UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

Załącznik nr 5 do umowy z dnia.. 2017 r. UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa) Zawarta w dniu 2017 roku, w.., pomiędzy: Bankiem Gospodarstwa Krajowego działającym na podstawie ustawy z dnia 14 marca 2003 r. o Banku Gospodarstwa Krajowego (t.j. Dz. U. 2016, poz. 1787 z późn.zm oraz Statutu Banku Gospodarstwa Krajowego, stanowiącego załącznik do rozporządzenia ministra Rozwoju z dnia 16 września 2016 r. w sprawie nadania statutu Bankowi Gospodarstwa Krajowego (Dz. U. z 2016 r., poz. 1527) z siedzibą w Warszawie, Al. Jerozolimskie 7, 00-955 Warszawa, Nr REGON:000017319, Nr NIP: 525-00-12-372, reprezentowanym przez: 1)..., 2), zwanym dalej Administratorem Danych a... z siedzibą w.. adres:, wpisanym do Krajowego Rejestru Sądowego Rejestru Przedsiębiorców pod numerem., której dokumentacja rejestrowa jest przechowywana przez Sąd Rejonowy dla,.. Wydział Gospodarczy Krajowego Rejestru Sądowego, NIP.., z kapitałem zakładowym w wysokości.pln, opłaconym w całości, reprezentowanym przez: 1)..., 2), zwanym dalej lub Wykonawcą zwanymi także dalej wspólnie Stronami lub każdą z osobna Stroną, 1

Oświadczenia Stron Strony oświadczają, co następuje: 1) Administrator Danych oświadcza, iż jest administratorem zbioru danych osobowych Pracownicy BGK oraz, że spełnił warunki legalności przetwarzania danych osobowych, przewidzianych ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), zwanej dalej Ustawą, 2) Wykonawca oświadcza, iż dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie usług objętych Umową, 3) Wykonawca oświadcza, iż urządzenia i systemy informatyczne służące do przetwarzania powierzonych mu danych osobowych są zgodne z wymogami rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), 4) niniejsza Umowa stanowi umowę o powierzenie przetwarzania danych osobowych, o której mowa w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Wykonawca niniejszym oświadcza, że znane są mu obowiązki nałożone przez przepisy Ustawy oraz rozporządzeń wykonawczych do Ustawy, na podmiot przetwarzający dane osobowe powierzone mu do przetwarzania przez Administratora Danych, a w szczególności treść art. 31 oraz art. 36-39a Ustawy. Wykonawca nie może powierzyć wykonania umowy podwykonawcom. Wykonawca zobowiązuje się do wykonania przedmiotu umowy bez udziału osób trzecich. 2 Przedmiot Umowy 1. Wykonawca przetwarzał będzie powierzone mu dane osobowe wyłącznie w celu realizacji Umowy. 2. Przetwarzanie przez Wykonawcę danych osobowych w innych celach niż wskazane powyżej, nie jest objęte Umową. 3 Zakres i cel przetwarzania danych osobowych 1. Wykonawca będzie przetwarzał powierzone mu dane osobowe w następującym zakresie: 1) imię; 2) nazwisko; 3) data i miejsce urodzenia; 4) PESEL; 5) adres zamieszkania/ adres zameldowania; 6) miejsce pracy; 7) nazwę zajmowanego stanowiska; 8) służbowy numer telefonu; 2/6

9) służbowy adres email. 2. Administrator Danych powierza przetwarzanie danych osobowych z bazy danych osobowych o nazwie Pracownicy BGK w celu wykonania umowy dotyczącej świadczenia usług pośrednictwa polegających na zapewnieniu usług hotelarskich, gastronomicznych oraz konferencyjnych. 4 Zasady przetwarzania danych osobowych 1. Przy przetwarzaniu danych osobowych związanych z wykonaniem Umowy, Wykonawca powinien przestrzegać zasad wskazanych w niniejszym paragrafie oraz w Ustawie i aktach wykonawczych. 2. Przed rozpoczęciem przetwarzania danych osobowych Wykonawca zobowiązany jest do podjęcia środków zabezpieczających dane osobowe, o których mowa w art. 36-39a Ustawy, a w szczególności obowiązany jest: 1) zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a przede wszystkim powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem; 2) zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do Bazy Danych oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą teletransmisji; 3) dopuszczać do obsługi systemu przetwarzającego dane osobowe oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych osobowych, wyłącznie osoby posiadające wydane przez niego imiennie upoważnienie. Administrator Danych upoważnia Wykonawcę do udzielenia ww. upoważnień; 4) prowadzić ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych przetwarzanych w związku z wykonywaniem Umowy, zgodnie z wymaganiami określonymi w Ustawie. Wykonawca, na żądanie Administratora Danych, zobowiązany jest przedstawić aktualną listę osób z przyznanym dostępem do danych osobowych; 5) zapewnić, aby osoby mające dostęp do przetwarzania danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po wykonaniu Umowy oraz ustaniu zatrudnienia u Wykonawcy. 5 Uprawnienia kontrolne Administratora Danych 1. Administrator Danych ma prawo do przeprowadzenia kontroli przestrzegania przez Wykonawcę zasad przetwarzania danych osobowych. 2. Kontrole, o których mowa w ust. 1, mogą być wykonywane przez Administratora Danych (osoby przez niego wyznaczone) w miejscu przetwarzania powierzonych danych osobowych w dni robocze w godzinach od 8:00 do 16:00. 3. Administrator Danych powiadomi Wykonawcę o zamiarze przeprowadzania kontroli z wyprzedzeniem, nie krótszym niż 7 dni, a Wykonawca zobowiązany jest umożliwić Administratorowi Danych przeprowadzenie przedmiotowej kontroli, w szczególności poprzez udostępnienie systemów komputerowych, dokumentacji i pomieszczeń, w zakresie niezbędnym 3/6

dla kontroli przetwarzania danych osobowych oraz udzielić wszelkich niezbędnych informacji dotyczących realizacji niniejszych postanowień. 4. Wykonawca zobowiązany jest do niezwłocznego poinformowania Administratora Danych o wszelkich skargach, żądaniach, pytaniach oraz innych oświadczeniach skierowanych do Wykonawcy lub skierowanych do Administratora Danych, lecz złożonych u Wykonawcy, przez jakiekolwiek osoby trzecie, w szczególności osoby fizyczne, których dane osobowe Wykonawca przetwarza na podstawie Umowy. 5. Wykonawca zobowiązany jest do niezwłocznego poinformowania Administratora Danych o podjęciu przez uprawniony organ (GIODO) jakichkolwiek działań względem Wykonawcy w zakresie kontroli przetwarzania danych osobowych, w szczególności informacji o rozpoczęciu kontroli przez uprawniony organ (GIODO), a także zobowiązany jest na żądanie Administratora Danych do przekazania Administratorowi Danych wszelkich informacji dotyczących zakresu, wyników oraz działań podjętych przez uprawniony organ w wyniku przeprowadzonej kontroli. 6 INSPEKTOR OCHRONY DANYCH OSOBOWYCH 1. Administrator Danych oświadcza, że funkcję Inspektora ochrony danych osobowych (IODO) pełni w jego przedsiębiorstwie następująca osoba: 1) Imię Nazwisko: Janusz Jastrząb 2) Telefon: 22 599-81-89 3) Adres email: janusz.jastrzab@bgk.pl 2. Wykonawca oświadcza, że funkcję.. pełni w jego przedsiębiorstwie następująca osoba: 1) Imię Nazwisko:. 2) Telefon:. 3) Adres email:.. 3. Każda ze Stron uprawniona jest do zmiany wyznaczonego przez siebie Inspektora ochrony danych osobowych (IODO) i. oraz danych kontaktowych o których mowa w ust. 1 i 2, informując jednocześnie drugą Stronę Umowy o dokonanych zmianach. 7 Usunięcie danych osobowych 1. W celu uniknięcia wątpliwości Strony przyjmują, iż Wykonawca nie jest uprawniony do usuwania lub anonimizacji danych osobowych, chyba, że obowiązek taki wynika z Umowy, uzgodnień Stron lub decyzji Administratora Danych. 2. W przypadku rozwiązania Umowy przez którąkolwiek ze Stron (niezależnie od sposobu rozwiązania i podstawy prawnej) Wykonawca zobowiązuje się do usunięcia wszelkich danych osobowych objętych Umową i zaprzestanie ich przetwarzania w terminie wskazanym przez Administratora Danych. 3. Przez usunięcie danych osobowych rozumieć należy zniszczenie danych osobowych lub taką 4/6

ich modyfikację, która trwale nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. 4. Usunięcie danych osobowych potwierdzone zostanie protokołem podpisanym przez Wykonawcę. 5. Protokół z usunięcia danych zostanie bezzwłocznie przekazany Administratorowi Danych. 8 Czas trwania Umowy 1. Umowa zostaje zawarta na czas oznaczony - 12 miesięcy, tj. od dnia... 2017 r. do dnia.2018 r. lub do czasu wykorzystania kwoty wskazanej w 6 ust. 1 Umowy Generalnej z dnia 2017 r. 2. Administrator Danych uprawniony jest do rozwiązania Umowy ze skutkiem natychmiastowym w przypadku, gdy: a) organy administracji publicznej odpowiedzialne za nadzór nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzą, że Wykonawca nie przestrzega tych zasad, b) Administrator Danych, w wyniku przeprowadzenia kontroli, o której mowa w 5 Umowy stwierdzi, że Wykonawca nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa. 9 Wynagrodzenie 1. Strony postanawiają, iż realizacja Umowy odbywać będzie się w ramach Wynagrodzenia należnego Wykonawcy z tytułu wykonania Umowy Generalnej nr. z dnia, a Wykonawca nie będzie uprawniony do żądania od Administratora Danych dodatkowego wynagrodzenia z tego tytułu. 2. Wykonawca nie jest uprawniony do żądania od Administratora Danych jakiegokolwiek dodatkowego wynagrodzenia z tytułu realizacji Umowy ani też zwrotu jakichkolwiek kosztów związanych z realizacją praw lub zobowiązań wynikających z Umowy. 10 Adresy Stron i dane osób 1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na podane niżej adresy Stron: Do Wykonawcy: Do Administratora Danych:. Janusz Jastrząb. Tel.: 22 599-81-89. E-mail: janusz.jastrzab@bgk.pl 2. Wykonawcę w kontaktach z Administratorem Danych, w zakresie ustaleń Umowy reprezentują: Janusz Jastrząb 3. Zamawiającego w kontaktach z Administratorem Danych, w zakresie ustaleń Umowy reprezentują: 5/6

...... 4. Zmiana adresów i danych osób, o których mowa w ust.1-3, nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną. 11 Postanowienia końcowe 1. Wszelkie zmiany w treści Umowy wymagają formy pisemnej pod rygorem nieważności, z zastrzeżeniem przypadków wymienionych w Umowie. 2. W sprawach, które nie zostały uregulowane Umową, znajdują zastosowanie odpowiednie przepisy Kodeksu cywilnego oraz Ustawy. 3. Sądem właściwym do rozstrzygnięcia sporów związanych z Umową będzie sąd właściwy miejscowo dla siedziby Administratora Danych. 4. W sprawach nieuregulowanych Umową zastosowanie mają odpowiednie przepisy Kodeksu cywilnego. 5. Umowa została sporządzona w trzech jednobrzmiących egzemplarzach, jednym dla Wykonawcy i dwóch dla Zamawiającego. 6. Umowa obowiązuje od dnia jej podpisania. Załączniki: (miejsce na ewentualne załączniki) Pieczęć i podpisy osób działających w imieniu Wykonawcy Pieczęć i podpisy osób działających w imieniu Administratora Danych 1.. 1.. 2.. 2.. 6/6