Umowa powierzenia przetwarzania danych osobowych
- Prawo
dane
- Kategoria
umowa
- Klucze
administrator danych, ochrona danych osobowych, podmiot przetwarzający, przetwarzanie danych osobowych, rodo, umowa powierzenia
Umowa powierzenia przetwarzania danych osobowych jest dokumentem, który reguluje relację pomiędzy podmiotem przetwarzającym a podmiotem danych osobowych. Określa prawa i obowiązki stron w zakresie przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa o ochronie danych osobowych.
UMOWA
powierzenia przetwarzania danych osobowych Nr 2023/10/01
zawarta w dniu 24.10.2023 r. w Warszawie pomiędzy:
Archiwum Dokumentów "Bezpieczny Sejf" Sp. z o.o. zwaną dalej "Administratorem", którą reprezentuje Jan Kowalski
a
Suszarnia "Szybki Powrót" reprezentowaną przez Annę Nowak
zwani dalej łącznie Stronami,
o następującej treści:
§1Podstawa i zasady powierzenia przetwarzania danych osobowych
1. Administrator danych powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe, zgodnie z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. L 119 z 04.05.2016, str. 1 ze zm.) - zwanego dalej RODO.
2. Powierzenie dotyczy umowy z dnia 15.10.2023 nr 2023/10/02.
3. Strony będą przetwarzać dane osobowe na zasadach i w celu określonym w niniejszej Umowie. Podmiot przetwarzający będzie przetwarzał dane osobowe zgodnie z niniejszą umową powierzenia, przepisami RODO, ustawą o ochronie danych osobowych oraz przepisami prawa odnoszącymi się do ochrony danych osobowych, a także poleceniami Administratora dotyczącymi przetwarzania danych osobowych.
§2Weryfikacja podmiotu przetwarzającego
1. Podmiot przetwarzający dane osobowe zobowiązuje się do posiadania środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych osobowych, adekwatnych do rodzaju i specyfiki przetwarzania oraz związanego z nim ryzyka, zgodnie z art. 32 RODO.
2. Wykaz stosowanych przez Podmiot przetwarzający środków organizacyjnych i technicznych, zaakceptowanych i przedstawionych Administratorowi przed zawarciem niniejszej Umowy, stanowi załącznik nr 1 do Umowy. Podmiot przetwarzający poinformuje Administratora o wszelkich zmianach w tym zakresie.
§3Zakres i cel przetwarzania danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu dane osobowe następujących kategorii osób: Klientów Archiwum Dokumentów "Bezpieczny Sejf" Sp. z o.o.
/należy uzupełnić o kategorie osób, których dane są zawarte w dokumentacji udostępnionej do suszenia/
2. Administrator oświadcza, że w udostępnionej dokumentacji znajdują się dane osobowe następującego rodzaju: imię, nazwisko, adres, PESEL, seria i numer dowodu osobistego
/należy uzupełnić o rodzaj danych osobowych, zawartych w dokumentacji udostępnionej do suszenia, np. dane identyfikacyjne, kontaktowe, finansowe etc./
3. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe, wskazane w ust. 2 powyżej, wyłącznie w celu wykonywania umowy głównej, wyłącznie w określonym wyżej zakresie i w sposób określony w niniejszej Umowie i z nią zgodny.
§4Obowiązki Podmiotu przetwarzającego
1. Dane osobowe będą przetwarzane wyłącznie na udokumentowane polecenie Administratora. Powyższy wymóg przetwarzania obejmuje również przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2. Podmiot przetwarzający natychmiast poinformuje Administratora, jeżeli jego zdaniem wydane mu przez Administratora polecenie stanowi naruszenie przepisów RODO lub innych przepisów unijnych lub krajowych dotyczących przetwarzania danych osobowych.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych, w tym związanych z technicznym stanem dokumentacji przekazywanej mu do suszenia, przynajmniej na takim poziomie, na jakim chroni dane osobowe, których jest Administratorem.
4. Podmiot przetwarzający ustali niezbędny krąg osób, które dopuści do dokumentacji, i w ramach tego, do przetwarzania danych osobowych, nada im upoważnienia do przetwarzania danych osobowych i uświadomi o wymogu przetwarzania danych osobowych wyłącznie w celu realizacji niniejszej umowy. Osoby upoważnione do przetwarzania danych osobowych zobowiążą się ponadto do zachowania w tajemnicy przetwarzanych danych osobowych, w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający na żądanie Administratora przedstawi wykaz tych osób.
5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi dane osobowe zawarte w przekazanej do suszenia dokumentacji.
6. Podmiot przetwarzający zobowiązuje się do pomocy Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.
7. Podmiot przetwarzający zobowiązuje się do pomocy Administratorowi w zakresie wykonywania żądań podmiotów danych związanych z przetwarzanymi danymi osobowymi.
8. Podmiot przetwarzający oświadcza, że stosuje procedury wykrywania naruszeń ochrony danych osobowych i zastosuje je do przetwarzania wynikającego z niniejszego powierzenia.
9. Podmiot przetwarzający informuje Administratora o każdym zdarzeniu mogącym stanowić naruszenie ochrony danych osobowych, a także o wszelkich zdarzeniach mogących skutkować odpowiedzialnością Administratora na podstawie przepisów o ochronie danych osobowych, niezależnie od subiektywnej oceny takich zdarzeń. Podmiot przetwarzający wykona ten obowiązek bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia zaistnienia takiego zdarzenia. Podmiot przetwarzający przekazuje informacje o takich zdarzeniach na adres: iod@bezpiecznysejf.pl / /należy wskazać adres IOD lub innej osoby do kontaktu w sprawach naruszeń ochrony danych/
10. W przypadku zgłoszenia podejrzenia naruszenia ochrony danych lub naruszenia ochrony danych przez Podmiot przetwarzający, zgodnie z pkt 8 powyżej, Podmiot przetwarzający przekazuje Administratorowi wszelkie niezbędne informacje, w tym w zakresie: charakteru naruszenia ochrony danych osobowych (podając kategorie i przybliżoną liczbę osób, których może dotyczyć naruszenie, kategorie i przybliżoną liczbę wpisów danych, których dotyczy naruszenie), możliwe konsekwencje naruszenia, działania podjęte w celu usunięcia naruszenia i zabezpieczenie danych osobowych, wdrożone procedury i działania eliminujące takie zdarzenia w przyszłości.
11. Podmiot przetwarzający informuje Administratora o każdym żądaniu dostępu do danych osobowych.
12. Podmiot przetwarzający jest zobowiązany do udostępnienia Administratorowi, w każdym czasie, informacji niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO i zgodnie z art. 5 ust. 2 RODO.
§5Kontrole i audyty
1. Administrator ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy i załącznika nr 1 do Umowy.
2. Administrator będzie zapowiadał kontrolę informując Podmiot przetwarzający o zamiarze jej przeprowadzenia na 7 dni kalendarzowych wcześniej. Nie dotyczy to kontroli związanej ze stwierdzonym naruszeniem ochrony danych.
3. Podmiot przetwarzający ma obowiązek ustosunkowania się do każdego pytania Administratora dotyczącego przetwarzania powierzonych mu na podstawie Umowy danych osobowych, w tym także stanu dokumentacji przekazanej do suszenia.
4. Administrator przekaże Podmiotowi przetwarzającemu zalecenia pokontrolne, a Podmiot przetwarzający zobowiązuje się, że je usunie w terminie wskazanym przez Administratora.
§6Zakaz dalszego powierzenia przetwarzania danych osobowych
Podmiot przetwarzający jest zobowiązany do niekorzystania z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Administratora.
§7Odpowiedzialność
1. Podmiot przetwarzający odpowiada za szkody wyrządzone na skutek niewykonania lub nienależytego wykonania obowiązków wynikających z niniejszej Umowy oraz z obowiązujących przepisów prawa i poleceń Administratora, w tym za szkody wynikające z udostępnienia danych osobowych osobom nieupoważnionym, ich zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów, nieuprawnioną zmianą danych, uszkodzeniem, zniszczeniem lub niewystarczającym zabezpieczeniem (w tym niezastosowaniem środków zadeklarowanych przez Podmiot przetwarzający w załączniku nr 1 do Umowy), które nastąpiło z winy Podmiotu przetwarzającego.
2. Podmiot przetwarzający zwolni Administratora z odpowiedzialności wobec osób, których dane są przetwarzane w związku z Umową z tytułu jakiejkolwiek szkody poniesionej przez te osoby, jeżeli szkoda wynika lub jest związana z naruszeniem przez Przetwarzającego przepisów dotyczących ochrony danych osobowych, postanowień niniejszej Umowy lub udokumentowanych poleceń Administratora.
§8Czas trwania umowy
Niniejsza umowa obowiązuje od dnia jej zawarcia przez okres niezbędny do realizacji celu powierzenia, tj. do zakończenia świadczenia usługi suszenia dokumentacji, chyba, że zostanie wcześniej rozwiązana zgodnie z § 9 niniejszej Umowy.
§9Rozwiązanie umowy
1. Niniejsza Umowa rozwiązuje się z dniem rozwiązania umowy głównej.
2. Administrator może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia przez Podmiot przetwarzający jej postanowień.
3. W przypadku rozwiązania niniejszej Umowy, Przetwarzający zobowiązany jest do zwrotu dokumentacji przekazanej do suszenia a także do niezwłocznego usunięcia wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, jeżeli były wykonywane.
4. Podmiot Przetwarzający przekaże Administratorowi kopię protokołu potwierdzającego zniszczenie danych w terminie 7 dni od rozwiązania niniejszej Umowy, bez odrębnego wezwania przez Administratora
§ 10Postanowienia końcowe
1. Umowa wchodzi w życie z dniem podpisania przez Strony.
2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. Strony postanawiają, że we wszelkich sprawach nie objętych Umową stosuje się przepisy prawa polskiego.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora.
5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.
[Jan Kowalski] [Anna Nowak] Administrator danych Podmiot przetwarzający
Załącznik nr 1.
Wykaz środków organizacyjnych i technicznych
Podmiot przetwarzający oświadcza, że w ramach przetwarzania regulowanego niniejszą Umową będzie stosował następujące środki organizacyjne i techniczne:Pomieszczenie do suszenia jest zamykane na klucz, dostęp ma tylko upoważniony personel. Dokumentacja jest przechowywana w zamkniętych szafach. Transport dokumentacji odbywa się w zamkniętych pojemnikach. Personel został przeszkolony z zakresu ochrony danych osobowych i zobowiązany do zachowania poufności.
/należy wskazać środki stosowane przy suszeniu dokumentacji oraz jej transporcie, w tym zasady dostępu osób wykonujących zadania regulowane umową, zasady zachowania poufności, zasady kontroli dostępu do pomieszczeń, w których będzie suszona dokumentacja, sposób przechowywania dokumentacji, etc./
Umowa powierzenia przetwarzania danych osobowych stanowi ważny instrument regulujący zasady przetwarzania danych osobowych i odpowiadający wymaganiom RODO. Zarówno podmiot przetwarzający, jak i podmiot danych osobowych powinni wnikliwie zapoznać się z postanowieniami umowy, aby skutecznie chronić prawa i interesy stron.