminą Wrocław a., Strony zawierają umowę o następującej treści: 1 Przedmiotem umowy jest powierzenie Przetwarzającemu, wyłonionemu w trybie przeprowadzonego postępowania - otwartego konkursu ofert pn.: Realizacja usług opiekuńczych w miejscu zamieszkania klienta, na terenie Wrocławia, danych osobowych klientów Działu Usług Opiekuńczych - Administratora Danych, w tym danych wraŝliwych, dotyczących stanu zdrowia, nałogów oraz określonych danych zawartych w indywidualnych decyzjach administracyjnych przyznających pomoc w formie usług opiekuńczych, w tym specjalistycznych usług opiekuńczych, zgromadzonych w bazie danych Administratora Danych (zgłoszenie u Generalnego Inspektora Ochrony Danych Osobowych nr 002672/07), zwanych dalej danymi osobowymi. 2 1. Celem przetwarzania jest wykorzystanie bazy danych, o której mowa w 1, wyłącznie w zakresie niezbędnym do realizacji czynności usług opiekuńczych, w tym specjalistycznych usług opiekuńczych przez kadrę Przetwarzającego zgodnie z Umową Nr z dnia na powierzenie realizacji zadania publicznego pod nazwą: Realizacja usług opiekuńczych w miejscu zamieszkania klienta, na terenie Wrocławia. 1
2. Zakres danych osobowych obejmuje: Załącznik nr 3 1) imię i nazwisko; 2) adres zameldowania lub pobytu; 3) dane wynikające z orzeczeń (decyzja administracyjna), w tym: wymiar godzin usług, rodzaj usług, dane opiekuna prawnego, odpłatność za usługi opiekuńcze, w tym specjalistyczne usługi opiekuńcze. Przekazywanie danych klientów odbywać się będzie zgodnie z umową powierzenia przetwarzania danych osobowych. 3. Przekazanie danych osobowych, o których mowa w ust. 2, w zakresie niezbędnym do udzielenia świadczeń z zakresu pomocy społecznej w postaci usług opiekuńczych, w tym specjalistycznych usług opiekuńczych u danego klienta, moŝe następować w sposób: 1) pisemny; 2) za pomocą poczty elektronicznej lub na nośnikach elektronicznych; 3) telefoniczny. 4. Przekazanie danych osobowych moŝe następować w formie elektronicznej, przy zachowaniu poziomu bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych, wymaganego obowiązującymi przepisami w tym zakresie. 5. Przekazanie danych osobowych Przetwarzającemu, o których mowa w ust. 2, w szczególności w sytuacji konieczności realizacji usług opiekuńczych w trybie natychmiastowym, moŝe nastąpić telefonicznie przez Administratora Danych wskazanemu pracownikowi Przetwarzającego i na wskazany przez Przetwarzającego numer telefonu, w zakresie danych, o których mowa w ust. 2 pkt 1 i 2. 6. Wprowadzanie nowych rekordów do bazy danych klientów Administratora Danych moŝe następować tylko z uwzględnieniem danych osobowych, o których mowa w 1 i nie stanowi zmiany zakresu przetwarzanych danych osobowych oraz nie wymaga zmiany niniejszej umowy. 3 1. Przetwarzający oświadcza, Ŝe dysponuje środkami umoŝliwiającymi prawidłowe przetwarzanie i zabezpieczenie danych osobowych, a jego system informatyczny odpowiada wymaganiom, określonym w ustawie o ochronie danych osobowych oraz wydanych na jej podstawie przepisach wykonawczych. 2. Miejscem wykonywania umowy, w zakresie przekazanych na podstawie niniejszej umowy danych osobowych, jest lokal wskazany przez Przetwarzającego, w którym zapewnione będą środki techniczne i informatyczne niezbędne do zgodnego z obowiązującymi przepisami wykonania umowy oraz w sytuacjach tego wymagających, siedziba Administratora Danych, w której Administrator Danych udostępni niezbędne środki bezpiecznej łączności teleinformatycznej do wykonania zadania. 3. Przetwarzający oświadcza, Ŝe zapoznał się z treścią zapisów ustawy dotyczących sposobu przetwarzania danych osobowych, w szczególności z treścią zasad ogólnych przetwarzania danych oraz prawach osób, których dane dotyczą wraz z treścią Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy 2
informatyczne słuŝące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.). 4. Przetwarzający zobowiązuje się przetwarzać dane osobowe, o których mowa w 1, wyłącznie w zakresie i w celu przewidzianym w umowie, zgodnie z ustawą o ochronie danych osobowych. 5. Przed rozpoczęciem przetwarzania danych osobowych, Przetwarzający jest zobowiązany do zastosowania przy przetwarzaniu danych osobowych, o których mowa w 1, środków zabezpieczających dane osobowe oraz spełnić warunki, o których mowa w art. 36-39 ustawy o ochronie danych osobowych oraz spełnić wymagania, o których stanowi art. 39a powyŝszej ustawy. W szczególności Przetwarzający zobowiązuje się do: 1) zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagroŝeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane osobowe przed ich udostępnieniem osobom nieupowaŝnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem; 2) dopuszczenia do przetwarzania danych osobowych, w tym systemu informatycznego oraz urządzeń wchodzących w skład słuŝących do przetwarzania danych, wyłącznie osób posiadających stosowne upowaŝnienie; 3) zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane; 4) prowadzenia ewidencji osób upowaŝnionych do przetwarzania danych osobowych; 5) zapewnienia, aby osoby, o których mowa w pkt. 4, zachowały w tajemnicy dane osobowe oraz sposoby ich zabezpieczeń. 6. Przetwarzający oświadcza, Ŝe posiada wdroŝoną dokumentację, w której skład wchodzi: 1) Polityka Bezpieczeństwa, 2) Instrukcja Zarządzania Systemem Informatycznym słuŝącym do przetwarzania danych osobowych. 7. Przetwarzający jest zobowiązany do przedstawienia Administratorowi Danych dokumentów określonych w ust. 6, w dniu podpisania umowy, o której mowa w 2. Administrator Danych zastrzega sobie prawo do wniesienia uwag do przedstawionej dokumentacji, a Przetwarzający ma obowiązek uwagi uwzględnić i wdroŝyć w ciągu 14 dni od uzyskania uwag od Administratora Danych. 8. Przyjęcie i wdroŝenie uwag do dokumentacji oznacza dostosowanie dokumentacji, o której mowa w ust. 6, do struktury organizacyjnej Przetwarzającego, opublikowanie dostosowanej dokumentacji, zaznajomienie z nią osób upowaŝnionych do przetwarzania danych osobowych u Przetwarzającego oraz przeprowadzenie szkoleń dla tych osób zgodnie z polityką bezpieczeństwa w ciągu jednego miesiąca realizacji zadania. 9. W razie niewykonania obowiązku przyjęcia i wdroŝenia uwag Administratora Danych do dokumentacji, o której mowa w ust. 6, Przetwarzający zapłaci karę umowną w wysokości 1000,00 zł za kaŝdy dzień opóźnienia w wykonaniu tego obowiązku. 3
10. Przetwarzający oświadcza, Ŝe przy przetwarzaniu powierzonych danych osobowych, będzie przestrzegał wymagań ustawy o ochronie danych osobowych oraz aktów wykonawczych do ustawy. 11. Przetwarzający zobowiązuje się do: 1) nie wykonywania kopii danych osobowych dla celów niezwiązanych z umową; 2) nie gromadzenia danych osobowych w jakikolwiek inny sposób niŝ związanych z realizacją umowy. 12. Strony niniejszej umowy zobowiązują się ponadto do: 1) zachowania tajemnicy wszelkich informacji otrzymanych i uzyskanych w związku z wykonywaniem zobowiązań wynikających z realizacji Umowy Nr zawartej w dniu.. 2) nie sporządzania kopii ani jakiegokolwiek innego powielania, poza uzasadnionymi prawnie przypadkami, informacji otrzymanych i uzyskanych w związku z realizacją Umowy Nr.. zawartej w dniu 13. Osobą odpowiedzialną z ramienia Administratora Danych za realizację i kontrolę umowy jest Pan Konrad Karykowski Główny Administrator i Informatyk. 4 1. Przetwarzający jako Administratora Bezpieczeństwa Informacji wyznacza:.. 2. Administrator Danych zobowiązuje się, Ŝe podczas realizacji umowy będzie ściśle współpracować z Przetwarzającym w zakresie dotyczącym przetwarzania danych osobowych na podstawie umowy. 3. Administrator Danych moŝe przez cały okres objęty umową kontrolować poprawność zabezpieczenia i przetwarzania danych powierzonych Przetwarzającemu na podstawie niniejszej umowy, z zastrzeŝeniem ust. 4. 4. Administrator Danych zastrzega sobie prawo do nadzorowania i kontrolowania prawidłowej realizacji niniejszej umowy przez upowaŝnioną osobę (pracownik) innego podmiotu działającego na podstawie upowaŝnienia Administratora Danych. 5 1. Przetwarzający moŝe upowaŝniać do przetwarzania danych osobowych, zawartych w bazie danych klientów Administratora Danych tylko te osoby spośród swojej kadry, które podpisały zobowiązania do nieujawniania informacji o: 1) dokumentacji, określonej w 3 ust. 6, 2) danych osobowych, do których uzyskają dostęp w związku z wykonywaniem obowiązków realizacji usług opiekuńczych, w tym specjalistycznych usług opiekuńczych. 2. Przetwarzający zobowiązuje się upowaŝniać do przetwarzania danych osobowych wyłącznie osoby wykonujące czynności na rzecz Przetwarzającego w związku z realizacją umowy, o której mowa w 2 ust. 1. 3. Imienne upowaŝnienia do przetwarzania danych osobowych wydawane będą przez Przetwarzającego. 4
4. Przetwarzający jest zobowiązany do prowadzenia rejestru upowaŝnień do przetwarzania danych osobowych. Rejestr osób upowaŝnionych powinien zwierać następujące informacje: 1) imię i nazwisko, 2) stanowisko, 3) lokalizacja (miejsce pracy), 4) identyfikator, 5) datę nadania upowaŝnienia, 6) datę zakończenia stosunku pracy. 5. Rejestr osób upowaŝnionych, o których mowa w ust. 4, będzie kaŝdorazowo uaktualniany i przedkładany Administratorowi Danych najpóźniej do 30 dnia kaŝdego miesiąca. 6 1. Przetwarzający ponosi odpowiedzialność jak Administrator Danych, zgodnie z ustawą o ochronie danych osobowych. 2. Przetwarzający oświadcza, Ŝe w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych prowadzonej u Administratora Danych dotyczącej przetwarzania powierzonych danych osobowych, będzie niezwłocznie przekazywał Administratorowi Danych niezbędne informacje i wyjaśnienia. 3. Przetwarzający jest zobowiązany powiadomić Administratora Danych o kaŝdej kontroli Generalnego Inspektora Ochrony Danych Osobowych, jeŝeli ma ona związek z przetwarzaniem powierzonych danych osobowych oraz o kaŝdym piśmie Generalnego Inspektora Ochrony Danych Osobowych dotyczącym składania wyjaśnień w zakresie powierzonych danych. 4. Wszelkie decyzje dotyczące przetwarzania danych odbiegające od ustaleń zawartych w umowie, powinny być przekazane drugiej Stronie w formie pisemnej pod rygorem niewaŝności. 7 1. Umowa zostaje zawarta na czas realizacji umowy o powierzenie realizacji zadania publicznego pn.: Realizacja usług opiekuńczych w miejscu zamieszkania klienta, na terenie Wrocławia. 2. Gmina Wrocław ma prawo wypowiedzieć w terminie ustalonym przez siebie umowę, o której mowa w 2 ust. 1, w przypadku stwierdzenia przetwarzania danych osobowych przez Przetwarzającego niezgodnie z niniejszą umową. 3. W przypadku rozwiązania lub wygaśnięcia umowy o powierzenie realizacji zadania publicznego pn.: Realizacja usług opiekuńczych w miejscu zamieszkania klienta, na terenie Wrocławia, o której mowa w 2 ust. 1, Przetwarzający jest zobowiązany do zwrotu przedmiotowej bazy danych, w terminie nie dłuŝszym niŝ 7 dni od dnia wypowiedzenia, rozwiązania lub wygaśnięcia umowy, uaktualnionej na dzień rozwiązania/wygaśnięcia umowy oraz do usunięcia trwale wszystkich danych osobowych przetwarzanych w bazie danych klientów Administratora Danych systemu informatycznego oraz nośników Przetwarzającego z zastrzeŝeniem ust. 4. 5
4. Trwałe usunięcie wszystkich danych osobowych nastąpi przy udziale komisji, w skład której wchodzić będzie co najmniej jeden upowaŝniony pracownik Administratora Danych lub osoba z innej jednostki na zlecenie Administratora Danych. Trwałe usunięcie danych osobowych powinno nastąpić w terminie 7 dni kalendarzowych od dnia zakończenia realizacji umowy, tj. wykonywanych czynności w ramach usług opiekuńczych. 5. W trakcie trwania niniejszej umowy Przetwarzający zobowiązuje się dokonywać archiwizacji bazy danych osobowych, zachowując bezpieczeństwo bazy zgodnie z obowiązującymi przepisami. Po upływie okresu niezbędnego do dokonania czynności kontrolnych, zastosowanie ma ust. 2. 6. W terminie określonym w ust. 2, Przetwarzający zobowiązany jest przekazać Administratorowi Danych takŝe kopie zapasowe bazy danych klientów Administratora Danych sporządzone zgodnie z polityką bezpieczeństwa. 7. W przypadku zmiany przepisów w zakresie ochrony danych osobowych w szczególności w zakresie zabezpieczenia danych osobowych zawartych w zbiorze danych osobowych umieszczonych w dzienniku, Przetwarzający zobowiąŝe się do dokonania odpowiednich aktualizacji i modernizacji w zakresie stosowanych środków technicznych, organizacyjnych i informatycznych w terminie określonym w przepisach. 8. Przetwarzający w przypadku naruszenia odpowiednich zasad, przepisów i ustaleń umownych jest odpowiedzialny i ponosi konsekwencje formalne i materialne z tego tytułu w pełnym zakresie. 8 Wszelkie zmiany dotyczące niniejszej umowy, z zastrzeŝeniem 2 ust. 6, wymagają formy pisemnej pod rygorem niewaŝności. 9 W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu cywilnego, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.) oraz wydane na jej podstawie przepisy wykonawcze. 10 Spory wynikające z niniejszej umowy będą rozstrzygane przez Sąd właściwy dla siedziby Administratora Danych. 11 Umowę sporządzono w trzech jednobrzmiących egzemplarzach po jednym dla: 1) Przetwarzającego, 2) Administratora Danych, 3) Gminy Wrocław. Administrator Danych Przetwarzający 6
Załącznik Załącznik nr 3 do umowy powierzenia przetwarzania danych osobowych z dnia.. PROTOKÓŁ ZDAWCZO-ODBIORCZY do umowy powierzenia przetwarzania danych osobowych z dnia... sporządzony w dniu... r. Miejskie Centrum Usług Socjalnych we Wrocławiu ul. Mączna 3, reprezentowane przez: Janusza Nałęckiego Dyrektora, zwane dalej Administratorem Danych przekazuje. reprezentowanym przez: zwanemu dalej Przetwarzającym 1 Janusz Nałęcki działający w imieniu Miejskiego Centrum Usług Socjalnych we Wrocławiu - Administratora Danych -. przekazał - Przetwarzającemu. wykaz danych osobowych. osób w zakresie, o którym mowa w 2 ust. 2 umowy powierzenia przetwarzania danych osobowych, w formie papierowej i elektronicznej, stanowiące załącznik do niniejszego protokołu. 2 Protokół sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla kaŝdej ze Stron. Administrator Danych Przetwarzający 7