UMOWA nr MOPR-XXI.0064.XXX.2022 powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy nr MOPR-I.2100…..2022
UMOWA nr MOPR-XXI.0064.XXX.2022
powierzenia przetwarzania danych osobowych
stanowiąca uzupełnienie Umowy nr MOPR-I.2100…..2022
zawarta w Poznaniu w dniu ……………………………………….. r. pomiędzy:
Miejskim Ośrodkiem Pomocy Rodzinie w Poznaniu z siedzibą w Poznaniu (60-330),
przy xx. Xxxxxxxxxxxxxx 00, reprezentowanym przez Dyrektora / Zastępcę Dyrektora MOPR w Poznaniu - Panią/Pana …, zwanym dalej Administratorem Danych Osobowych (ADO),
a
Podmiotem XXX, z siedzibą: XXX, reprezentowaną przez PanX XXX - właściciela, zwaną dalej Przetwarzającym.
(dalej łącznie jako: „Strony”).
Strony zawarły umowę MOPR-I.2100…..2022 („Umowa Podstawowa”), w związku, z wykonywaniem której Administrator powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym nin. umową;
Celem umowy jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora;
Strony zawierają umowę na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej RODO
Strony zawierają umowę o następującej treści:
§ 1. [Opis przetwarzania]
Przedmiotem umowy jest powierzenie Przetwarzającemu przez Administratora Danych Osobowych (zwanego w treści umowy Administratorem lub ADO) przetwarzania danych osobowych (w rozumieniu RODO) zawartych w Zbiorze POMOC. Podstawą przetwarzania jest nin. umowa oraz Umowa Podstawowa.
Przetwarzanie powierzonego zbioru danych osobowych wynika z zadań w ramach umowy nr MOPR-I.2100…..2022 z dnia ……………. r. na zapewnienie wsparcia językowego w komunikacji pomiędzy osobami przybyłymi z Ukrainy oraz pracownikami MOPR w Poznaniu w zakresie tłumaczeń pisemnych i ustnych w zakresie języka ukraińskiego
W szczególności:
zaś
celem przetwarzania danych osobowych jest
zapewnienie usługi w zakresie tłumaczeń pomiędzy osobami przybyłymi z Ukrainy a pracownikami MOPR w Poznaniu.
Zakres przetwarzania danych osobowych klientów Miejskiego Ośrodka Pomocy Rodzinie w Poznaniu obejmuje:
Xxxx zwykłe: imię i nazwisko, adres zamieszkania, nr telefonu, nr PESEL, imiona rodziców, seria i nr dowodu osobistego, nr paszportu, data urodzenia, obywatelstwo, płeć, stan cywilny, stopień pokrewieństwa, wykształcenie, miejsce pracy, wysokość i źródła dochodu, wydatki miesięczne, alimenty, warunki bytowe,
Dane szczególnych kategorii i dane dotyczące wyroków skazujących i naruszeń prawa: dane dotyczące stanu zdrowia, wyroków skazujących.
Dane dzieci: imię i nazwisko, adres zamieszkania, data urodzenia, płeć, miejsce nauki .
Dane nieustrukturyzowane: nie dotyczy.
§ 2. [Obowiązki Przetwarzającego]
Przetwarzający ma następujące obowiązki:
Przetwarzający przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami Administratora.
Przetwarzający oświadcza, że nie przekazuje danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy, dalej jako EOG). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane poza EOG.
Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać dane poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.
Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych w wykonaniu umowy, udokumentowane zobowiązania do zachowania tajemnicy lub zapewnia, że te osoby podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. Zobowiązanie, o którym mowa obowiązuje również po zakończeniu obowiązywania nin. umowy.
Przetwarzający zapewnia ochronę danych i podejmuje środki ochrony danych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami umowy.
Przetwarzający zobowiązuje się wobec Administratora do pomocy przy odpowiadaniu na żądania osoby, której dane dotyczą, w zakresie wykonywania praw określonych w rozdziale III RODO („Prawa osoby, której dane dotyczą”).
Przetwarzający współpracuje z Administratorem przy wykonywaniu przez Administratora obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32−36 RODO (ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z organem nadzorczym).
Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.
Planując dokonanie zmian w sposobie przetwarzania danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Przetwarzającego.
Przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji umowy i posiadających odpowiednie upoważnienie wydane przez Przetwarzającego.
Zgodnie z art. 30 ust. 2 RODO Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych. Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr kategorii czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego.
Obowiązek, o którym mowa w § 2 ust. 11 nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują:
może powodować ryzyko naruszenia praw i wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego,
dotyczy szczególnych kategorii danych (o których mowa w art. 9 ust. 1 RODO) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa (o czym mowa w art. 10 RODO).
Jeżeli Przetwarzający wykorzystuje w celu realizacji umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Przetwarzający informuje o tym Administratora w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego.
Przetwarzający ma obowiązek zapewnić osobom upoważnionym do przetwarzania danych odpowiednie szkolenie z zakresu ochrony danych osobowych.
§ 3. [Obowiązki Administratora]
Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
Przetwarzający zapewnia adekwatne i proporcjonalne środki organizacyjne i techniczne ochrony danych.
Strony uzgodniły, że poziom zabezpieczeń danych po stronie Przetwarzającego może zostać uregulowany odrębnym dokumentem. Przy powyższym, będą brane pod uwagę takie okoliczności jak stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze naruszenia.
Osobnym dokumentem o którym mowa w ustępie poprzedzającym, może być Oświadczenie Przetwarzającego, w którym zapewni on Administratora, iż wdrożył adekwatne do okoliczności środki ochrony danych.
§ 4a. [Dalsze Przetwarzanie]
Przetwarzający może powierzyć przetwarzanie Danych (dalej „Dalsze Przetwarzanie”) w drodze pisemnej umowy dalszego przetwarzania innemu przetwarzającemu (dalej „Dalszy Przetwarzający”), pod warunkiem uprzedniej akceptacji Dalszego Przetwarzającego przez ADO. Lista dalszych przetwarzających stanowi załącznik do nin. Umowy.
Przetwarzający zobowiązuje się nałożyć co najmniej takie same obowiązki na Dalszego Przetwarzającego jakie nakłada na Przetwarzającego nin. Umowa.
Podmiot przetwarzający zobowiązany jest niezwłocznie powiadomić Administratora o każdej zamierzonej zmianie na liście Dalszych podmiotów przetwarzających.
Administrator ma możliwość sprzeciwienia się zmianie w terminie 7 dni roboczych od momentu otrzymania informacji, o której mowa w ust. 3. Sprzeciw należy złożyć w formie pisemnej.
Dalsze powierzenie przetwarzania danych osobowych przez Podmiot przetwarzający Dalszym podmiotom przetwarzającym wymaga, pod rygorem nieważności, zawarcia umowy lub porozumienia w formie pisemnej.
Umowa lub porozumienie, o których mowa w ust. 5, muszą zawierać wszystkie zobowiązania określone w nin. Umowie oraz precyzować czas, charakter i cel przetwarzania danych osobowych z uwzględnieniem zakresu (lub kategorii) przetwarzanych danych osobowych.
Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 5. [Powiadomienie o naruszeniach Danych Osobowych]
Przetwarzający powiadamia Administratora danych o każdym podejrzeniu naruszenia ochrony danych osobowych nie później niż w ciągu 24 godzin od pierwszego zgłoszenia oraz umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia.
Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane do Administratora wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia Prezesa Urzędu Ochrony Danych Osobowych (organ nadzoru).
Powiadomienie o naruszeniu ochrony danych osobowych winno być przekazane pocztą elektroniczną na adres: xxx@xxxx.xxxxxx.xx. Jeżeli powiadomienie będzie zawierało dane osobowe, winny być one odpowiednio zabezpieczone (zaszyfrowane).
§ 6. [Nadzór]
Administrator kontroluje sposób przetwarzania powierzonych danych osobowych po uprzednim poinformowaniu Przetwarzającego o planowanej kontroli. Administrator lub wyznaczone przez niego osoby są uprawnione do wstępu do pomieszczeń, w których przetwarzane są Dane Osobowe oraz wglądu do dokumentacji związanej z przetwarzaniem danych osobowych. Administrator uprawniony jest do żądania od Przetwarzającego udzielania informacji dotyczących przebiegu przetwarzania danych osobowych, oraz udostępnienia rejestrów przetwarzania.
Przetwarzający współpracuje z Urzędem Ochrony Danych Osobowych w zakresie wykonywanych przez niego zadań.
Przetwarzający:
udostępnia Administratorowi wszelkie informacje niezbędne do wykazania zgodności działania Administratora z przepisami RODO,
umożliwia Administratorowi lub upoważnionemu audytorowi przeprowadzanie audytów lub inspekcji. Przetwarzający współpracuje z Administratorem w zakresie realizacji audytów lub inspekcji.
Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, jednakże w terminie nie dłuższym niż 14 dni.
§ 7. [Odpowiedzialność]
Przetwarzający odpowiada za szkody poniesione przez Administratora i/lub osoby fizyczne, których dane do przetwarzania zostały mu powierzone, spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem poleceniami Administratora lub wbrew tym poleceniom. Przetwarzający odpowiada również za szkody spowodowane niewłaściwym zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa.
Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Przetwarzającego danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania przez Przetwarzającego tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
§ 8. [Okres obowiązywania umowy powierzenia]
Umowa została zawarta na czas obowiązywania Umowy Podstawowej, tj. na okres od ……….do….... Jeżeli Umowa podstawowa zostanie aneksowana, nin. umowa powierzenia przetwarzania danych osobowych zostaje automatycznie przedłużona na okres trwania Umowy Podstawowej, bez konieczności zawierania osobnego aneksu.
§ 9. [Usunięcie Danych]
Z chwilą rozwiązania umowy Przetwarzający nie ma prawa do dalszego przetwarzania powierzonych danych i jest zobowiązany do [zaznaczyć właściwe]:
☐zwrotu danych,
☒usunięcia danych oraz wszelkich ich istniejących kopii,
-chyba że Administrator postanowi inaczej lub prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie danych.
Przetwarzający dokona czynności wymienionych w ust. 1 w terminie 30 dni od zakończenia umowy, chyba że Administrator poleci mu to uczynić w innym terminie.
Po wykonaniu zobowiązania, w terminie o którym mowa w § 9 ust. 2., Przetwarzający złoży Administratorowi pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych.
§ 10. [Zasady zachowania poufności]
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.
§ 11. [Rozwiązanie umowy]
Administrator danych może wypowiedzieć niniejszą umowę ze skutkiem natychmiastowym gdy Podmiot przetwarzający:
pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie,
przetwarza dane osobowe w sposób niezgodny z umową,
powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych,
zawiadomi o swojej niezdolności do wykonywania nin. umowy.
§ 12. [Postanowienia końcowe]
W razie sprzeczności pomiędzy postanowieniami niniejszej umowy powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia umowy powierzenia. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej umowy lub w wykonaniu jej postanowień.
Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Umowa podlega prawu polskiemu oraz RODO.
Sądem właściwym dla rozstrzygania sporów wynikających z niniejszej umowy będzie sąd właściwy dla siedziby Administratora.
Administrator oświadcza, że jest Administratorem Danych oraz że jest uprawniony do ich powierzenia w zakresie, w jakim powierzył je Przetwarzającemu.
............................................................ ............................................................
Administrator Danych Osobowych Przetwarzający
Załącznik nr 1 do umowy powierzenia
OŚWIADCZENIE
o zwrocie / zniszczeniu powierzonych danych osobowych
sporządzone dnia r. w Poznaniu przez:
(wskazać dane Podmiotu przetwarzającego)
***
Nr oraz data umowy powierzenia przetwarzania danych osobowych:
Nr oraz data umowy głównej (podstawowej):
Oświadczam, że z dniem zakończenia przetwarzania danych osobowych (wybrać właściwe):
☐ zwróciłem Miejskiemu Ośrodkowi Pomocy Rodzinie w Poznaniu, powierzającemu przetwarzanie danych osobowych, wszelkie oryginały dokumentów zawierające powierzone dane osobowe,
☐ usunąłem wszelkie papierowe kopie dokumentów zawierających powierzone dane osobowe oraz elektroniczne dokumenty zawierające powierzone dane osobowe ze wszystkich nośników elektronicznych,
oraz
podjąłem stosowne działania w celu wyeliminowanie możliwości dalszego przetwarzania danych powierzonych na podstawie ww. zawartej umowy powierzenia przetwarzania danych osobowych
lub
☐ prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalej przechowywanie danych (należy wskazać przepis/y, z którego wynika taki obowiązek)
…………………………………
Podpis Przetwarzającego
Strona 8 z 8