Umowa powierzenia przetwarzania danych osobowych

UMOWA

powierzenia przetwarzania danych osobowych

 

zawarta w dniu 2023-10-26 w Warszawie, pomiędzy:

Szkoła Podstawowa nr 1 im. Adama Mickiewicza, ul. Kwiatowa 1, 00-001 Warszawa, reprezentowaną przez

Dyrektora - Jan Kowalski,

zwaną dalej Administratorem

 

a

 

Centrum Usług Wspólnych w Warszawie, ul. Długa 2, 00-002 Warszawa, reprezentowanym przez

Dyrektora - Anna Nowak

zwanym dalej Podmiotem przetwarzającym.

 

§1

 

1. Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych swoich pracowników do prowadzenia przez Podmiot przetwarzający akt osobowych tych pracowników, zgodnie z uchwałą nr 12/2023 z dnia 2023-01-15 o utworzeniu CUW.

2. Zakres powierzenia przetwarzania obejmuje kategorie danych osobowych wymienione w art. 22¹ – art. 22¹⁴ ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz.U. z 2022 r. poz. 1510 ze zm.) oraz § 6 rozporządzenia rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej (Dz.U. z 2018 r., poz. 2369), w tym szczególne dane osobowe dotyczące zdrowia.

 

§2

 

1. Podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe wyłącznie w zakresie i celu określonym w ust. 1, zgodnie ze wskazaną Uchwałą, Umową oraz przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) – dalej RODO. Podmiot przetwarzający może również przetwarzać powierzone dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii lub prawo krajowe; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

2. Dane osobowe będą przekazywane Podmiotowi przetwarzającemu w formie elektronicznej lub papierowej oraz będą przetwarzane przez Podmiot przetwarzający w jego siedzibie lub w siedzibie Administratora, w zależności od potrzeb.

 

§3

 

1. Podmiot przetwarzający zobowiązuje się do:

a) zabezpieczenia powierzonych danych osobowych przy przetwarzaniu, poprzez stosowanie wszelkich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa, zgodnie z art. 32 RODO oraz do zachowania w tajemnicy środków ochrony danych osobowych, stosowanych w celu wykonania Umowy,

b) nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane osobowe oraz dopuszczania do przetwarzania powierzonych danych tylko upoważnionych osób,

c) zapewnienia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu,

d) usunięcia lub zwrócenia Administratorowi wszelkich danych osobowych, zależnie od decyzji Administratora, oraz usunięcia wszelkich ich kopii po zakończeniu realizowania zadań wymienionych w § 1 ust. 1, chyba że prawo Unii lub prawo krajowe nakazują przechowywanie danych osobowych,

e) pomagania Administratorowi, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32 – 36 RODO,

f) niezwłocznego, nie później niż w ciągu 24 godzin, zgłoszenia Administratorowi stwierdzenia naruszenia ochrony danych osobowych,

g) zapewnienia, że powierzone dane osobowe nie będą przekazywane do państw trzecich,

h) udostępnienia Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO.

2. Podmiot przetwarzający nie może powierzyć przetwarzania danych osobowych podmiotom trzecim bez uprzedniej pisemnej zgody Administratora.

3. W razie uzyskania zgody Administratora, o której mowa w ust. 2, podwykonawca Podmiotu przetwarzającego musi spełniać te same obowiązki, które zostały nałożone w Umowie na Podmiot przetwarzający. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.

 

§4

 

1. Administrator będzie wykonywał kontrole, audyty i inspekcje mające wykazać, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy i obowiązujących przepisów (art. 28 ust. 3 lit. h RODO). Podmiot przetwarzający ma obowiązek ich umożliwienia oraz przyczyniania się do nich.

2. Administrator będzie realizował uprawnienia wymienione w ust. 1 w dniach i godzinach pracy Podmiotu przetwarzającego po uprzedzeniu wynoszącym 7 dni.

3. Osoby upoważnione przez Administratora mają prawo do:

a) wstępu do pomieszczeń, w których są przetwarzane powierzone dane osobowe,

b) wglądu w dokumentację oraz w zawartość urządzeń, nośników oraz systemów informatycznych służących do przetwarzania powierzonych danych, a także ich oględzin,

c) zbierania pisemnych i ustnych wyjaśnień w celu ustalenia stanu faktycznego.

4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli, audytów i inspekcji w terminie wyznaczonym przez Administratora, nie krótszym niż 14 dni i nie dłuższym niż 30 dni.

 

§ 5

 

1. Umowa zostaje zawarta na czas określony od dnia 2023-10-27 do dnia 2024-10-26.

2. Każda ze stron może wypowiedzieć Umowę z zachowaniem 30 - (dni/miesięcy) okresu wypowiedzenia.

3. Administrator może rozwiązać Umowę ze skutkiem natychmiastowym bez zachowania okresu wypowiedzenia, gdy:

a) Podmiot przetwarzający przetwarza dane osobowe w sposób niezgodny z Umową lub obowiązującymi przepisami;

b) Podmiot przetwarzający nie usunie uchybień stwierdzonych podczas kontroli, audytu lub inspekcji w terminie wyznaczonym zgodnie z § 4 ust. 4;

c) Podmiot przetwarzający powierzy przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych, o której mowa w § 3 ust. 2;

d) zostanie wszczęte postępowanie administracyjne lub karne przeciwko Podmiotowi przetwarzającemu w związku z naruszeniem ochrony danych osobowych.

4. Po wygaśnięciu lub rozwiązaniu Umowy, Podmiot przetwarzający usunie lub zwróci Administratorowi wszelkie dane osobowe oraz usunie wszelkich ich kopie w terminie 30 dni, z uwzględnieniem § 3 ust. 1 lit. d.

 

§6

 

1. Zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

2. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

 

 

Jan Kowalski Anna Nowak

(podpis Administratora) (podpis Podmiotu przetwarzającego)

 

* Uwaga! w przypadku, gdy zawarcie umowy powierzenia przetwarzania pomiędzy administratorem a CUW następuje w związku z powierzeniem wspólnej obsługi na podstawie umowy lub porozumienia, rozwiązanie umowy ze skutkiem natychmiastowym może okazać się bezskuteczne z tego względu, że relacja powierzenia przetwarzania pomimo oświadczenia złożonego przez administratora nadal faktycznie będzie trwać ponieważ jej źródłem w istocie jest uchwała lub porozumienie. Rekomendować należy zatem, aby strony dostosowały treść umowy adekwatnie do podstawy, z jakiej wynika wspólna obsługa przez CUW i np. w miejsce oświadczenia administratora o natychmiastowym rozwiązaniu umowy przewidziały takie środki, jak poinformowanie o stwierdzonych nieprawidłowościach Prezesa Urzędu Ochrony Danych Osobowych i rady powiatu Warszawskiego, wezwanie do przywrócenia stanu zgodnego z prawem, wezwanie do złożenia wyjaśnień, itp.

** Należy wybrać właściwe.