Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia danych osobowych przetwarzanych w BIP

zawarta w dniu 25.05.2023 r. w Warszawie pomiędzy:

Ministerstwo Cyfryzacji

zwanym w dalszej części umowy Administratorem,

a

ABC Informatyka Sp. z o.o.

zwanym w dalszej części umowy Procesorem.

Celem niniejszej umowy jest uregulowanie zasad powierzania danych w związku z usługą realizowaną przez Procesora, która wymaga przetwarzania danych osobowych zawartych w Biuletynie Informacji Publicznej dostępnym pod adresem https://www.gov.pl/web/mc

§1Definicje

1. Administrator danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

2. Ogólne rozporządzenie o ochronie danych osobowych lub RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

3. Przepisy o ochronie danych osobowych - ustawa, ogólne rozporządzenie o ochronie danych osobowych oraz przepisy wykonawcze.

4. Ustawa- ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.

§2Oświadczenia stron

1. Administrator oświadcza, że jest administratorem danych osobowych powierzanych w rozumieniu i na zasadach określonych w przepisach RODO, które przetwarza zgodnie z obowiązującymi przepisami prawa.

2. Procesor oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami o ochronie danych osobowych, a także informacjami wskazanymi w załączniku nr 1 do niniejszej umowy¹.

§3Powierzenie danych osobowych

1. Administrator powierza Procesorowi przetwarzanie danych osobowych w zakresie i celu objętym niniejszą umową.

¹ W załączniku wskazano przykładowe pytania do Procesora. Administrator powinien te pytania dobrać indywidualnie. Załącznik nr 1 powinien zostać przesłany Procesorowi wcześniej, aby mógł się z nim zapoznać i go uzupełnić.

2. Procesor może przetwarzać dane osobowe przekazane przez Administratora tylko i wyłącznie w zakresie i w celu określonych w niniejszej umowie.

3. Powierzenie danych obejmuje dane osobowe przetwarzane w ramach BIP Administratora w szczególności w zakresie²:

a. danych użytkowników, w tym redaktorów, mających dostęp do BIP, w zakresie imię, nazwisko, login, adres email, numer telefonu;

b. danych pracowników i współpracowników zamieszczanych w BIP w związku z wypełnianiem obowiązków prawnych ciążących na Administratorze w zakresie imię, nazwisko, stanowisko, adres email, numer telefonu i wykształcenie³;

c. danych kandydatów do pracy w związku z ogłoszeniem wyników postępowania kwalifikacyjnego w zakresie imię, nazwisko, wykształcenie, wynik testu;

d. danych przetwarzanych w związku z postępowaniami w ramach konkursów, w szczególności imię, nazwisko, adres, numer telefonu w zakresie uzasadnienia wyboru kandydata oraz imię i nazwisko w ramach postępowania;

e. danych zawartych w publikowanych w BIP oświadczeniach majątkowych;

f. danych zawartych w wydanych decyzjach administracyjnych;

g. danych zawartych w publikowanych informacjach publicznych w szczególności imię, nazwisko, adres, numer telefonu, stanowisko, wykształcenie w zakresie niezbędnym do udzielenia informacji publicznej;

h. inne dane o charakterze osobowym, których opublikowanie będzie niezbędne ze względu na ciążący na adminstratorze obowiązek prawny.

4. Administrator oświadcza, że powierzenie nie obejmuje danych osobowych, o których mowa w art. 9 ust. 1 i 10 RODO.

5. W ramach zawartego powierzenia Procesor może przetwarzać ww. dane w celu zapewnienia usługi systemu BIP pod adresem https://www.gov.pl/web/mc, w tym zapewnienia poufności, integralności oraz rozliczalności przetwarzanych w ramach BIP danych, poprzez:

a. wdrożenie odpowiednich zabezpieczeń technicznych systemu (szyfrowanie danych, firewall, antywirus, system kontroli dostępu, systemy monitorowania);

b. tworzenie i usuwanie kont użytkowników, a także zarządzanie ich uprawnieniami;

c. wsparcie techniczne użytkowników Administratora;

d. regularne tworzenie kopii zapasowych danych;

e. niezwłoczne odzyskiwanie kopii zapasowych danych;

f. nieodwracalne usuwanie lub anonimizowanie danych na żądanie Administratora;

g. inne czynności techniczne w zakresie niezbędnym do poprawnego świadczenia usługi.

6. Procesor zgodnie z art. 28 ust. 3h RODO udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie.

7. Uwzględniając charakter przetwarzania oraz dostępne mu informacje Procesor, pomaga Administratorowi wywiązać się z obowiązków określonych art. 32-36 RODO oraz umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

² Wskazano przykładowy zakres, należy go zweryfikować, ponieważ specyfika podmiotu może być różna, a zatem zakres danych też może być węższy lub szerszy.

³ Jeżeli nie ma zastosowania usunąć tekst napisany kursywą.

§4Zobowiązania i uprawnienia Procesora

1. Procesor zobowiązuje się przed przystąpieniem do przetwarzania powierzonych przez administratora danych wdrożyć i utrzymywać przez czas przetwarzania wszelkie środki i zabezpieczenia związane z przetwarzaniem danych, zgodnie z wymaganiami ustawy oraz rozporządzenia, w szczególności zapewni odpowiednie zabezpieczenia techniczne i informatyczne systemów służących do przetwarzania powierzonych na mocy niniejszej umowy danych osobowych i zgodnie z art. 24 i 32 RODO.

2. Procesor nie może powierzać przetwarzania powierzonych przez Administratora danych innym podmiotom, bez uprzedniej pisemnej zgody Administratora danych.

3. Procesor oświadcza, że przeszkolił osoby zatrudnione przy przetwarzaniu danych z przepisów o ochronie danych osobowych i nadał im odpowiednie upoważnienia.

4. Procesor zobowiązał osoby zatrudnione przy przetwarzaniu danych do zachowania wszelkich danych oraz sposobów ich zabezpieczeń w poufności.

5. Procesor zobowiązuje się do wykorzystywania tylko i wyłącznie urządzeń i systemów spełniających wymagania określone w przepisach o ochronie danych osobowych.

6. W przypadku naruszenia ochrony danych osobowych, Procesor bez zbędnej zwłoki- w miarę możliwości, nie później niż w terminie 24 godzin po stwierdzeniu naruszenia- zgłasza je Administratorowi. Zgłoszenie musi co najmniej opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, zawierać imię i nazwisko oraz dane kontaktowe osoby do kontaktu w sprawie naruszenia, opisywać zgodność procesów przetwarzania z przepisami, opisywać możliwe konsekwencje naruszenia ochrony danych osobowych, a także opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

7. Procesor niezwłocznie poinformuje Administratora o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przez organ nadzorczy lub organy ścigania.

8. W przypadku otrzymania od osoby, której dane dotyczą żądania na podstawie art. 15-22 RODO, Procesor przekazuje je niezwłocznie Administratorowi.

9. Po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora Procesor usunie lub zwróci Administratorowi wszelkie dane osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

§5Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują przepisy ustawy oraz powiązanych z nią aktów wykonawczych, a także RODO i kodeksu cywilnego.

2. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

3. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

Jan Kowalskiw imieniu Administratora danych

Anna Nowakw imieniu Procesora

Załącznik nr 1- ankieta dla Procesora

Załącznik nr 1

Pytania dla Procesora

1. Czy osoby wykonujące operacje na danych osobowych otrzymały od Procesora upoważnienia do przetwarzania danych, w których został określony zakres przetwarzanych przez te osoby danych?Odpowiedź: Tak

2. Czy zostały opracowane procedury nadawania uprawnień do przetwarzania danych osobowych?Odpowiedź: Tak

3. Czy pracownicy, współpracownicy oraz podwykonawcy Procesora są obligowani do zachowania poufności? W jaki sposób?Odpowiedź: Tak, poprzez podpisanie klauzuli poufności.

4. Czy Procesor prowadzi rejestr czynności oraz rejestr kategorii czynności przetwarzania danych, o których mowa w art. 30 RODO? Jeżeli nie, proszę uzasadnić przyczynę.Odpowiedź: Tak

5. Czy Procesor opracował i wdrożył dokumentację ochrony danych osobowych, do której przestrzegania są zobligowane wszystkie osoby upoważnione?Odpowiedź: Tak

6. Czy dokumentacja podlega okresowym przeglądom i aktualizacjom? Jeżeli tak, jak często?Odpowiedź: Tak, co roku.

7. Czy Procesor jest w stanie wykazać zgodność przetwarzania danych z przepisami o ochronie danych osobowych? Jeżeli tak, w jaki sposób?Odpowiedź: Tak, poprzez dokumentację i audyty.

8. Czy osoby upoważnione przechodzą wstępne i okresowe szkolenia w zakresie ochrony danych osobowych oraz wewnętrznych procedur ochrony danych? Jeżeli tak, w jaki sposób jest to dokumentowane?Odpowiedź: Tak, poprzez listy obecności i testy.

9. Czy Procesor wyznaczył inspektora ochrony danych? Jeżeli nie, proszę opisać kto odpowiada za nadzorowanie zgodności przetwarzania z przepisami.Odpowiedź: Tak

10. Czy w ciągu dwóch ostatnich lat u Procesora był przeprowadzany zewnętrzny audyt zgodności z przepisami o ochronie danych osobowych?Odpowiedź: Tak

11. Czy Procesor przeprowadza wewnętrzne audyty zgodności z przepisami o ochronie danych osobowych? Jak często?Odpowiedź: Tak, co pół roku.

12. Czy Procesor sprawdza swoich podwykonawców w zakresie zapewnienia należytej staranności przy przetwarzaniu powierzonych im danych? W jaki sposób?Odpowiedź: Tak, poprzez audyty i weryfikację dokumentacji.

13. Proszę wskazać jakie środki ochrony fizycznej w budynku oraz pomieszczeniach, w tym obszarów przetwarzania danych jak serwerownie, czy archiwa zostały zastosowane.Odpowiedź: Kontrola dostępu, monitoring, systemy alarmowe.

14. Proszę wskazać środki ochrony zastosowane do ochrony danych przetwarzanych w formie elektronicznej, które są wykorzystywane przez Procesora.Odpowiedź: Szyfrowanie, firewalle, antywirusy.

15. Czy każdy użytkownik otrzymuje imienny identyfikator do systemów informatycznych?Odpowiedź: Tak

16. Czy Procesor zapewnił procedury zarządzania dostępami oraz hasłami do systemów informatycznych służących do przetwarzania danych osobowych? Proszę opisać.Odpowiedź: Tak, hasła muszą mieć minimum 8 znaków, w tym wielkie i małe litery oraz cyfry. Zmiana hasła co 3 miesiące.

17. Czy zostały wprowadzone zasady przesyłania danych osobowych przez użytkowników drogą elektroniczną? Proszę opisać.Odpowiedź: Tak, szyfrowanie wiadomości.

18. Czy Procesor zapewnia środki niezbędne do niszczenia nośników danych osobowych (papierowe oraz elektroniczne), a także procedury ich niszczenia? Proszę opisać.Odpowiedź: Tak, niszczarki dokumentów, demagnetyzacja dysków.

19. Czy tworzone kopie zapasowe są przechowywane w innej lokalizacji niż serwer, na którym znajduje się system?Odpowiedź: Tak

20. Czy stosuje się szyfrowanie powierzonych przetwarzanych danych?Odpowiedź: Tak

21. Czy zapewniono zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia ochrony danych osobowych? Jaki jest czas przywrócenia danych z kopii zapasowej z BIP?Odpowiedź: Tak, 24 godziny.

22. Jaki przyjęto zakres oraz częstotliwość tworzenia kopii zapasowych dla BIP? Proszę określić procedurę tworzenia kopii.Odpowiedź: Pełna kopia co dobę, przyrostowa co godzinę.

23. Czy Procesor jest w stanie wspierać Administratora w realizowaniu praw osób, których dane dotyczą, jeżeli wpłynie takie żądanie?Odpowiedź: Tak

24. Czy powierzone dane będą przetwarzane jedynie na terenie EOG?Odpowiedź: Tak