Data Processing Agreement


Powierzenie przetwarzania danych osobowych

  1. Zamawiający oświadcza, że jest administratorem danych, które powierza Wykonawcy do przetwarzania.
  2. Zamawiający powierza Wykonawcy wskazane w Umowie dane osobowe na czas trwania niniejszej Umowy.
  3. Wykonawca będzie przetwarzać powierzone przez Zamawiającego dane osobowe wyłącznie w celach związanych ze świadczeniem usług określonych w umowie głównej.
  4. Wykonawca może przetwarzać dane osobowe w formie tradycyjnej bądź w formie elektronicznej.
  5. Wykonawca oświadcza, że zapewnienie stopnia bezpieczeństwa odpowiadającemu ryzyku naruszenia praw lub wolności osób fizycznych zagwarantowane jest przez wdrożenie odpowiednich środków technicznych o organizacyjnych w myśl art. 32 ogólnego rozporządzenia o ochronie danych.
  6. Wykonawca będzie przetwarzał dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
  7. Wykonawca oświadcza, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
  8. Wykonawca, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą lub w zakresie wykonywania praw osób, których dane dotyczą.
  9. Wykonawca będzie wspierał Zamawiającego w realizacji obowiązków wynikających z art. 32-36, w tym przy opracowywaniu lub aktualizowaniu oceny skutków dla ochrony danych, jeżeli jest to zasadne i powiązane z powierzonym przetwarzaniem danych osobowych.
  10. Wykonawca zobowiązany jest do zwrotu lub zniszczenia danych oraz ich kopii zgodnie z żądaniem administratora danych w terminie 90 dni od wystosowania odpowiedniego żądania.

Audyty procesu przetwarzania danych osobowych

  1. Wykonawca umożliwia, Zamawiającemu lub osobie przez niego upoważnionej, przeprowadzenie audytów ochrony danych osobowych.
  2. Umożliwienie przeprowadzenia audytu obejmować będzie jedynie zasoby wykorzystywane i zaangażowane w proces przetwarzania powierzonych danych przez Zamawiającego.
  3. Zamawiający zobowiązuje się ustalić z Wykonawcą termin przeprowadzenia audytu.
    a. Termin przeprowadzenia audytu nie może być krótszy niż 7 dni od dnia zawiadomienia o zamiarze przeprowadzenia audytu przez Zamawiającego.
    b. Wykonawca może wyznaczyć termin nie dłuższy termin niż 30 dni od dnia zawiadomienia o planowanym audycie przez Zamawiającego.
  4. Zamawiający przed podjęciem czynności audytowych zawiera umowę o zachowaniu poufności.
  5. Zamawiający informuje o ramowym harmonogramie przeprowadzonego audytu, danych kontaktowych do osób, które przeprowadzą audyt oraz udostępni raport z przeprowadzonego audytu w celu umożliwienia ustosunkowania do zapisów zawartych w raporcie.

Zgłaszanie naruszeń ochrony danych osobowych

  1. W przypadku naruszenia ochrony danych osobowych, Wykonawca informuje Zamawiającego o stwierdzonym naruszeniu bez zbędnej zwłoki.
  2. Poinformowanie Zamawiającego o naruszeniu ochrony danych musi się odbyć najszybszymi możliwymi środkami komunikacji, w tym połączenia telefoniczne, wiadomości elektroniczne.
  3. Wykonawca wspiera Zamawiającego w procesie zgłoszenia naruszeń ochrony danych, w tym przygotowuje dokumentację naruszenia ochrony danych, która m.in. powinna:
    a. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    b. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    c. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    d. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  4. Wykonawca wspiera Zamawiającego w procesie zawiadamiania osób, których dane dotyczą o naruszeniu ochrony danych, w tym m.in.
    a. Przygotowuje opis charakteru naruszenia ochrony danych osobowych oraz wskazuje zastosowane środki bezpieczeństwa, które powinny m.in.:
    i. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    ii. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
    iii. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
    b. Przygotowuje dla Zamawiającego listę dokumentów lub danych osobowych, których naruszenie dotyczyło.

Dalsze powierzenie przetwarzania danych osobowych

  1. Zamawiający wyraża zgodę, aby Wykonawca korzystał ze wsparcia usług innych podmiotów przetwarzających w zakresie obejmującym przekazane dane osobowe, zwykle obejmują one usługi m.in. związane z konserwacją sprzętu, wsparciem technicznym, technologicznym lub innymi czynnościami związanym z prowadzeniem działalności gospodarczej.
  2. Wykonawca informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Postanowienia końcowe

  1. Wszelkie zmiany do niniejszej umowy i uzupełnienia pod rygorem nieważności wymagają formy pisemnej.
  2. W sprawach nieuregulowanych niniejszą umowa mają zastosowanie odpowiednie przepisy kodeksu cywilnego oraz przepisy o ochronie danych osobowych.
  3. Wszelkie spory mogące wyniknąć w związku z niniejsza umowa rozpatrywał będzie sąd właściwy ze względu na siedzibę Strony pozwanej.
  4. Niniejsza umowa obowiązuje od dnia zawarcia przez czas trwania umów o współpracy.
  5. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem okresów wypowiedzenia określonych w umowie o współpracy.
  6. W przypadku rażącego naruszenia ochrony danych osobowych Zamawiający może wypowiedzieć umowę ze skutkiem natychmiastowym.