Umowa powierzenia przetwarzania danych osobowych w celu niszczenia dokumentów

Umowa powierzenia przetwarzania danych osobowych w celu niszczenia dokumentów

zawarta w dniu [OKRES] r. w [ADRES] pomiędzy:

[FIRMA]

zwanym w dalszej części umowy Administratorem,

a

[FIRMA]

zwanym w dalszej części umowy Procesorem.

Celem niniejszej umowy jest uregulowanie zasad powierzania danych w związku z usługą trwałego zniszczenia dokumentów zawierających dane osobowe w sposób uniemożliwiający ich odtworzenie.

§1Definicje

1. Administrator danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

2. Ogólne rozporządzenie o ochronie danych osobowych lub RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia [OKRES] r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy [SYGNATURA] (ogólne rozporządzenie o ochronie danych) ([SYGNATURA]).

3. Przepisy o ochronie danych osobowych - ustawa, ogólne rozporządzenie o ochronie danych osobowych oraz przepisy wykonawcze.

4. Ustawa - Ustawa z dnia [OKRES] roku o ochronie danych osobowych (t.j. [SYGNATURA]).

§2Oświadczenia stron

1. Administrator oświadcza, że jest administratorem danych osobowych powierzanych w rozumieniu i na zasadach określonych w przepisach RODO, które przetwarza zgodnie z obowiązującymi przepisami prawa.

2. Procesor oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami o ochronie danych osobowych, a także informacjami wskazanymi w załączniku nr 1 do niniejszej umowy.

3. Procesor oświadcza, że będzie przetwarzać powierzone dane osobowe na podstawie zawartej umowy powierzenia, a także udokumentowanych poleceń Administratora wydanych w oparciu o niniejszą umowę, chyba że obowiązek przetwarzania nakładają na niego przepisy prawa. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny.

4. Procesor powiadamia Administratora, jeżeli w jego opinii polecenie wydane przez Administratora narusza przepisy o ochronie danych osobowych lub obowiązujące przepisy Unii.

§3Powierzenie danych osobowych

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu objętym niniejszą umową.

2. Procesor może przetwarzać dane osobowe przekazane przez Administratora tylko i wyłącznie w zakresie i w celu określonych w niniejszej umowie.

3. Powierzenie obejmuje dane osobowe zawarte w dokumentach przekazanych Procesorowi do trwałego i nieodwracalnego zniszczenia, w szczególności dane osobowe zawarte w [RODZAJ DANYCH].

4. Administrator w ramach powierzenia zleca Procesorowi bezpowrotne zniszczenie przekazanych danych osobowych, bez uprawnienia do ich przetwarzania w jakimkolwiek innym celu.

5. Powierzenie uprawnia jedynie do zniszczenia danych, nie daje Procesorowi prawa do zapoznawania się z treścią dokumentów, ich przekazywania, upubliczniania, dalszego przechowywania lub niszczenia w sposób umożliwiający odtworzenie.

6. Procesor zgodnie z art. [NUMER ARTYKUŁU] RODO udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie, a także art. [NUMER ARTYKUŁU] RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

§4Zobowiązania i uprawnienia Procesora

1. Procesor zobowiązuje się przed przystąpieniem do przetwarzania powierzonych przez administratora danych wdrożyć i utrzymywać przez czas przetwarzania wszelkie środki i zabezpieczenia związane z przetwarzaniem danych, zgodnie z wymaganiami ustawy oraz rozporządzenia, w szczególności zapewni odpowiednie zabezpieczenia techniczne i informatyczne systemów służących do przetwarzania powierzonych na mocy niniejszej umowy danych osobowych zgodnie z art. [NUMER ARTYKUŁU] RODO.

2. Procesor nie może powierzać przetwarzania powierzonych przez Administratora danych innym podmiotom, bez uprzedniej pisemnej zgody Administratora danych.

3. Procesor oświadcza, że przeszkolił osoby zatrudnione przy przetwarzaniu danych z przepisów o ochronie danych osobowych i nadał im odpowiednie upoważnienia, a także zobligował je do zachowania danych oraz sposobów ich zabezpieczeń w poufności.

4. W przypadku naruszenia ochrony danych osobowych, Procesor bez zbędnej zwłoki, w miarę możliwości, ale nie później niż w terminie [OKRES] godzin po stwierdzeniu naruszenia, zgłasza je Administratorowi. Zgłoszenie musi co najmniej opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Zawierać [DANE KONTAKTOWE OSOBY DO ZGŁOSZENIA]. Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych. Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Procesor wspiera Administratora w realizowaniu obowiązków wynikających z art. [NUMER ARTYKUŁU] RODO.

5. Procesor niezwłocznie poinformuje Administratora o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przez organ nadzorczy lub organy ścigania.

6. W przypadku otrzymania od osoby, której dane dotyczą żądania na podstawie art. [NUMER ARTYKUŁU] RODO, Procesor przekazuje je niezwłocznie Administratorowi, a także wspiera Administratora w realizowaniu praw osób, których dane dotyczą.

7. Procesor udostępnia administratorowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z niniejszej umowy oraz przepisów o ochronie danych osobowych, w tym umożliwia Administratorowi lub wyznaczonym przez niego audytorom przeprowadzenie audytów czynności przetwarzania objętych niniejszą umową i uczestniczy w tych audytach.

8. Administrator powiadomi Procesora o planowanym audycie co najmniej [OKRES] dni przed planowaną datą jego rozpoczęcia.

9. Procesor nie jest uprawniony do przekazywania powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek takiego przekazania wynika ze szczególnego wymogu na mocy polskich przepisów prawa lub prawa Unii.

§5Postanowienia końcowe

1. Umowa zostaje zawarta do dnia [OKRES], tzn. ostatecznego terminu trwałego i nieodwracalnego zniszczenia powierzonych danych osobowych. Administrator może rozwiązać umowę we wcześniejszym terminie i zażądać niezwłocznego zwrotu powierzonych danych, w przypadku stwierdzenia niewywiązywania się przez Procesora z obowiązków wynikających z niniejszej umowy lub przepisów powszechnie obowiązującego prawa.

2. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy oraz powiązanych z nią aktów wykonawczych.

3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

[IMIĘ] [NAZWISKO]                [IMIĘ] [NAZWISKO]w imieniu Administratora danych          w imieniu Procesora

Załączniki:nr 1 - Pytania dla Procesora

Załącznik nr 1Pytania dla Procesora:

[PYTANIE]Odpowiedź: [OKRES]