1
Załącznik nr 9 do Umowy
Umowa powierzenia przetwarzania danych osobowych zawarta w dniu…………....roku w Balicach, pomiędzy:
spółką Międzynarodowy Port Lotniczy im. Jana Pawła II Kraków – Balice sp. z o.o., z siedzibą w Balicach, 32-083 Balice, ul. Kpt. M. Medweckiego 1, wpisaną do rejestru
przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa – Śródmieścia w Krakowie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS:
0000008522, NIP: 6761336952, REGON: 351117055, BDO: 000013381, posiadającą kapitał zakładowy w kwocie 101.232.000,00 zł, reprezentowaną przez:
1) Radosława Włoszka – Prezesa Zarządu, 2) Mariusza Saługę – Członka Zarządu, zwaną dalej: „Administratorem”,
a
………
………
………
………
………
………
1) ……….., 2) ……….., zwaną dalej: „Podmiotem Przetwarzającym”,
zwanymi dalej również, każde z osobna „Stroną” lub łącznie „Stronami”.
Preambuła
Mając na uwadze, że:
Strony zawarły umowę………(dalej jako: „Umowa Podstawowa”), dotyczącą………..…….………
………..,
2
w związku z wykonywaniem której Administrator powierzy Podmiotowi Przetwarzającemu przetwarzanie danych osobowych (dalej również jako: „dane”) w zakresie określonym niniejszą umową powierzenia przetwarzania danych osobowych (dalej jako: „Umowa Powierzenia”);
Celem Umowy Powierzenia jest ustalenie warunków, na jakich Podmiot Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora;
Strony zawierając Umowę Powierzenia dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one postanowieniom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119, s. 1) (dalej jako: „RODO”).
Strony postanowiły zawrzeć Umowę Powierzenia o następującej treści:
§ 1
Przedmiot Umowy Powierzenia
1. Na podstawie Umowy Powierzenia, Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie (w rozumieniu RODO) danych osobowych, w zakresie wskazanym w Umowie Powierzenia, w celu niezbędnym do realizacji obowiązków wynikających z Umowy Podstawowej, tj.………
………
………..Podmiot Przetwarzający zobowiązuje się przy tym do przetwarzania danych osobowych na zasadach i warunkach przewidzianych w Umowie Powierzenia.
2. Z tytułu realizacji Umowy Powierzenia, Podmiotowi Przetwarzającemu nie przysługuje odrębne wynagrodzenie, inne niż wynagrodzenie należne z tytułu realizacji Umowy Podstawowej
3. Przetwarzanie będzie dotyczyć następujących kategorii osób (grup podmiotów) oraz następujących rodzajów danych osobowych:………
………...
4. Podmiot Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie następujących czynności:………...
§ 2 Podpowierzenie
1. Podmiot Przetwarzający może powierzyć przetwarzanie danych osobowych podmiotowi trzeciemu (dalej jako: „Podwykonawca”), wyłącznie po uzyskaniu uprzedniej zgody Administratora na powierzenie Podwykonawcy dalszego przetwarzania danych osobowych w określonym celu i zakresie, wyrażonej w formie pisemnej pod rygorem nieważności.
2. Lista Podwykonawców zaakceptowanych przez Administratora stanowi Załącznik nr 1 do Umowy Powierzenia – Lista Zaakceptowanych Podwykonawców (dalej jako:
„Lista Podwykonawców”).
3
3. W przypadku skorzystania z Podwykonawcy, Podmiot Przetwarzający zobowiązany jest do zapewnienia, iż Podwykonawca przetwarzał będzie dane osobowe wyłącznie w celu i w zakresie opisanym w Umowie Powierzenia i Umowie Podstawowej, gwarantując
spełnianie wymagań i obowiązków, wynikających z RODO i Umowy Powierzenia.
W takim przypadku, Podmiot Przetwarzający jest zobowiązany do zawarcia umowy podpowierzenia przetwarzania danych osobowych w formie pisemnej i nałożenia na Podwykonawcę co najmniej tych samych obowiązków ochrony danych osobowych, jakie zostały określone w Umowie Powierzenia, ze szczególnym uwzględnieniem obowiązku
zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie było zgodne z RODO.
4. Powierzenie przetwarzania danych osobowych podmiotowi spoza Listy Podwykonawców wymaga uprzedniego, obligatoryjnego zgłoszenia Administratorowi w formie pisemnej zapytania w tym zakresie i możliwe jest wyłącznie po uzyskaniu uprzedniej zgody Administratora na powierzenie Podwykonawcy dalszego przetwarzania danych osobowych w określonym celu i zakresie, wyrażonej w formie pisemnej pod rygorem nieważności. Administrator uprawniony jest do odmowy udzielenia zgody względem powierzenia danych osobowych Podwykonawcy przy czym Administrator zobowiązany jest uzasadnić taką odmowę. W razie odmowy udzielenia zgody przez Administratora względem powierzenia danych osobowych Podwykonawcy, Podmiot Przetwarzający nie ma prawa powierzyć danych osobowych Podwykonawcy objętemu odmową, a jeżeli odmowa dotyczy aktualnego Podwykonawcy, Podmiot Przetwarzający musi niezwłocznie, mając na uwadze charakter powierzenia, nie później jednak niż w terminie 14 dni zakończyć podpowierzenie względem Podwykonawcy.
5. Jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez Podwykonawcę spoczywa na Podmiocie Przetwarzającym.
6. Podmiot Przetwarzający ponosi pełną odpowiedzialność za działania lub zaniechania swoich Podwykonawców, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie lub zaniechanie.
§ 3
Zobowiązania Podmiotu Przetwarzającego
1. Podmiot Przetwarzający oświadcza, że w ramach prowadzonej działalności gospodarczej profesjonalnie zajmuje się przetwarzaniem danych osobowych objętym Umową Powierzenia i będzie wykonywał związane z tym czynności i obowiązki, wynikające również z Umowy Podstawowej, zgodnie z warunkami współpracy, oraz że posiada w tym zakresie stosowne i niezbędne środki, w szczególności wiedzę, doświadczenie, wyposażenie oraz zasoby ludzkie, oraz daje rękojmię należytego ich wykonania.
2. Podmiot Przetwarzający jest zobowiązany do przestrzegania przepisów RODO oraz innych obowiązujących unormowań dotyczących ochrony danych osobowych. Podmiot
Przetwarzający oświadcza, że przyjmuje i stosuje odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z przywołanymi
4
unormowaniami i chroniło prawa osób, których dane dotyczą, a Podmiot Przetwarzający będzie mógł to wykazać. Odpowiednie środki techniczne i organizacyjne, obejmują co najmniej środki określone w Załączniku nr 2 do Umowy Powierzenia – Lista przyjętych i stosowanych środków technicznych i organizacyjnych. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
3. Podmiot Przetwarzający oświadcza, że przed rozpoczęciem przetwarzania danych
podejmie i zastosuje środki techniczne i organizacyjne mające na celu ochronę i zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których
mowa w art. 32 RODO, w tym więc między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
4. Podmiot Przetwarzający oświadcza, iż przetwarza dane osobowe wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami i uprawnieniami nadanymi przez
Administratora. Za udokumentowane polecenia i instrukcje uznaje się treść Umowy Powierzenia, treść Umowy Podstawowej, jak również inne polecenia i instrukcje udzielone co najmniej w formie dokumentowej (np. w korespondencji e-mail pochodzącej od uprawnionego personelu Administratora). Jeżeli Podmiot Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Podmiot Przetwarzający niezwłocznie informuje Administratora o stwierdzonej wątpliwości w sposób udokumentowany i z uzasadnieniem.
5. Podmiot Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w tym rejestru wszystkich kategorii czynności przetwarzania danych osobowych. Podmiot Przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w tym do udostępnienia prowadzonego rejestru wszystkich kategorii czynności przetwarzania danych osobowych, w terminie 3 dni roboczych od dnia otrzymania wniosku (ilekroć w Umowie Powierzenia użyte jest sformułowanie „dni roboczych”, należy przez to rozumieć dni tygodnia od poniedziałku do piątku, z wyłączeniem dni ustawowo wolnych od pracy).
6. Podmiot Przetwarzający oświadcza, iż nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w rozumieniu przepisów RODO. Podmiot Przetwarzający oświadcza również, iż nie korzysta z Podwykonawców, którzy przekazują dane osobowe do państwa trzeciego lub organizacji międzynarodowej, w rozumieniu przepisów RODO.
7. W przypadku stwierdzenia przez Administratora niezgodności w procesie przetwarzania danych osobowych i zgłoszenia tego faktu drogą pisemną Podmiotowi Przetwarzającemu, Podmiot Przetwarzający jest zobowiązany usunąć powyższe uchybienia bez zbędnej zwłoki, jednak nie później niż w terminie 3 dni roboczych od dnia zgłoszenia.
5
8. W wypadku stwierdzenia, iż Podmiot Przetwarzający naruszył zasady określone w Umowie Powierzenia, Administratorowi przysługuje możliwość dochodzenia odszkodowania na zasadach ogólnych.
9. Podmiot Przetwarzający zobowiązuje się do uczestniczenia w czynnościach dotyczących powierzonych mu na podstawie Umowy Powierzenia danych osobowych, którym podlega Administrator z tytułu przepisów prawa, szczególnie: kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych (dalej jako: „PUODO”).
Uczestnictwo polega m.in. na udostępnieniu dokumentacji przetwarzania danych osobowych oraz udzielaniu wyjaśnień podmiotom uprawnionym.
10. Podmiot Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych w zakresie określonym w Umowie Powierzenia, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot Przetwarzający, w szczególności prowadzonych przez osoby upoważnione przez PUODO, nie później jednak, niż w terminie 3 dni od dnia powzięcia informacji w tym zakresie.
11. Podmiot Przetwarzający powiadamia Administratora o każdym podejrzeniu naruszenia ochrony danych osobowych wraz z opisem i podaniem przyczyny naruszenia, podaniem zakresu zdarzenia i możliwych konsekwencji oraz propozycji rozwiązania, a także dotychczas zastosowanych środków, mających na celu ograniczenie i zminimalizowanie ewentualnych negatywnych skutków, niezwłocznie, nie później niż w terminie 24 godzin od pierwszego zgłoszenia, umożliwia Administratorowi uczestnictwo w czynnościach
wyjaśniających i informuje Administratora o ustaleniach natychmiast po ich dokonaniu, w szczególności o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia,
powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia.
12. Podmiot Przetwarzający, biorąc pod uwagę charakter przetwarzania, zobowiązuje się wobec Administratora w miarę możliwości pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, a także udzielanie niezbędnych informacji, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w Rozdziale III RODO (dalej jako: „Prawa jednostki”). Podmiot Przetwarzający oświadcza, że zapewnia, przy uwzględnieniu powyższego, obsługę Praw jednostki w odniesieniu do powierzonych danych.
13. Podmiot Przetwarzający, uwzględniając charakter powierzenia i dostępne mu informacje, współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
14. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Podmiot Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności (uwzględnianie ochrony danych w fazie projektowania), o którym mowa w art. 25 ust. 1
6
RODO, i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i w takich terminach, aby zapewnić Administratorowi realną możliwość reagowania przed ich wprowadzeniem, jeżeli planowane przez Podmiot Przetwarzający zmiany w opinii Administratora mogłyby grozić uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Podmiot Przetwarzający.
§ 4 Prawo kontroli
1. Administrator uprawniony jest do kontrolowania sposobu przetwarzania powierzonych
danych osobowych po uprzednim poinformowaniu Podmiotu Przetwarzającego o planowanej kontroli. Informacja o kontroli, zostanie przekazana Podmiotowi
Przetwarzającemu nie później niż w terminie 14 dni, przed planowanym terminem kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są dane osobowe oraz wglądu do dokumentacji związanej z przetwarzaniem danych osobowych. Administrator uprawniony jest do żądania od Podmiotu Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania danych osobowych, oraz udostępnienia rejestru wszystkich kategorii czynności przetwarzania.
2. W nawiązaniu do treści ust. 1 niniejszego paragrafu, Podmiot Przetwarzający:
1) udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
2) umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Podmiot Przetwarzający ściśle współpracuje w zakresie realizacji audytów lub inspekcji.
3. Kontrole, o których mowa powyżej, przeprowadzane będą z poszanowaniem tajemnicy przedsiębiorstwa, bez uszczerbku dla uprawnień Administratora wynikających z RODO.
4. Koszty przeprowadzenia u Podmiotu Przetwarzającego kontroli, ponosić będzie Podmiot Przetwarzający.
§ 5
Osoby upoważnione
1. Do wykonywania zobowiązań wynikających z postanowień Umowy Powierzenia mogą być dopuszczone wyłącznie osoby posiadające odpowiednie pisemne upoważnienie do przetwarzania. Podmiot Przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest konieczny i posiadających odpowiednie upoważnienie, a także uprzednio przeszkolonych w zakresie sposobów zabezpieczenia przetwarzanych danych osobowych i przepisów RODO oraz innych obowiązujących unormowań dotyczących ochrony danych osobowych.
2. Administrator wyraża zgodę na upoważnianie przez Podmiot Przetwarzający osób, które będą przetwarzać dane osobowe Administratora z tytułu realizowania obowiązków wynikających z Umowy Podstawowej.
7
3. Podmiot Przetwarzający oświadcza, że każda osoba (np. pracownik etatowy, osoba świadcząca czynności na podstawie umów cywilnoprawnych, inne osoby pracujące na rzecz Podmiotu Przetwarzającego), która została upoważniona do przetwarzania danych osobowych zostanie zobowiązana do zachowania tych danych w tajemnicy. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych.
4. Podmiot Przetwarzający zobowiązuje się do stałego nadzorowania osób, o których mowa w niniejszym paragrafie, w zakresie dotyczącym zabezpieczenia oraz ochrony przetwarzanych danych osobowych.
§ 6
Odpowiedzialność Podmiotu Przetwarzającego
1. Podmiot Przetwarzający odpowiada za wszelkie szkody wyrządzone Administratorowi oraz osobom trzecim, spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Podmiot Przetwarzający lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Podmiot Przetwarzający odpowiada za szkody spowodowane zastosowaniem w sposób niewłaściwy lub nie zastosowaniem właściwych środków bezpieczeństwa.
2. Jeżeli podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków przez podwykonawcę spoczywa na Podmiocie Przetwarzającym.
§ 7
Czas trwania Umowy Powierzenia
1. Umowa Powierzenia zostaje zawarta na czas obowiązywania Umowy Podstawowej.
2. Wypowiedzenie Umowy Podstawowej, skutkuje automatycznym wypowiedzeniem Umowy Powierzenia.
3. Zleceniodawca jest uprawniony do rozwiązania Umowy Powierzenia bez wypowiedzenia, jeżeli w wyniku kontroli Administratora lub w jakikolwiek inny sposób (np. informacja od osoby, której dane osobowe dotyczą, kontrola PUODO) zostanie wykazane, że Podmiot Przetwarzający:
1) nie podjął środków zabezpieczających, o których mowa w art. 32 RODO, lub
2) przetwarza dane osobowe w sposób niezgodny z Umową Powierzenia i nie zaprzestał niewłaściwego przetwarzania oraz nie usunął powstałych z tego tytułu uchybień w terminie 3 dni roboczych.
4. W przypadku wygaśnięcia lub rozwiązania Umowy Powierzenia, Podmiot Przetwarzający w terminie 3 dni roboczych zobowiązany jest zwrócić lub usunąć, w zależności od swobodnej decyzji Administratora, wszelkie powierzone Podmiotowi Przetwarzającemu dane osobowe oraz usunąć ich kopie z wszelkich nośników (w tym dokumentów) na których zostały powierzone Podmiotowi Przetwarzającemu bądź przez niego utrwalone i przechowywane, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w jego dyspozycji i potwierdzić powyższe przekazanym Administratorowi protokołem.
8
5. Podmiot Przetwarzający zapewni, iż wszyscy Podwykonawcy, dokonają czynności, o których mowa w ust. 4 niniejszego paragrafu.
§ 8
Postanowienia końcowe
1. W sprawach nieuregulowanych Umową Powierzenia stosuje się przepisy prawa polskiego oraz RODO.
2. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy Powierzenia będzie sąd właściwy miejscowo dla siedziby Administratora.
3. Wszelkie zmiany i uzupełnienia Umowy Powierzenia wymagają formy pisemnej pod rygorem nieważności.
4. Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
5. W razie sprzeczności pomiędzy postanowieniami Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Podmiotem Przetwarzającym należy regulować poprzez zmiany Umowy Powierzenia lub w wykonaniu jej postanowień.
6. Załączniki do Umowy Powierzenia stanowią jej integralną część.
7. Umowa Powierzenia wchodzi w życie z dniem………
Administrator Podmiot Przetwarzający
………. ……….
Załączniki:
1. Załącznik nr 1 - Lista Zaakceptowanych Podwykonawców.
2. Załącznik nr 2 – Lista przyjętych i stosowanych środków technicznych i organizacyjnych.
