Kwestionariusz do oceny (audytu) przestrzegania przez

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
nr ORG.142.3.1.2014
zawarta w dniu ……………… 2014 r.
zwana dalej „Umową powierzenia”
pomiędzy:
Urzędem Gminy Juchnowiec Kościelny z siedzibą przy ul. Lipowej 10, 16-061 Juchnowiec
Kościelny, NIP: 966-05-94-401
reprezentowaną przez
Krzysztofa Marcinowicza – Wójta Gminy Juchnowiec Kościelny
zwany dalej „Zamawiającym”
a firmą
……………………… z siedzibą w ……………………………………………………………,
posiadającym NIP: ……………………, REGON …………………
reprezentowanym przez
………………………………………………………,
zwaną dalej „Wykonawcą”
Strony niniejszej umowy łączy Umowa serwisowa nr ORG.132.2.2014 z dnia ………………
na okres od 01.04.2014 r. do 31.03.2015 r.
Strony zawierają Umowę powierzenia przetwarzania danych osobowych o treści jak poniżej.
§1
Powierzenie przetwarzania danych
W związku z zawarciem w dniu ……………… pomiędzy wyżej wymienionymi
Stronami umowy serwisowej nr ORG.132.2.2014 zwaną dalej „Umową serwisową”.
a. Zamawiający stosownie do art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (tj. Dz. U. z 2002 r Nr 101, poz. 926 ze zm.), zwanej dalej
„Ustawą”, powierza przetwarzanie danych osobowych niezbędnych przy
wykonywaniu usługi serwisowej i konserwacyjnej.
b. Zakres przetwarzanych danych osobowych obejmuje zbiory danych osobowych
gromadzonych za pomocą oprogramowania:
- Usługi Informatyczne INFO-SYSTEM Roman i Tadeusz Groszek sp.j.: Budżet,
Kadry i Płace, Podatki, KSZOB, JGU, AUTA, Środki Trwałe
wraz z oprogramowaniem i sprzętem do druku etykiet, UPK, integracja GOMIGKSGZOB,
- SYGNITY S.A.: SELWIN (w tym SEL2GUS), RWWIN, USCWIN,
- ARISCO Sp. z o.o.: GOMIG – Odpady, GOMIG – Moduł wymiarowy.
c. Wykonawca zobowiązuje się przetwarzać powierzone dane osobowe wyłącznie
w zakresie i w celu przewidzianym w Umowie serwisowej nr ORG.132.2.2014.
2. Zamawiający jest Administratorem Danych Osobowych w rozumieniu Ustawy.
1.
1
3. Dane osobowe w zależności od potrzeb będą przetwarzane przez Wykonawcę w siedzibie
Zamawiającego lub w siedzibie Wykonawcy. Fakt każdorazowego przekazania danych
osobowych Wykonawcy przez Zamawiającego poza jego siedzibę, potwierdza na piśmie
Administrator Bezpieczeństwa Informacji Wykonawcy. Po wykonaniu czynności
serwisowych, o których mowa w § 1 ust. 1 niniejszej Umowy powierzenia, Wykonawca
niezwłocznie, zobowiązuje się usunąć wszelkie dane osobowe, których przetwarzanie
zostało mu powierzone, w tym skutecznie, trwale usunąć je również z nośników
elektronicznych pozostających w dyspozycji Wykonawcy.
§2
Zasady przetwarzania danych
1.
2.
3.
Stosownie do wymogów Ustawy Zamawiający powierza a Wykonawca przyjmuje
przetwarzanie danych osobowych wyłącznie w celu wykonania Umowy serwisowej
wymienionej w §1 ust. 1 niniejszej Umowy powierzenia.
Wykonawca zobowiązuje się do zastosowania przy przetwarzaniu danych osobowych,
o których mowa w §1 środków technicznych i organizacyjnych zapewniających
ochronę danych osobowych co najmniej w zakresie określonym w art. 36-39 Ustawy.
Wykonawca zobowiązuje się do przetwarzania danych osobowych zgodnie z Ustawą,
przy użyciu urządzeń i systemów informatycznych zapewniających zastosowanie
wysokiego poziomu bezpieczeństwa zgodnie z rozporządzeniem Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024).
§3
Zabezpieczenie przetwarzanych danych osobowych
1. Wykonawca zobowiązuje się spełnić warunki, o których mowa w art. 36-39 ustawy
oraz spełnić wymagania, o których stanowi art. 39a ustawy. W szczególności zobowiązuje
się do:
a) zastosowania środków technicznych i organizacyjnych zapewniających ochronę
przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem,
b) dopuszczenia do przetwarzania danych osobowych, w tym obsługi systemu
informatycznego oraz urządzeń wchodzących w jego skład służących
do przetwarzania danych, wyłącznie osób posiadających wydane przez niego
upoważnienie,
c) zapewnienia kontroli nad prawidłowością przetwarzania danych,
d) prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
e) dochowania szczególnej staranności, aby osoby upoważnione do przetwarzania
danych osobowych zachowały je w tajemnicy, również po zakończeniu realizacji
Umowy powierzenia, między innymi poprzez poinformowanie ich o prawnych
konsekwencjach naruszenia poufności danych oraz odebranie oświadczeń
o zachowaniu w tajemnicy tych danych.
f) dołożenia szczególnej staranności przy przetwarzaniu powierzonych danych
osobowych, w tym zwłaszcza przyjąć i wdrożyć dokumentację określoną
przez administratora danych, w której skład wchodzi: polityka bezpieczeństwa
2
oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania
danych osobowych.
2. Zamawiający jest uprawniony do kontrolowania Wykonawcy w zakresie przetwarzania
danych osobowych, pod względem zgodności z Umową powierzenia oraz oceny
zgodności przetwarzania danych z Ustawą.
3. W celu wykonania kontroli upoważnieni pracownicy Zamawiającego mają prawo:
a) wstępu do pomieszczeń, w których przetwarzane są dane osobowe
i przeprowadzenia niezbędnych czynności kontrolnych,
b) żądania złożenia pisemnych i ustnych wyjaśnień w celu ustalenia stanu
faktycznego,
c) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych,
4. Z czynności kontrolnych sporządza się protokół, którego jeden egzemplarz doręcza się
Wykonawcy.
§4
Współdziałanie Stron
1. Strony ustalają, że podczas realizacji niniejszej Umowy powierzenia będą ze sobą ściśle
współpracować za pośrednictwem Administratorów Bezpieczeństwa Informacji,
informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć
wpływ na wykonanie Umowy powierzenia.
2. Wykonawca nie może powierzyć wykonania zadań wynikających z niniejszej Umowy
powierzenia innej osobie lub firmie bez uprzedniej zgody Zamawiającego na piśmie.
§5
Przetwarzanie danych osobowych po rozwiązaniu Umowy serwisowej
Po rozwiązaniu Umowy serwisowej, o której mowa w § 1 ust. 1 niniejszej Umowy
powierzenia, Wykonawca niezwłocznie, ale nie później niż w terminie do 3 dni, zobowiązuje
się usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym
skutecznie, trwale usunąć je również z nośników elektronicznych pozostających w dyspozycji
Wykonawcy. Powierzenie przetwarzania danych w zakresie objętym umową trwa do upływu
terminu wskazanego w §6.
§6
Czas obowiązywania Umowy powierzenia
1. Niniejsza Umowa powierzenia zostaje zawarta na czas określony od dnia 01.04.2014 r.
do dnia 31.03.2015 r. z miesięcznym okresem wypowiedzenia.
2. Umowa powierzenia może zostać wypowiedziana ze skutkiem natychmiastowym
bez okresu wypowiedzenia w przypadku:
a) rażącego naruszenia przez Wykonawcę postanowienia niniejszej Umowy
powierzenia.
b) wyrządzenia przez Wykonawcę przy realizacji Umowy powierzenia szkody
Zamawiającemu lub klientowi Zamawiającego,
c) uporczywego wstrzymywania się z realizacją zaleceń pokontrolnych,
d) wszczęcia postępowania sądowego przeciw Wykonawcy w związku
z naruszeniem ochrony danych osobowych,
e) w sytuacji rozwiązania Umowy serwisowej, o której mowa § 1 ust. 1.
3
3. Wypowiedzenie Umowy powierzenia przez którąkolwiek ze Stron jest równoznaczne
z wypowiedzeniem Umowy serwisowej, o której mowa §1 ust.1 w zakresie opisanym
w §1 ust.1 b.
§7
Naruszenie ochrony danych osobowych
Naruszenie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
z przyczyn leżących po stronie Wykonawcy w następstwie którego Zamawiający – jako
Administrator Danych Osobowych – zostanie obciążony grzywną lub zobowiązany
do wypłaty odszkodowania, powoduje zobowiązanie Wykonawcy do zwrotu wszelkich
poniesionych z tego tytułu strat. Wykonawca jest ponadto odpowiedzialny za wszelkie
wynikłe z tego tytułu szkody.
§8
Postanowienia końcowe
1. Wszelkie zmiany do Umowy powierzenia powinny być sporządzone w formie pisemnej
pod rygorem nieważności.
2. W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie będą miały
przepisy Kodeksu Cywilnego i ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. 2002 Nr 101, poz. 926 ze zm.).
3. Umowa wchodzi w życie z dniem jej zawarcia.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej
ze stron.
Zamawiający
Wykonawca
4