Dostępność Dostępność
Rejestracja
0 Koszyk
  1. Strona główna
  2. Temat numeru
  3. Umowa powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych

  • 10 min. czytania
  • Aktualizacja: 27 sierpnia 2024 17 lipca 2018
Temat numeru

W postępowaniach o udzielenie zamówienia publicznego od dnia 25 maja 2018 r. zastosowanie mają przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L. Nr 119, str. 1).

Urząd Zamówień Publicznych opublikował „Wskazówki dotyczące prowadzenia postępowania o udzielenie zamówienia publicznego z uwzględnieniem regulacji RODO”, gdyż 
ww. rozporządzenie ma zastosowanie zarówno do postępowań o udzielenie zamówienia publicznego wszczętych 25 maja br., jak i do postępowań, które zostały wszczęte przed tą datą i pozostają w toku. 
Fakt, iż przepisom unijnym nadano formę rozporządzenia, a nie dyrektywy, nie jest bez znaczenia, bowiem zgodnie z art. 288 Traktatu o funkcjonowaniu Unii Europejskiej przepisy rozporządzeń unijnych – odmiennie niż jest to w przypadku dyrektyw – są skuteczne bezpośrednio. Należy jeszcze uzupełnić, że w orzecznictwie Trybunału Sprawiedliwości UE wywiedziono, iż chodzi o „pełny bezpośredni skutek”, tj. skuteczność nie tylko w stosunku na linii jednostka – państwo, lecz również na linii jednostka – jednostka (wyrok z dnia 14 grudnia 1971 r. w sprawie 43/71 Politi s.a.s.).

POLECAMY

Ważne!

W konsekwencji od 25 maja 2018 r. możliwe jest powoływanie się przez podmioty indywidualne (osoby fizyczne) bezpośrednio na przepisy rozporządzenia, z pominięciem istniejących regulacji krajowych. 

Rozporządzenie nadało osobom fizycznym wiele uprawnień w zakresie kontroli nad przetwarzaniem ich danych osobowych (m.in. prawo dostępu, prawo do sprostowania, prawo do usunięcia czy prawo do przeniesienia). Z tymi uprawnieniami sprzężono szereg obowiązków po stronie podmiotów przetwarzających dane osobowe. Ponadto nałożono na nie powinności w zakresie zapewnienia należytego poziomu bezpieczeństwa przetwarzanych danych osobowych. 
Określony w ramach rozporządzenia system praw i obowiązków oraz bezpośrednia skuteczność jego przepisów powodują, że przepisy te mają również znaczenie przy udzielaniu i realizowaniu zamówień publicznych. Chronione są dane osobowe nie tylko osób fizycznych, lecz również osób fizycznych prowadzących działalność gospodarczą oraz osób fizycznych – pracowników zatrudnionych u osób fizycznych prowadzących działalność gospodarczą oraz zatrudnionych/działających w strukturze osób prawnych. Równie szeroko rozumiane są terminy „przetwarzanie danych osobowych” (może chodzić o zbieranie, utrwalanie, przeglądanie, organizowanie, zmienianie, przekazywanie czy niszczenie danych osobowych) i „dane osobowe” (w zakres wchodzą takie dane, jak imiona, nazwiska, numery dowodów tożsamości, dane adresowe, numery telefonu, informacje związane z podstawą dysponowania, numery uprawnień do wykonywania określonej działalności czy zdjęcia obejmujące wizerunek). 
Tak szeroki zakres zastosowania przepisów rozporządzenia oznacza, że obejmuje ono dane osobowe udostępniane zamawiającemu w ramach postępowania o udzielenie zamówienia publicznego (np. jako element oferty, dokumentów podmiotowych i przedmiotowych czy wyjaśnień składanych wraz z dowodami), jak również dane w związku z realizacją umowy w sprawie zamówienia publicznego (np. dane szczegółowe, dane osób skierowanych do realizacji zamówienia ze strony wykonawcy ze wskazaniem stanowisk, danych kontaktowych tych osób, charakterystyki). Przekazywanie tych danych osobowych oznacza, że:

Ważne!

na gruncie przepisów rozporządzenia zamawiający ma status podmiotu przetwarzającego powierzone mu dane osobowe (art. 28 rozporządzenia), a wykonawca – status administratora udostępniającego dane osobowe (art. 24 rozporządzenia). 

Taka kwalifikacja zamawiającego i wykonawcy powoduje, że zgodnie z art. 28 ust. 3 rozporządzenia podmioty przekazujące tak szczegółowe dane, co do zasady, powinny przeanalizować kwestię zawarcia umowy powierzenia przetwarzania danych osobowych, w której określa się przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, wreszcie obowiązki i prawa administratora i podmiotu przetwarzającego. 
Poniżej przedstawiamy przykładowy wzór umowy obejmujący najważniejsze kwestie z punktu widzenia przepisów rozporządzenia i ochrony interesów zamawiającego. 

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta dnia …………… r. w …………… pomiędzy następującymi stronami:
…………………………………………………………………………...................... 
dalej jako „Podmiot przetwarzający”
reprezentowany przez:
…………………………………………………………………………......................
…………………………………………………………………………......................
a
…………………………………………………………………………......................
…………………………………………………………………………......................
dalej jako „Administrator”
reprezentowany przez:
…………………………………………………………………………......................
…………………………………………………………………………......................
– dalej razem jako „Strony”.
W związku z zawarciem dnia …………… r. w …………… umowy w sprawie zamówienia publicznego nr ……………, której przedmiotem jest realizacja zadania pn. ………………………………………………………………………………………………………………… (dalej jako „Umowa zasadnicza”) – co związane będzie z przetwarzaniem danych osobowych osób fizycznych zaangażowanych w wykonanie zadania – Strony zawierają niniejszą umowę powierzenia przetwarzania danych osobowych (dalej jako „Umowa”) w celu zapewnienia należytego bezpieczeństwa danych osobowych oraz wywiązania się z obowiązków wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz. Urz. UE
L. 119, str. 1; dalej jako „Rozporządzenie’’).

§ 1. Postanowienia ogólne
Działając na podstawie art. 28 ust. 3 Rozporządzenia Administrator powierza Podmiotowi przetwarzającemu – na zasadach i w celu określonym w Umowie – przetwarzanie danych osobowych wskazanych w § 2 Umowy. 
Podmiot przetwarzający oświadcza, że będzie przetwarzać powierzone mu dane osobowe wyłącznie na zasadach 
i w celu określonym przez Administratora w Umowie oraz zgodnie z Rozporządzeniem i innymi powszechnie obowiązującymi przepisami prawa.
Podmiot przetwarzający oświadcza, że posiada środki właściwe do przetwarzania powierzonych mu danych osobowych w zgodzie z Umową, Rozporządzeniem oraz innymi powszechnie obowiązującymi przepi-
sami prawa.

§ 2. Zakres danych 
osobowych podlegających udostępnieniu
Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe udostępnione w trakcie postępowania o udzielenie zamówienia publicznego wskazanego w Umowie zasadniczej oraz w ramach realizacji Umowy zasadniczej – w następującym zakresie: 

  • imiona i nazwiska;
  • numery dowodów tożsamości;
  • dane adresowe;
  • dane kontaktowe;
  • informacje związane z podstawą dysponowania;
  • numery uprawnień do prowadzenia działalności;
  • fotografie obejmujące wizerunek.

Dane osobowe wskazane w ust. 1 dotyczą następującej kategorii osób zaangażowanych w realizację Umowy zasadniczej: 

  • osób fizycznych zatrudnionych u Administratora; 
  • osób fizycznych prowadzących działalność gospodarczą; 
  • osób fizycznych zatrudnionych przez osoby prowadzące działalność gospodarczą;
  • osób fizycznych zatrudnionych w strukturze osób prawnych, na których zasoby Administrator powołał się w ofercie lub przy pomocy których wykonuje Umowę zasadniczą.

§ 3. Cel i zasady przetwarzania danych osobowych
Dane osobowe udostępnione Podmiotowi przetwarzającemu przez Administratora przetwarzane będą wyłącznie w celu realizacji Umowy zasadniczej.
Administrator uprawnia Podmiot przetwarzający do wykonywania operacji obejmujących powierzone dane osobowe w szczególności poprzez – zbieranie, utrwalanie, przeglądanie, organizowanie, przechowywanie, zmienianie, wykorzystywanie, usuwanie lub niszczenie. 
Administrator uprawnia Podmiot przetwarzający do wykonywania operacji, o których mowa w ust. 1 w formie elektronicznej, w systemach informatycznych Podmiotu przetwarzającego oraz w formie papierowej. 
Podmiot przetwarzający przetwarza dane osobowe na polecenie Administratora. 

§ 4. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający przy przetwarzaniu danych osobowych podejmuje środki zapewniające bezpieczeństwo przetwarzanych danych osobowych, w szczególności środki przewidziane w art. 32 Rozporządzenia. 
Podmiot przetwarzający zobowiązuje osoby przez siebie upoważnione do przetwarzania danych osobowych do zachowania tajemnicy.
Podmiot przetwarzający pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 Rozporządzenia.
Podmiot przetwarzający – w miarę możliwości oraz przy uwzględnieniu charakteru przetwarzanych danych osobowych – pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których przetwarzane dane dotyczą, w zakresie, w jakim osoby te wykonują prawa określone w rozdziale III Rozporządzenia. 
Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia. Podmiot przetwarzający zobowiązany jest udostępnić informacje w terminie nie krótszym niż 7 dni roboczych.

§ 5. Wezwanie do podjęcia działań przez Podmiot przetwarzający
Podmiot przetwarzający podejmuje działania, o których mowa w § 4 ust. 3–5, wyłącznie na pisemne wezwanie Administratora. W wezwaniu Administrator zobowiązany jest określić działania, jakich podjęcia oczekuje od Podmiotu przetwarzającego.
Podmiot przetwarzający informuje Administratora, jeżeli wydane mu polecenie stanowi naruszenie Umowy, Rozporządzenia lub innych powszechnie obowiązujących przepisów

§ 6. Współpraca ze współadministratorem
Administrator wyraża zgodę na zawarcie przez Podmiot przetwarzający – w trybie art. 26 Rozporządzenia – porozumienia o współadministrowaniu danymi osobowymi. 
Administrator wyraża zgodę na powierzenie przetwarzania danych osobowych, o których mowa w § 2 Umowy – na zasadach określonych w Umowie – również współadministratorowi. 

§ 7. Korzystanie z usług podprocesora
Administrator wyraża zgodę na korzystanie przez Podmiot przetwarzający z usług innego podmiotu przetwarzającego na podstawie art. 28 ust. 2 Rozporządzenia (dalej jako „Podprocesor”). 
Podmiot przetwarzający korzystający z usług Podprocesora informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia Podprocesora. Administrator może wyrazić sprzeciw w terminie 7 dni kalendarzowych od dnia otrzymania informacji. 
Podmiot przetwarzający może powierzyć dane osobowe objęte Umową Podprocesorom jedynie w celu wykonania Umowy zasadniczej.
Podmiot przetwarzający, podobnie jak Podprocesor, powinien korzystać z usług Podprocesorów gwarantujących wdrożenie odpowiednich środków licujących z wymogami określonymi w Umowie, Rozporządzeniu, w szczególności w art. 28 ust. 4 Rozporządzenia oraz innych powszechnie obowiązujących przepisach.

§ 8. Audyt u Podmiotu przetwarzającego
Podmiot przetwarzający umożliwia przeprowadzenie audytu Administratorowi lub audytorowi upoważnionemu przez Administratora.
Jeśli audyt nie jest prowadzony bezpośrednio przez Administratora, wykonać go może wyłącznie podmiot zaakceptowany przez Podmiot przetwarzający. Podmiot przetwarzający akceptuje zaproponowany przez Administratora podmiot w ciągu 7 dni roboczych. 
Audyt może się odbyć wyłącznie po wcześniejszym uzgodnieniu terminu przez Strony.

§ 9. Odpowiedzialność Podmiotu przetwarzającego
Podmiot przetwarzający odpowiada jedynie za szkody rzeczywiste powstałe u Administratora lub osób trzecich w związku z przetwarzaniem danych osobowych w sposób niezgodny z Umową. 
Jeśli na skutek stosowania się przez Podmiot przetwarzający do wskazówek lub poleceń Administratora dojdzie do niewykonania lub nienależytego wykonania umowy, Podmiot przetwarzający nie ponosi odpowiedzialności. 
Wykonanie przez Podmiot przetwarzający działań wskazanych przez Administratora w wezwaniu, o którym mowa 
w § 5 ust. 1 Umowy, zwalnia Podmiot przetwarzający z odpowiedzialności względem Administratora i osób trzecich, jeśli Administrator wywiąże się nienależycie z obciążających go obowiązków, o których mowa w art. 28 i 32–36 Rozporządzenia, oraz obowiązków wynikających z realizacji przez osoby uprawnione praw określonych w rozdziale III Rozporządzenia

§ 10. Uprawnienia i obowiązki Stron wynikające z Umowy zasadniczej

Umowa nie nakłada na Podmiot przetwarzający obowiązku wykonania jakichkolwiek dodatkowych czynności w ramach Umowy zasadniczej.
Umowa nie stanowi podstawy do wystąpienia przez Administratora z roszczeniem o zwiększenie wynagrodzenia przewidzianego w Umowie zasadniczej.

§ 11. Postanowienia końcowe
Niniejsza Umowa ma zastosowanie wyłącznie w przypadku faktycznego przetwarzania danych osobowych przez Podmiot przetwarzający.
Umowa wchodzi w życie z dniem jej zawarcia i obowiązuje do momentu wygaśnięcia Umowy zasadniczej.
Po wygaśnięciu Umowy zasadniczej Podmiot przetwarzający – na pisemny wniosek Administratora – usuwa bądź zwraca Administratorowi wszelkie udostępnione mu dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że w przepisach prawa powszechnie obowiązującego nakazano ich przechowywanie.
Niniejsza Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
W sprawach nieuregulowanych Umową zastosowanie będą miały przepisy prawa powszechnie obowiązującego, w szczególności Kodeksu cywilnego oraz Rozporządzenia.
Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
………………………………………..        ……………………………………….. 
(Podmiot przetwarzający)                (Administrator)
 

Przypisy

    Poprzedni wpis

    Nowy standard komunikacji

    Następny wpis

    Projekt ustawy o zmianie ustawy – Prawo zamówień publicznych

    Udostępnij:

    Podobne artykuły:

    Spór o RODO w zamówieniach publicznych

    Kwestie najważniejsze…

    RODO – wyzwanie dla zamawiających i wykonawców

    Ochrona danych osobowych w zamówieniach publicznych według RODO

    Zamknij