WZAJEMNE PRAWA I OBOWIĄZKI STRON W ZWIĄZKU Z PRZETWARZANIEM DANYCH OSOBOWYCH

Preambuła i słowniczek pojęć Zważywszy, że:

- z dniem 25 maja 2018 r. zastosowanie mają przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „RODO”,

- zasady związane z ochroną danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych,

- w ramach współpracy pomiędzy Stronami na podstawie umowy, dochodzi do powierzenia przetwarzania danych osobowych, których Administratorem jest Powierzający,

Ilekroć w niniejszym Załączniku jest mowa o:

- „Powierzającym”, należy przez to rozumieć Zamawiającego, określonego w Umowie Głównej, - „Przetwarzającym” należy przez to rozumieć Wykonawcę określonego w Umowie Głównej,

- „Umowie Głównej”, należy przez to rozumieć umowę podstawową, którą Strony zawarły w związku z wykonywaniem swoich wzajemnych zobowiązań,

- „Załączniku” należy przez to rozumieć niniejszy załącznik,

- „Podprzetwarzającym”, należy przez to rozumieć podwykonawcę podprzetwarzającego dane osobowe.

§ 1.

Określenie przedmiotu przetwarzania

1. Strony zgodnie postanawiają, że w celu spełnienia nałożonych na nie obowiązków wynikających z przepisów dotyczących ochrony danych osobowych, a w szczególności z art. 28 RODO Powierzający jako administrator danych osobowych na podstawie niniejszej umowy powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie i w celu określonym w Umowie Głównej. Zakres dodatkowych powierzonych danych osobowych wskazany jest w Załączniku nr 1.

2. Gwoli ścisłości przedmiotem przetwarzania w imieniu Powierzającego są jakiekolwiek dane osobowe, w tym dane osobowe wrażliwe, które Przetwarzający otrzyma bezpośrednio od Powierzającego lub też pozyskał lub pozyska w imieniu oraz na rzecz Powierzającego w związku z realizacją Umowy Głównej.

3. Powierzenie przetwarzania obejmować będzie dane osobowe tylko w zakresie niezbędnym do zrealizowania Umowy Głównej.

§ 2.

Oświadczenia Stron oraz ich wzajemne zobowiązania

1. Strony oświadczają w sposób zgodny, że niniejszy Załącznik reguluje wszelkie kwestie związane z przetwarzaniem danych osobowych między nimi, a w szczególności w zakresie wynikającym z realizacji postanowień Umowy Głównej z zastrzeżeniem jednak, że w przypadku sprzeczności pomiędzy treścią Umowy Głównej i Załącznika pierwszeństwo mają postanowienia Załącznika.

2. Powierzający oświadcza, że jest Administratorem danych osobowych powierzanych Przetwarzającemu, a dane te są gromadzone zgodnie z obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych.

3. Strony są zobowiązanie do przestrzegania nałożonych prawem i niniejszym Załącznikiem obowiązków w odniesieniu do wszelkich danych osobowych przetwarzanych przez na podstawie Umowy Głównej.

1. Zabronione jest takie przetwarzanie danych przez Przetwarzającego, które byłoby sprzeczne z przepisami prawa o ochronie danych osobowych lub też mogłoby doprowadzić do stanu, że sam Powierzający naruszy zobowiązania wynikające z przepisów właściwych dotyczących ochrony danych osobowych.

2. Przetwarzający niniejszym oświadcza, że zobowiązuje się do przetwarzania danych osobowych w sposób zgodny z postanowieniami niniejszej umowy oraz ewentualnymi instrukcjami Powierzającego w tym zakresie, które będą mu przekazane w formie pisemnej w zależności od potrzeb Powierzającego.

W szczególności Przetwarzający zobowiązuje się do:

1) przetwarzania danych osobowych tylko i wyłącznie na udokumentowane pisemne polecenie Powierzającego, chyba że obowiązek taki nałożony będzie na niego wprost przepisami Unii Europejskiej lub też przepisami prawa państwa, któremu podlega podmiot Przetwarzający;

2) wdrożenia odpowiednich środków technicznych oraz środków organizacyjnych celem ochrony danych osobowych oraz ich przetwarzania w sposób, który zapewni odpowiednie bezpieczeństwo danych osobowych, w tym także w szczególności ochronę tych danych przed nieuprawnionym, niedozwolonym lub też niezgodnym z prawem przetwarzaniem oraz przypadkową ich utratą, zniszczeniem jak też i uszkodzeniem;

3) wdrożenia odpowiednich środków technicznych i środków organizacyjnych, aby przetwarzane były wyłącznie dane osobowe, które są konieczne dla osiągnięcia konkretnego i określonego celu ich przetwarzania. Obowiązek niniejszy odnosić się będzie do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu przechowywania danych osobowych oraz ich dostępności. Środki powyższe w szczególności mają zapewnić, aby domyślne dane osobowe nie zostały udostępnione bez interwencji osoby, której one dotyczą nieokreślonej liczbie osób trzecich;

4) każdorazowego przekazania na żądanie Powierzającego informacji o środkach stosowanych w celu zabezpieczenia danych osobowych będących przedmiotem powierzenia;

5) natychmiastowego, lecz nie później niż w terminie 3 dni poinformowania o zapytaniach lub też o skargach skierowanych do Przetwarzającego od osoby, której te dane dotyczą lub też od organu nadzoru,

6) zapewnienia pełnej i stałej współpracy z Powierzającym w odniesieniu do bezpieczeństwa przetwarzanych danych osobowych,

7) prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, oraz na żądanie Powierzającego niezwłocznego nie później jednak niż w terminie 5 dni udostępnienia mu aktualnej wersji tego rejestru.

3. Strony zgodnie postanawiają i potwierdzają, że wdrożenie odpowiednich środków technicznych oraz środków organizacyjnych, o których mowa w art. 32 RODO uzależnione będzie stosownie do stwierdzonych zagrożeń oraz od kategorii danych osobowych powierzonych do przetwarzania z uwzględnieniem aktualnego stanu techniki, charakteru, celów oraz zakresu przetwarzania. W odniesieniu do przetwarzania danych wrażliwych Powierzający wymaga od Przetwarzającego środków bezpieczeństwa, takich jakie ten stosuje do własnych danych w sposób szczególny chronionych.

4. Niezależnie od powyższych oświadczeń Stron, Przetwarzający zobowiązuje się także do ograniczenia dostępu do danych osobowych tylko osobom, których dostęp do tych danych jest niezbędny celem realizacji Umowy Głównej, zapoznanym z przepisami o ochronie danych osobowych oraz posiadającym odpowiednie upoważnienie do przetwarzania danych osobowych. Osoby te winny złożyć pisemne oświadczenie o zachowaniu w tajemnicy wszelkich informacji w zakresie przetwarzania danych osobowych oraz o stosowaniu się do wszelkich wskazówek i zaleceń wydanych przez organ nadzorczy lub inny właściwy organ zajmujący się ochroną danych osobowych, a w szczególności w zakresie RODO.

§ 3.

Powierzenie przetwarzania danych osobowych

1. W przypadku, jeśli na skutek wykonywania Umowy Głównej ma dojść do ujawnienia przez Przetwarzającego danych osobowych podwykonawcom [Podprzetwarzającym], to jest on zobowiązany do przekazania Powierzającemu wykazu Podprzetwarzających, który stanowi załącznik nr 2. Zestawienie to musi obejmować: firmę albo imię i nazwisko osoby fizycznej, jej adres, email, telefon, a także opis celu, w którym następuje powierzenie przetwarzania danych osobowych stronie trzeciej oraz kategorie Podpowierzonych przetwarzań. Obowiązek ten Przetwarzający ma wykonać z takim wyprzedzeniem, aby Powierzający miał możliwość wyrażenia sprzeciwu wobec takich zmian, jednak nie później na 7 dni przed planowanym podpowierzeniem.

2. W przypadku, jeśli dochodzi albo ma dojść do powierzenia przetwarzania danych Podprzetwarzajacym Przetwarzający obowiązany jest pod rygorem nieważności zawrzeć z Podprzetwarzajacym umowę lub użyć innego instrumentu prawnego określającego co najmniej taki sam przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa stron, które mocą niniejszego Załącznika zostały przez Powierzającego nałożone na Przetwarzającego. Za działania lub zaniechania Podprzetwarzających Przetwarzający odpowiada tak samo jak za własne działania lub zaniechania.

§ 4.

Przetwarzanie danych poza terenem Europejskiego Obszaru Gospodarczego

Przetwarzający oświadcza, że żadne dane osobowe nie będą przetwarzane poza terenem Europejskiego Obszaru Gospodarczego, ani też na innym obszarze, na który są nałożone ograniczenia w związku z transgranicznym przekazywaniem danych osobowych w ramach przepisów prawa o ochronie danych osobowych bez wyraźnej pisemnej zgody Powierzającego.

§ 5.

Wykonywanie obowiązku informacyjnego

W odniesieniu do sytuacji, kiedy w ramach realizacji przez Strony Umowy Głównej Przetwarzający pozyskuje w imieniu oraz na rzecz Powierzającego dane osobowe bezpośrednio od osób, których te dane dotyczą, wówczas Przetwarzający zobowiązany jest poinformować każdą z takich osób, podczas zbierania danych osobowych jej dotyczących w imieniu Powierzającego jako Administratora danych zgodnie z zakresem, który jest zawarty w art. 12 - 14 RODO.

§ 6.

Naruszenie przetwarzania danych osobowych

1. Przetwarzający zobowiązuje się do niezwłocznego powiadomienia Powierzającego o stwierdzonym naruszeniu lub podejrzeniu przypadkowego, niezgodnego z prawem lub też bezprawnego zniszczenia, utraty, zmiany lub ujawnienia danych osobowych, jednak nie później niż w ciągu 24 godzin od chwili stwierdzenia naruszenia lub jego podejrzenia. Powiadomienie takie winno zawierać szczegółowy opis naruszenia bezpieczeństwa, rodzaju danych które stały się przedmiotem naruszenia bezpieczeństwa oraz w stopniu (w jakim wiedzę o tym posiada Przetwarzający) tożsamości osoby dotkniętej naruszeniem.

Powiadomienie winno zostać dokonane w formie mailowej jednak w sposób zabezpieczający zawartość powiadomienia przed dostępem osób trzecich lub podmiotów nieuprawnionych. W każdym przypadku naruszenia przetwarzania danych Przetwarzający jest zobowiązany do całkowitej współpracy i przekazywania wszelkich danych Powierzającemu podczas prowadzenia przez niego postępowania wyjaśniającego w sprawie odnotowanego incydentu naruszenia bezpieczeństwa przetwarzania danych osobowych.

2. Powierzający posiada pełne uprawnienie do skontrolowania systemów komputerowych, a także pomieszczeń i dokumentacji Przetwarzającego w ramach prowadzonego postępowania wyjaśniającego, a także może przeprowadzać audyty; także przy wykorzystaniu audytora zewnętrznego. Powierzający ponosi wszelkie koszty związane z audytami przeprowadzonymi na jego żądanie, chyba, że kontrola wykaże niezgodność przetwarzania danych osobowych z niniejszym Załącznikiem lub obowiązującym prawem w zakresie ochrony danych osobowych. W takim przypadku Przetwarzający ponosi pełne koszty audytu.

3. Powyższe audyty Powierzający może przeprowadzać wyłącznie w godzinach pracy Przetwarzającego i po uprzednim pisemnym powiadomieniu Przetwarzającego o zamiarze jego przeprowadzenia z minimum 7-dniowym wyprzedzeniem.

4. Obowiązek pisemnego uprzedzenia o zamiarze przeprowadzenia audytu nie będzie stosowany w przypadkach potrzeby dokonania pilnego i niezwłocznego audytu w związku z przypadkiem wystąpienia naruszenia przetwarzania danych osobowych.

5. Bez uszczerbku dla postanowień wskazanych w ust. 1 Przetwarzający obowiązany jest do niezwłocznego podjęcia działań na własny koszt, celem zbadania naruszenia oraz zidentyfikowania, zapobiegania i łagodzenia skutków tego naruszenia oraz za zgodą Powierzającego, przeprowadzenia działań zmierzających do odzyskania danych lub podjęcia innych działań, które okażą się niezbędne celem przywrócenia bezpieczeństwa danych osobowych.

6. Przetwarzający pozbawiony jest możliwości jakiegokolwiek ujawniania danych w jakikolwiek sposób i za pomocą jakiegokolwiek medium przekazu odnośnie zdarzeń naruszenia bezpieczeństwa danych osobowych bez uprzedniej pisemnej zgody Powierzającego.

7. Pełną odpowiedzialność za wszelkie szkody i w pełnej ich wysokości, które poniosą osoby, których dane osobowe zostały powierzone do przetwarzania lub też szkody, które Powierzający poniesie na skutek naruszenia prawa i obowiązków przez Przetwarzającego lub osoby, którymi się on przy tym przetwarzaniu posługuje ponosi Przetwarzający.

8. W przypadku, kiedy Powierzający wskutek winy Przetwarzającego będzie obowiązany do zapłaty jakichkolwiek kar finansowych lub/i odszkodowań, to Przetwarzający zobowiązany jest do ich zwrotu w pełnej wysokości. Obowiązek zwrotu obejmuje także koszty związane z ewentualnymi odsetkami, kosztami sądowym zastępstwa prawnego, opłat skarbowych od pełnomocnictwa oraz wszelkich innych niezbędnych do prawidłowej obrony praw Powierzającego.

§ 7.

Usuwanie danych osobowych

Przetwarzający po ustaniu lub zakończeniu powierzenia przetwarzania danych osobowych, tj. po zakończeniu realizacji przedmiotu Umowy Głównej lub też po upływie czasu, na który nastąpiło powierzenie przetwarzania danych osobowych, lub też na żądanie Powierzającego usunie wszelkie dane osobowe oraz istniejące u niego kopie tych danych, o ile przepisy prawa powszechnie obowiązującego nie wymagają przechowywania tych danych przez właściwy okres, lub jeśli Przetwarzający będzie posiadał inną podstawę prawną przetwarzania dla tej kategorii i zakresu powierzonych mu danych osobowych.

§ 8.

Pozostałe zasady współpracy stron

1. Przetwarzający, a także jego przedstawiciele oraz Podprzetwarzajacy zobowiązują się do stałej i ścisłej współpracy na żądanie Powierzającego z organami nadzoru w zakresie realizacji swoich zadań.

2. Przetwarzający uwzględniając charakter przetwarzania danych osobowych będzie w każdym wypadku wspierał Powierzającego wszelkimi stosownymi środkami organizacyjnymi i technicznymi oraz w takim stopniu jaki jest niezbędny dla pełnego spełnienia obowiązku Powierzającego w zakresie odpowiedzi na żądania realizacji praw osób, których dane osobowe są przez niego przetwarzane.

3. W przypadku wszczęcia przez organ sądowy lub nadzorczy postępowania przeciwko którejkolwiek ze stron niniejszej umowy, druga Strona jest zobowiązana z zachowaniem zasad należytej staranności bez zbędnej

zwłoki i dodatkowych kosztów pomagać tej stronie w takim zakresie, jaki będzie niezbędny w toku całego postępowania do chwili jego prawomocnego lub ostatecznego zakończenia.

§ 9.

Zachowanie poufności

Przetwarzający zobowiązany jest do bezterminowego zachowania w poufności wszelkich udostępnionych informacji oraz wszelkich informacji uzyskanych w ramach realizacji niniejszej umowy.

§ 10

Okres obowiązywania postanowień

1. Powierzenie trwa przez czas obowiązywania Umowy Głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy Głównej skutkuje ustaniem mocy postanowień niniejszego Załącznika, z zastrzeżeniem ust. 2.

2. Po zakończeniu świadczenia usług związanych z przetwarzaniem Przetwarzający ma obowiązek usunąć lub zwrócić Powierzającemu – zależnie od decyzji Powierzającego – wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych danych osobowych.

3. Przetwarzający przesyła Powierzającemu pisemne potwierdzenie zniszczenia danych osobowych.

Potwierdzenie powinno zostać przesłane na adres e-mail wskazany w Umowie Głównej.

4. Powierzający jest uprawniony do rozwiązania Umowy Głównej umowy bez wypowiedzenia, jeżeli Przetwarzający nie wypełnia obowiązków wskazanych niniejszej umowie, lub uniemożliwia Powierzającemu skorzystania z prawa kontroli wskazanego w § 6 niniejszego Załącznika.

§ 11.

Adresy do korespondencji

Wszelką korespondencję związaną z realizacją niniejszej umowy Strony zobowiązane są kierować na adresy wskazane w Umowie Głównej.

§ 12.

Postanowienia końcowe

1. Postanowienia niniejszego Załącznika wchodzą w życie pod warunkiem i w terminie wejścia w życie Umowy Głównej

2. Przetwarzający nie może w żadnym wypadku przenieść na inny podmiot praw i obowiązków wynikających z niniejszego Załącznika bez uprzedniej pisemnej zgody Powierzającego.

3. Przetwarzający zobowiązuje się wszelkie postanowienia niniejszej umowy zachować w poufności, także po okresie jej wygaśnięcia lub rozwiązania.

___________________ ___________________

POWIERZAJACY PRZETWARZAJĄCY

Załącznik nr 1. Zakres przetwarzania.

L.p. Kategoria osób, których dane dotyczą. Kategorie danych osobowych.

1.

2.

3.

___________________

Powierzający

___________________

Przetwarzający

Załącznik nr 2. Wykaz podprzetwarzających

L.p.

Nazwa i dane kontaktowe podprzetwarzającego (podwykonawcy)

[nazwa, adres, email, telefon]

Kategorie podpowierzonych przetwarzań

___________________

Przetwarzający