Umowa powierzenia przetwarzania danych osobowych

Umowa Nr 2023/07/PD

Zawarta w dniu 15 lipca 2023 r. w Warszawie pomiędzy:

Publiczną Szkołą Podstawową Nr 17 w Warszawie, ul. Kwiatowa 12, 00-123 Warszawa zwaną w dalszej części niniejszej umowy "Zleceniodawcą" reprezentowaną przez:

Anna Kowalska – Dyrektora

a

CyberSafe Sp. z o.o.

zwanym w dalszej części niniejszej umowy "Wykonawcą" reprezentowanym przez:

Jan Nowak

Celem niniejszej umowy jest uregulowanie zasad powierzania danych w związku z realizacją umowy 2023/06/IT [dalej Umowa Główna].

§1 Powierzenie przetwarzania danych osobowych

1. Zleceniodawca powierza Wykonawcy w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. UE. L. Nr 119, s. 1-dalej RODO przetwarzanie danych osobowych.

2. Zleceniodawca oświadcza, że jest administratorem danych, które powierza.

3. Powierzone dane zawierają informacje o osobach fizycznych.

4. Zleceniodawca powierza Wykonawcy przetwarzanie danych osobowych jedynie w zakresie określonym w § 2, a Wykonawca zobowiązuje się dokonywać przetwarzania danych jedynie w zakresie tego powierzenia

§2 Zakres i cel przetwarzania danych

1. Wykonawca będzie przetwarzał następujące rodzaje danych osobowych, powierzone na podstawie niniejszej Umowy:

1) dane zwykłe: imię, nazwisko, adres, PESEL,

2) dane szczególne: brak,

a powyższe dane dotyczą następujących kategorii osób:

1) uczniowie,

2) rodzice/opiekunowie prawni,

3) pracownicy szkoły.

2. Powierzone przez Zleceniodawcę dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu administrowania systemem informatycznym szkoły.

3. Przetwarzanie będzie wykonywane w okresie od dnia 01.09.2023 do dnia 31.08.2024.

§3 Sposób wykonania Umowy w zakresie przetwarzania danych osobowych

1. Wykonawca zobowiązuje się, jeszcze przed przystąpieniem do przetwarzania danych osobowych, o których mowa w § 2 ust. 1, do zapewnienia ich skutecznego zabezpieczenia poprzez wdrożenie i utrzymywanie środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, odpowiednich do rodzaju przetwarzanych danych.

2. Wykonawca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie i zabezpieczenie powierzonych danych osobowych, zgodnie z załącznikiem nr 1 do umowy.

3. Wykonawca zobowiązuje się:

a) dołożyć szczególnej staranności przy przetwarzaniu powierzonych danych osobowych, w tym zwłaszcza zgodnie z wewnętrzną polityką bezpieczeństwa oraz podejmować wszelkie środki wymagane na mocy art. 32 RODO,

b) przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową oraz przepisami chroniącymi prawa osób, których dane dotyczą,

c) przetwarzać dane powierzone przez Zamawiającego wyłącznie przez osoby upoważnione przez Wykonawcę,

d) zachować i zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b) RODO, przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia u Wykonawcy, jak i po jego ustaniu,

e) każdorazowo uzyskiwać uprzednią pisemną zgodę Zleceniodawcy na dalsze powierzenie konkretnych operacji przetwarzania danych. Dalsze powierzenie jest dopuszczalne jedynie w drodze pisemnej umowy podpowierzenia, nakładającej na podmiot podprzetwarzający takie same obowiązki jak nałożone na Wykonawcę na podstawie Umowy, zgodnie z art. 28 ust. 2 i 4 RODO, tylko w celu wykonania Umowy. Na wniosek Zleceniodawcy Wykonawca przekazuje mu kopię umowy podpowierzenia. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Wykonawca może utajnić tekst umowy przed jej udostępnieniem,

f) w miarę możliwości pomagać Zleceniodawcy poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,

g) pomagać Zleceniodawcy wywiązać się z obowiązków określonych w art. 32-36 RODO,

h) udostępniać Zleceniodawcy wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiać Zleceniodawcy lub audytorowi upoważnionemu przez Zleceniodawcę przeprowadzanie audytów oraz uczestniczyć w tych audytach,

i) nie przekazywać danych do państwa trzeciego lub organizacji międzynarodowej,

j) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Zleceniodawcy, zgodnie z art. 30 ust. 2 RODO.

4. Wykonawca zobowiązuje się niezwłocznie zawiadomić Zleceniodawcę o:

1) każdym żądaniu udostępnienia danych osobowych właściwemu organowi lub instytucji,

2) każdym żądaniu osoby, której dane przetwarza, zgodnie z zasadami określonymi w ustępie 9,

3) każdym podejrzeniu naruszenia ochrony danych osobowych, zgodnie z zasadami określonymi w ustępie 8,

4) przeprowadzeniu przez organ nadzorczy kontroli zgodności przetwarzania danych osobowych i jej wynikach oraz o innych czynnościach organów władzy publicznej dotyczących tych danych.

5. Zleceniodawca ma prawo do kontroli sposobu wykonywania Umowy oraz żądania składania przez Wykonawcę pisemnych wyjaśnień.

6. Wykonawca zobowiązuje się do usunięcia uchybień i poprawy bezpieczeństwa przetwarzania danych osobowych oraz niezwłocznie udzielenia odpowiedzi na każde pytanie Zleceniodawcy dotyczące przetwarzania powierzonych danych osobowych.

7. Wykonawca przetwarza dane na udokumentowane polecenie Zleceniodawcy, a także niezwłocznie informuje Zleceniodawcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie obowiązujących przepisów.

8. W przypadku naruszenia ochrony danych osobowych, Wykonawca bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierzeniu naruszenia – zgłasza je Zleceniodawcy. Zgłoszenie musi co najmniej opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę dotkniętych osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Zawierać imię i nazwisko oraz 123-456-789 osoby nadzorującej zgodność procesów przetwarzania z przepisami. Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych. Opisywać środki zastosowane lub proponowane przez Wykonawcę w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Wykonawca wspiera Zleceniodawcę w wywiązywaniu się z obowiązków wynikających z art. 33 i 34 RODO.

9. W przypadku otrzymania żądania na mocy art. 15-22 RODO od osoby, której dane dotyczą, Wykonawca bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 48 godzin po otrzymaniu żądania, przekazuje je do Zleceniodawcy, wraz ze wszystkimi innymi informacjami, które mogą pomóc Zleceniodawcy w ocenie możliwości spełnienia żądania, a także weryfikacji tożsamości osoby składającej żądanie. Wykonawca w zakresie realizacji żądań na mocy art. 15-22 RODO działa wyłącznie na podstawie poleceń Zleceniodawcy.

§4 Odpowiedzialność Wykonawcy

1. Wykonawca odpowiada za naprawienie wyrządzonej Zamawiającemu lub osobom trzecim szkody wynikłej z niewykonania lub nienależytego wykonania Umowy, a w szczególności z zastosowania lub nie zastosowania właściwych środków bezpieczeństwa, naruszenia obowiązków wynikających z RODO lub prawa polskiego oraz za udostępnienie danych osobom nieupoważnionym.

2. W razie niewykonania lub nienależytego wykonania przez Wykonawcę Umowy, Zamawiający jest uprawniony do żądania od Wykonawcy kary umownej w wysokości 10 000 zł. Zamawiający ma prawo dochodzić od Wykonawcy odszkodowania przenoszącego wysokość zastrzeżonej kary umownej.

3. W przypadku naruszenia przepisów RODO, prawa polskiego lub niniejszej Umowy z przyczyn leżących po stronie Wykonawcy, w następstwie, czego Zleceniodawca, jako administrator danych osobowych zostanie zobowiązany do zapłaty jakichkolwiek należności, Wykonawca zobowiązuje się pokryć Zleceniodawcy poniesione z tego tytułu wszelkie koszty.

§5 Czas obowiązywania Umowy

Niniejsza Umowa zostaje zawarta na czas określony od dnia 01.09.2023 do dnia 31.08.2024.

§6 Rozwiązanie Umowy

Zleceniodawca może rozwiązać Umowę ze skutkiem natychmiastowym, gdy Wykonawca:

1) wykorzystał dane osobowe w sposób niezgodny z Umową,

2) niewłaściwie przetwarza dane osobowe, pomimo uprzedniego wezwania do zmiany sposobu ich przetwarzania,

3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Zleceniodawcy,

4) nie ma zdolności do dalszego wykonywania Umowy.

§7 Obowiązki wykonawcy po rozwiązaniu Umowy

W przypadku rozwiązania umowy Wykonawca niezwłocznie, nie później niż w terminie do 14 dni kalendarzowych, zwróci wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, a także usunie z własnych systemów informatycznych oraz zniszczy dane osobowe przechowywane na własnych nośnikach danych lub w wersji papierowej, chyba że prawo Unii lub prawo polskie nakazują przechowywanie danych osobowych.

§8 Postanowienia końcowe

1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

2. W sprawach nieuregulowanych w Umowie mają zastosowanie przepisy RODO oraz prawa polskiego.

3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

CyberSafe Sp. z o.o. Publiczna Szkoła Podstawowa Nr 17 w Warszawie

Zleceniodawca Wykonawca

Załącznik nr 1

Oświadczenia Przetwarzającego:

1. Osoby wykonujące operacje na danych osobowych otrzymały upoważnienia do przetwarzania danych, w których został określony zakres przetwarzanych przez te osoby danych.

2. Osoby upoważnione zostały zobligowane do zachowania poufności.

3. Dostęp do powierzonych danych osobowych mają tylko uprawnieni pracownicy oraz współpracownicy, zgodnie z zasadą „wiedzy koniecznej”.

4. Została opracowana i wdrożona dokumentacja ochrony danych osobowych.

5. Zostały wdrożone procedury przesyłania danych drogą elektroniczną.

6. Zostały wdrożone procedury zabezpieczania nośników danych osobowych.

7. Zostały zapewnione niezbędne środki techniczne do ochrony nośników danych.

8. Zostały wdrożone procedury postępowania przy naruszeniach ochrony danych.

9. Dokumentacja ochrony danych podlega okresowym przeglądom.

10. Przetwarzający przeprowadza okresowe audyty zgodności z RODO.

11. Przetwarzający jest w stanie wykazać zgodność przetwarzania z postanowieniami niniejszej umowy powierzenia.

12. Osoby upoważnione przechodzą szkolenia z ochrony danych osobowych.

13. Zostały wdrożone środki ochrony elektronicznych nośników informacji oraz sprzętu komputerowego i mobilnego jak szyfrowanie, zapory systemowe, antywirusy.