Załącznik nr 6 do Umowy UMOWA Powierzenia przetwarzania danych osobowych zawarta w dniu roku... w Rzeszowie, zwana dalej Umową pomiędzy PGE Górnictwo i Energetyka Konwencjonalna Spółka Akcyjna z siedzibą w Bełchatowie, ul. Węglowa 5, 97-400 Bełchatów, wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy - Krajowego Rejestru Sądowego, pod nr KRS: 0000032334. Kapitał zakładowy: 6.936.865.700 zł w całości wpłacony; NIP: 769-050-24-95, REGON: 000560207, zwaną dalej Zamawiającym, reprezentowaną przez: 1.... 2.... a..., z siedzibą w... przy ulicy..., wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla..w,.. Wydział Gospodarczy, pod nr KRS:... Kapitał zakładowy:.; NIP, REGON:, zwaną dalej Wykonawcą, którą reprezentuje: 1.... 2.... zwane dalej również pojedynczo Stroną lub łącznie Stronami. W związku z zawarciem przez Strony Umowy nr... z dnia... na realizację usługi p.n.: Poprawa Systemu Sygnalizacji Włamaniowej i Napadowej oraz Systemu Kontroli Dostępu w ECR 1 1. Zamawiający oświadcza, że jest administratorem zbioru danych osobowych o nazwie:,,wykaz osób uprawnionych do otrzymania kart dostępowych na teren Oddziału Elektrociepłownia Rzeszów utrzymywanego u Zamawiający w Oddziale Elektrociepłownia Rzeszów zwanych dalej Zbiorem Danych Osobowych.
2. Zamawiający jest administratorem danych zgromadzonych w Zbiorze Danych Osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) zwanej dalej Ustawą. 3. Wykonawca jest podmiotem, o którym mowa w art. 31 ust 1 Ustawy, któremu nieodpłatnie powierza się przetwarzanie danych i ponosi odpowiedzialność w szczególności na zasadach określonych w Ustawie. 4. Zamawiający przed powierzeniem Wykonawcy przetwarzania Zbioru Danych Osobowych, podlegającego rejestracji na podstawie przepisów prawa, ma obowiązek zgłosić Zbiór Danych Osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, wymieniając w nim Wykonawcę jako podmiot, o którym mowa w art. 31 Ustawy, o ile nie podlega zwolnieniu, o którym mowa w art. 43 Ustawy. 2 1. W ramach niniejszej Umowy Zamawiający powierza przetwarzanie danych osobowych Wykonawcy objętych Zbiorem Danych Osobowych w celu wskazanym w ust. 2 niniejszego paragrafu oraz w zakresie wynikającym z 3 Umowy. 2. Na podstawie niniejszej Umowy Zamawiający powierza Wykonawcy przetwarzanie danych osobowych objętych Zbiorem Danych Osobowych przy wymienionych, poniżej usługach i celu: - Poprawa Systemu Sygnalizacji Włamaniowej i Napadowej oraz Systemu Kontroli Dostępu w ECR wykonywanie czynności wynikających z zawartej umowy, 3. Na podstawie Umowy Wykonawca może przetwarzać powierzone mu do przetwarzania dane osobowe w celach określonych w ust. 2 powyżej, poprzez: zbieranie, kopiowanie, udostępnianie, archiwizowanie. 3 1. Zakres danych osobowych powierzonych do przetwarzania w ramach Zbioru Danych Osobowych o nazwie,,wykaz osób uprawnionych do otrzymania kart dostępowych na teren Oddziału Elektrociepłownia Rzeszów obejmuje: imię i nazwisko, zdjęcie, nr ewidencyjny pracownika, zatrudnienie (nazwę pracodawcy), stanowisko. 2. Jakakolwiek zmiana zakresu powierzonego Zbioru Danych Osobowych wymaga aneksu do Umowy. 4 1. Wykonawca zobowiązuje się przetwarzać powierzony Zbiór Danych Osobowych w sposób nie naruszający przepisów prawa, wyłącznie w celu określonym w 2 oraz w zakresie określonym w 3 Umowy. 2. Wykonawca zobowiązuje się nie udostępniać powierzonego Zbioru Danych Osobowych innym podmiotom, chyba że przepisy prawa stanowią inaczej. 5 2
1. Wykonawca zobowiązuje się przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające powierzony Zbiór Danych Osobowych, o których mowa w art. 36-39 Ustawy oraz spełnić wymagania określone w przepisach, wydanych na podstawie art. 39a Ustawy, o ile przetwarzanie miałoby nastąpić w systemach informatycznych. 2. Wykonawca jest obowiązany zapewnić, aby urządzenia i systemy informatyczne, służące do przetwarzania powierzonych mu danych osobowych, były zgodne z wymogami obowiązującego prawa, w tym Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024). 6 1. Strony ustalają, że podczas realizacji niniejszej Umowy będą ze sobą ściśle współpracować za pośrednictwem wyznaczonych przez każdą ze Stron: Lokalnego Administratora Bezpieczeństwa Informacji (Zamawiający) oraz Administratora Bezpieczeństwa Informacji (Wykonawca), informując się niezwłocznie, w drodze pisemnej, o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie niniejszej Umowy. Strony wyznaczają do celów nadzorczych realizacji niniejszej umowy: Lokalnego Administratora Bezpieczeństwa Informacji (Zamawiający) oraz Administratorów Bezpieczeństwa Informacji (Wykonawca): 1) Zamawiający:... 2) Wykonawca:... Zmiana osób wyznaczonych nie stanowi zmiany Umowy, następuje poprzez pisemne powiadomienie drugiej Strony. 2. Wykonawca może w razie potrzeby, w zakresie i celach zgodnych z niniejszą Umową, powierzyć dane do dalszego przetwarzania innym podmiotom (podwykonawcom), po uzyskaniu każdorazowo zgody Zamawiającego, wyrażonej w formie pisemnej pod rygorem nieważności. Dalsze powierzenie przetwarzania danych osobowych wymaga zachowania przez Wykonawcę warunków wynikających z art. 31 Ustawy. 3. Zamawiający nie jest odpowiedzialny za zobowiązania Wykonawcy wobec osób trzecich nie przewidziane niniejszą Umową. 4. Zamawiający ma prawo do kontroli sposobu wykonywania niniejszej Umowy przez Wykonawcę w formie inspekcji. Na pisemne wezwanie Zamawiającego, Wykonawca zobowiązany jest do przedstawienia odpowiednich dokumentów do kontroli w terminie 7 dni od daty otrzymania wezwania. 5. Wezwanie takie musi zawierać określenie: 1) osoby lub podmiotu upoważnionego do wykonania kontroli w imieniu Zamawiającego, 2) zakresu kontroli z określeniem weryfikowanych danych. 3
6. Kontrola wykonywana będzie w siedzibie Wykonawcy, w obecności upoważnionego na piśmie przedstawiciela Wykonawcy, w dni robocze od poniedziałku do piątku, w godzinach pracy biura Wykonawcy i zakończona zostanie podpisanym przez przedstawicieli obu Stron Protokołem, przedstawiającym wnioski z kontroli. Wykonawca zobowiązuje się do usunięcia bez zbędnej zwłoki wszelkich nieprawidłowości stwierdzonych podczas kontroli. 7. Strony zobowiązują się zapewnić objęcie swoich Przedstawicieli zobowiązaniem do zachowania poufności przed przekazaniem danych w związku z wykonywaną kontrolą, a dokumenty Wykonawcy przedstawione do kontroli nie powinny być kopiowane ani udostępniane osobom trzecim w żadnej formie. 8. Wykonawca zobowiązuje się do każdorazowego, niezwłocznego, informowania Zamawiającego o przypadkach naruszenia przepisów dotyczących ochrony powierzonych danych osobowych. 9. W sytuacjach nieprzewidzianych w Umowie, Wykonawca zobowiązuje się do przetwarzania danych osobowych w oparciu o obowiązujące przepisy mając na uwadze ochronę danych osobowych oraz interes Zamawiającego. 7 1. Wykonawca zobowiązuje się do niezwłocznego usunięcia Zbioru Danych Osobowych, jeśli przetwarzanie danych nie jest już uzasadnione wykonywaniem niniejszej Umowy w związku jej wygaśnięciem lub rozwiązaniem. Z zastrzeżeniem ust 2 usunięcia dokonuje Wykonawca po uprzednim poinformowaniu Zamawiającego. Wykonawca jest zobowiązany do potwierdzenia faktu usunięcia pisemnym oświadczeniem. 2. Wykonawca, na żądanie Zamawiającego, zgłoszone w terminie 7 dni od otrzymania informacji, o której mowa w ust 1, przed usunięciem Zbioru Danych Osobowych, przekazuje Zbiór Danych Osobowych Zamawiającemu na nośnikach i w formatach umożliwiających migrację. 8 Strony niniejszej Umowy uzgodnią, w formie Załącznika do Umowy, sposób przekazywania informacji, będących elementem Zbioru Danych Osobowych, który zapewni bezpieczeństwo danych. 9 1. W przypadku nienależytego wykonywania Umowy oraz w przypadku naruszenia przez Wykonawcę obowiązku właściwego zabezpieczenia Zbioru Danych Osobowych, jak również w przypadku innego naruszenia przepisów Ustawy, Zamawiający uprawniony będzie do nałożenia na Wykonawcę kary umownej w wysokości: 15 000, 00 zł (słownie: piętnaście tysięcy złotych) za każdy przypadek naruszenia. 2. Zamawiający zastrzega sobie prawo dochodzenia odszkodowania, przewyższającego karę umowną na zasadach ogólnych kodeksu cywilnego. 4
3. Warunkiem nałożenia kary umownej, na zasadach określonych w ust. 1 powyżej, będzie brak złożenia przez Wykonawcę wyjaśnień oraz nieusunięcie naruszeń we wskazanym przez Zamawiającego terminie jednak nie dłuższym niż 2 miesiące. 10 1. Niniejsza Umowa została zawarta na czas obowiązywania Umowy wskazanej w preambule niniejszej umowy oraz umów, o których mowa w ust 2 poniżej. 2. W przypadku zawarcia kolejnych umów pomiędzy Stronami, których wykonywanie wiązać się będzie z koniecznością powierzenia Wykonawcy przetwarzania danych, Strony mogą zawrzeć aneks do niniejszej Umowy i zamieścić w treści zawieranych umów postanowienia, obejmujące między innymi wskazanie danych, których przetwarzanie powierzone zostaje Wykonawcy oraz postanowienia stwierdzające, że powierzenie przetwarzania danych następuje na zasadach określonych w niniejszej Umowie, a także określić zakres i cel, w jakim powierzenie przetwarzania danych następuje. 3. Umowa może zostać wypowiedziana w trybie o którym mowa w ust. 4, w przypadku: 1) rażącego naruszenia przez Wykonawcę postanowień niniejszej Umowy lub Ustawy, 2) wyrządzenia Zamawiającemu lub klientowi Zamawiającego szkody przez Wykonawcę przy realizacji Umowy, 3) się opóźniania się z realizacją zaleceń pokontrolnych, mimo dwukrotnego wezwania Zamawiającego do realizacji tych zaleceń. 4. W przypadku, o którym mowa w ust 3, Zamawiający jest uprawniony do rozwiązania powyższej Umowy oraz umów, o których mowa w ust 2 powyżej, jednakże dopiero po pisemnym wezwaniu Wykonawcy do zaniechania naruszeń, do naprawienia/usunięcia szkody, do realizacji zaleceń, w terminie nie krótszym niż 2 miesiące. 5. Każda ze stron uprawniona jest do rozwiązania umowy oraz umów, o których mowa w ust. 2 niniejszego paragrafu z zachowaniem jednomiesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego. 11 1. W zakresie nieuregulowanym niniejszą Umową, mają zastosowanie przepisy obowiązującego prawa, w tym Ustawy oraz Kodeksu cywilnego. 2. Wszelkie zmiany niniejszej Umowy, z zastrzeżeniem 6 ust. 1 Umowy wymagają formy pisemnej pod rygorem nieważności. 12 Niniejszą Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron Zamawiający Wykonawca 5
1...... 1......... 2...... 2.. 6