UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

nr …………………………………………..

(nr kolejny umowy/nr jednostki/rok)

zawarta w dniu ..............................., w Warszawie, pomiędzy:

Uniwersytetem Warszawskim z siedzibą Warszawie, przy ul. Xxxxxxxxxx Xxxxxxxxxxxx 00/00, 00-000 Xxxxxxxx, NIP 000-000-00-00, REGON: 000001258, reprezentowanym przez

......................................................................................... - …… ………................................... ,

działającego na podstawie pełnomocnictwa z dnia ………., zwanym dalej „Administratorem danych”

a (wypełnić właściwe i skreślić niepotrzebne)

• ........................................................................................., zam. ………..............................

(imię i nazwisko)

.............................................................................................................................................. , PESEL/ organ wydający i nr paszportu lub innego dowodu tożsamości osoby nie posiadającej numeru PESEL ………………………… ,¹

• ........................................................................................., zam. ………..............................

(imię i nazwisko)

.............................................................................................................................................. ,

NIP …………………………, REGON………………………….., prowadzącym działalność gospodarczą pod firmą…………………………………...²

Wydruk z Centralnej Ewidencji i Informacji o Działalności Gospodarczej stanowi załącznik do niniejszej umowy,

• …………………………………..……………………..zam.…………………………

(imię i nazwisko)

.………………………………………………………………NIP…………………………REGON………………………., i………………………….............zam…………………..

(imię i nazwisko)

…………………………......NIP………………………..REGON…………………..….., prowadzącymi działalność gospodarczą w ramach spółki cywilnej pod nazwą………………………………………………...,w………………….,NIP…………,REGON…………..,³reprezentowanymi przez:…………………..……,

^{(imię i nazwisko)}

Wydruki z Centralnej Ewidencji i Informacji o Działalności Gospodarczej, dotyczące wspólników spółki cywilnej stanowią załączniki do niniejszej umowy

• ......................................................................................... z siedzibą ………........................

.............................................................................................................................................. ,

wpisaną przez Sąd Rejonowy …………………………………………………………… do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod nr………………………,

NIP ………………………… ,

reprezentowaną przez ………………………………….. - ……………………………… ,

(imię i nazwisko) (xxxxxxx)

na podstawie odpisu ze wspomnianego KRS/ odpisu z KRS i pełnomocnictwa, stanowiącego/ych załącznik do niniejszej umowy⁴,

zwanym dalej „Podmiotem przetwarzającym”

- zwanymi dalej odrębnie „Stroną”, a łącznie „Stronami”,

o następującej treści:

§ 1
Powierzenie przetwarzania danych osobowych

1. W związku z realizacją umowy nr ……….. z dnia ………………… r., której przedmiotem jest ……………………………………………………………, Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
   o ochronie danych), zwanego dalej „RODO”, przetwarzanie danych osobowych, na zasadach i w celu określonym w niniejszej umowie.

2. Administrator danych oświadcza, że w rozumieniu RODO jest administratorem danych osobowych, które powierza.

3. Powierzone dane zawierają informacje o (Należy wskazać kategorie podmiotów danych, np. pracownicy, studenci itp.).

4. Podmiot przetwarzający oświadcza, że profesjonalnie zajmuje się działalnością objętą zakresem niniejszej umowy oraz gwarantuje, że ma odpowiednią wiedzę i zasoby do jej wykonania.

5. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora danych.

6. W związku z wykonywaniem niniejszej umowy żadnej ze Stron nie przysługuje wynagrodzenie.

§ 2
Zakres i cel przetwarzania danych

1. Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie niniejszej umowy następujące dane osobowe: (Należy wskazać kategorię danych osobowych, np. imiona, nazwiska, nr PESEL, nr telefonu, adres mailowy itp.)

2. Powierzone przez Administratora danych dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w związku i w celu wykonania umowy, o której mowa w § 1 ust. 1 i w sposób zgodny z niniejszą umową.

3. Dane osobowe będą przetwarzane przez Podmiot przetwarzający przy wykorzystaniu systemów informatycznych lub w wersji tradycyjnej (papierowej), wyłącznie w celu prawidłowej realizacji umowy, o której mowa w § 1 ust. 1.

4. Podmiot przetwarzający uprawniony jest do wykonywania na powierzonych danych osobowych jedynie takich operacji, które są niezbędne do wykonania umowy, o której mowa w § 1 ust. 1, tj.:

1. ……,

2. ……,

3. ……,

(Należy opisać jakie kategorie operacji Przetwarzający będzie wykonywać na danych w celu wykonania umowy o której mowa w §1 ust. 1: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie)

§ 3
Sposób wykonania umowy

1. Podmiot przetwarzający w każdym przypadku będzie dokonywał przetwarzania powierzonych danych osobowych wyłącznie zgodnie z przepisami prawa, niniejszą umową oraz dobrymi praktykami, stosowanymi w dziedzinie ochrony danych osobowych. Strony przez przepisy prawa rozumieją wszelkie akty prawa krajowego i europejskiego obowiązujące Administratora danych i Podmiot przetwarzający teraz lub w przyszłości,
   z uwzględnieniem ich ewentualnych zmian, które nastąpią w okresie obowiązywania niniejszej umowy.

2. Podmiot przetwarzający oświadcza, iż prowadzi rejestr kategorii czynności przetwarzania oraz dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami, umożliwiającymi przetwarzanie danych zgodnie z RODO. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych, do ich zabezpieczenia poprzez podjęcie środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu
   z przetwarzaniem danych, w szczególności wynikającemu z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3. Do przetwarzania danych Podmiot przetwarzający dopuści jedynie osoby, które:

1. zostały przeszkolone przez Podmiot przetwarzający z tematyki ochrony danych osobowych;

2. posiadają indywidualne upoważnienia do przetwarzania danych, nadane przez Podmiot przetwarzający;

3. zobowiązały się w formie pisemnej do przestrzegania zasad ochrony danych osobowych, w tym do bezterminowego zachowania w tajemnicy treści danych, jak również sposobów ich zabezpieczania, oraz oświadczyły, iż znają obowiązujące przepisy prawa.

§ 4
Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się do przetwarzania danych wyłącznie w celu
   i w zakresie określonym niniejszą umową.

2. Podmiot przetwarzający będzie prowadził ewidencję osób upoważnionych do przetwarzania danych, w tym mających dostęp do systemów informatycznych, w których przetwarzane są dane.

3. Podmiot przetwarzający zobowiązuje się nie ujawniać osobom nieupoważnionym informacji o danych, zwłaszcza o środkach ochrony i zabezpieczeniach stosowanych
   w odniesieniu do danych przez Podmiot przetwarzający lub Administratora danych.

4. W razie potrzeby Administrator danych może wydać Podmiotowi przetwarzającemu szczegółowe zalecenia, dotyczące przetwarzania danych zgodnie z niniejszą umową, zwłaszcza dotyczące zabezpieczenia danych, a Podmiot przetwarzający zobowiązany jest niezwłocznie zastosować się do zaleceń Administratora danych.

5. W miarę możliwości Podmiot przetwarzający udzieli pomocy Administratorowi danych,
   w zakresie niezbędnym do odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32 – 36 RODO.

6. Podmiot przetwarzający zobowiązuje się do:

1. udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji niezbędnych do wykazania spełnienia obowiązków Podmiotu przetwarzającego, wynikających z przepisów regulujących ochronę danych osobowych (w szczególności RODO), w terminie do 7 dni od dnia przyjęcia żądania;

2. niezwłocznego, skutecznego poinformowania Administratora danych o:

1. każdym przypadku naruszenia ochrony danych, tj. wszelkich sytuacjach stanowiących naruszenie przepisów o ochronie danych osobowych lub niniejszej umowy, zwłaszcza mogących skutkować odpowiedzialnością Administratora danych lub Podmiotu przetwarzającego na podstawie obowiązujących przepisów prawa (w tym o naruszeniu tajemnicy danych lub ich niewłaściwym wykorzystaniu), nie później jednak niż
   w ciągu 24 godzin od stwierdzenia danego zdarzenia. Powiadomienie powinno być dokonane drogą elektroniczną na następujące adresy e-mail: ................................................
   i opisywać charakter naruszenia oraz kategorie danych, których naruszenie dotyczy,

2. każdym prawnie umocowanym żądaniu udostępnienia danych właściwemu organowi publicznemu,

3. każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza,
   w zakresie przetwarzania jej danych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba że zostanie do tego upoważniony przez Administratora danych,

4. jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych,

5. jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach, dotyczących przetwarzania danych, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych.

7. Podmiot przetwarzający umożliwi upoważnionym pracownikom Administratora danych dokonanie w godzinach pracy Podmiotu przetwarzającego sprawdzenia w formie audytu stanu ochrony i bezpieczeństwa danych osobowych, w zakresie zgodności przetwarzania
   z RODO oraz postanowieniami niniejszej umowy.

8. Podmiot przetwarzający ma obowiązek współdziałać z pracownikami Administratora danych w czynnościach sprawdzających, o których mowa w ust. 7.

9. Podmiot przetwarzający udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków, określonych w art. 28 RODO.

10. Podmiot przetwarzający zobowiązuje się poinformować swoich pracowników
    o obowiązkach wynikających z przepisów regulujących ochronę danych osobowych oraz
    z niniejszej umowy.

§ 5
Podpowierzenie przetwarzania danych

1. Podmiot przetwarzający może powierzyć dane osobowe do dalszego przetwarzania innemu podmiotowi przetwarzającemu tylko po uzyskaniu uprzedniej pisemnej zgody Administratora danych.

2. Inny podmiot przetwarzający musi spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w celu wykonania niniejszej umowy.

3. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora danych za niewywiązanie się z obowiązków spoczywających na innym podmiocie przetwarzającym.

4. Przekazanie powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić tylko na pisemne polecenie Administratora danych.
   W przypadku posiadania takiego obowiązku prawnego przez Podmiot przetwarzający, powiadamia on o tym Administratora danych przed rozpoczęciem przetwarzania.

§ 6
Prawa i obowiązki Administratora danych

1. Administrator danych zobowiązuje się poinformować Podmiot przetwarzający
   o zamiarze przeprowadzenia audytu w formie pisemnej lub pocztą elektroniczną, na przynajmniej 7 dni roboczych przed planowanym terminem takiego sprawdzenia. Administrator danych dołoży starań, aby czynności wykonywane w ramach audytu nie zakłócały działalności Podmiotu przetwarzającego.

2. Przedstawiciele Administratora danych są uprawnieni do wstępu do pomieszczeń, w których przetwarzane są dane osobowe oraz żądania od Podmiotu przetwarzającego udzielania informacji, dotyczących przebiegu przetwarzania danych osobowych.

3. Na zakończenie audytu, o którym mowa w ust. 1, przedstawiciel Administratora danych sporządza protokół w 2 egzemplarzach, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający może wnieść zastrzeżenia do protokołu w ciągu 5 dni roboczych od daty jego podpisania przez Strony. Podmiot przetwarzający zobowiązuje się dostosować do zaleceń zawartych w protokole, o którym mowa w zdaniu poprzedzającym, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych, w terminie wyznaczonym przez Administratora danych.

§ 7
Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający ponosi pełną odpowiedzialność za szkodę Administratora danych lub innych podmiotów i osób, powstałą w wyniku przetwarzania danych osobowych:

1. niezgodnie z RODO lub innymi przepisami, w zakresie dotyczącym Administratora danych, lub

2. niezgodnie z niniejszą umową, lub

3. bez zgodnego z prawem polecenia Administratora danych albo wbrew takiemu poleceniu.

2. W zakresie, w jakim zgodnie z RODO za szkodę osoby, której dane dotyczą, odpowiadają Administrator danych i Podmiot przetwarzający, ich odpowiedzialność wobec tej osoby jest solidarna.

§ 8

Okres obowiązywania umowy i warunki zakończenia współpracy

1. Umowa zostaje zawarta na czas określony od dnia ..… do dnia ……

(lub na czas obowiązywania umowy, o której mowa w §1 ust. 1)

2. Administrator danych ma prawo rozwiązać niniejszą umowę bez zachowania terminu wypowiedzenia, jeżeli:

1. Podmiot przetwarzający wykorzystał dane osobowe w sposób niezgodny z niniejszą umową, w szczególności udostępnił dane osobowe osobom nieupoważnionym;

2. Podmiot przetwarzający powierzył przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu bez uprzedniej zgody Administratora danych lub nie poinformował Administratora danych o przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

3. w wyniku kontroli przeprowadzonej przez uprawniony organ zostało stwierdzone, że Podmiot przetwarzający przetwarza dane osobowe z naruszeniem przepisów regulujących ochronę danych osobowych i Podmiot przetwarzający nie zaprzestał niewłaściwego przetwarzania danych osobowych;

4. Administrator danych stwierdził nieprawidłowości w przetwarzaniu danych osobowych lub naruszenie niniejszej umowy, a Podmiot przetwarzający
   w wyznaczonym przez Administratora danych terminie nie usunął uchybień,

5. Podmiot przetwarzający zawiadomi o swojej niezdolności do dalszego wykonywania niniejszej umowy, a w szczególności o niespełnianiu wymagań określonych w § 3.

3. Po rozwiązaniu niniejszej umowy, Podmiot przetwarzający niezwłocznie zwróci Administratorowi danych wszelkie materiały lub nośniki z danymi osobowymi, które pozostają w dyspozycji jego i innych podmiotów przetwarzających oraz podejmie stosowne działania, mające na celu wyeliminowanie możliwości dalszego przetwarzania danych osobowych, a ponadto usunie dane osobowe w sposób uniemożliwiający ich odtworzenie
   z wszelkich posiadanych przez siebie i inne podmioty przetwarzające nośników informacji (w tym również z kopii zapasowych), z zastrzeżeniem ust. 4.

4. W przypadku, gdy prawo Unii lub prawo państwa członkowskiego nakazują Podmiotowi przetwarzającemu lub innemu podmiotowi przetwarzającemu przechowywanie danych osobowych przez okres wskazany w tych przepisach, Podmiot przetwarzający lub inny podmiot przetwarzający mają prawo przechowywać dane osobowe wyłącznie
   w zakresie koniecznym do wykonania tego obowiązku prawnego.

5. Zwrot, o którym mowa w ust. 3, odbędzie się na podstawie sporządzonego przez Strony
   w dwóch jednobrzmiących egzemplarzach protokołu zwrotu, podpisanego przez ich upoważnionych przedstawicieli. W protokole odnotowuje się w jakim zakresie i przez jaki okres właściwe przepisy prawa nakazują Podmiotowi przetwarzającemu przechowywanie danych osobowych.

§ 9
Zasady zachowania poufności

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej (dane poufne).

2. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania
   w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie niniejszej umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub niniejszej umowy.

§ 10

Postanowienia końcowe

1. W sprawach nieuregulowanych niniejszą umową zastosowanie znajdują odpowiednie przepisy prawa powszechnie obowiązującego, w tym przepisy Kodeksu cywilnego oraz RODO, a także inne przepisy dotyczące ochrony danych osobowych.

2. Wszelkie zmiany niniejszej umowy i jej rozwiązanie wymagają zachowania formy pisemnej pod rygorem nieważności.

3. Jeżeli jedno lub więcej postanowień niniejszej umowy będzie lub stanie się nieważne lub bezskuteczne, nie wpływa to na ważność lub skuteczność pozostałych postanowień umowy. Po podjęciu wiedzy w przedmiocie nieważności jakichkolwiek postanowień niniejszej umowy, Strony niezwłocznie sporządzą pisemny aneks do umowy, którym uchylą wadliwe postanowienia i w razie konieczności zastąpią je nowymi.

4. Wszystkie spory, nieporozumienia, czy roszczenia wynikłe lub powstałe w związku
   z wykonywaniem niniejszej umowy, Strony będą starały się rozwiązać polubownie. Gdy polubowne rozstrzygnięcie nie zostanie osiągnięte, wszelkie spory wynikające
   z niniejszej umowy będą rozstrzygane przez sąd powszechny właściwy miejscowo dla siedziby Administratora danych.

5. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, w tym dwa dla Administratora danych i jeden dla Podmiotu przetwarzającego.

......................................... ADMINISTRATOR DANYCH ......................................... PODMIOT PRZETWARZAJĄCY

1 Dane dot. kontrahenta, który jest osobą fizyczną nieprowadzącą działalności gospodarczej.

2 Dane dot. kontrahenta, który jest osobą fizyczną prowadzącą działalność gospodarczą.

3 Dane dot. kontrahentów, którzy prowadzą działalność gospodarczą w ramach spółki cywilnej.

4 Dane dot. kontrahenta, który jest osobą prawną lub jednostką organizacyjną posiadającą zdolność prawną.