WZÓR UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (dalej jako: „Umowa powierzenia”) zawarta ……………………………… r. / w formie elektronicznej pomiędzy:

17/POIR/2022 Załącznik nr 8

WZÓR

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(dalej jako: „Umowa powierzenia”)

zawarta ……………………………… r. / w formie elektronicznej pomiędzy:

Fundacją na rzecz Nauki Polskiej z siedzibą w Warszawie (02-611), przy xx. X. Xxxxxxxxxxx 00/00, wpisaną do rejestru stowarzyszeń, innych organizacji społecznych i zawodowych, fundacji oraz samodzielnych publicznych zakładów opieki zdrowotnej prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000109744, NIP 000-00-00-000, REGON 012001533,

reprezentowaną przez:

…

zwaną dalej: „Administratorem danych” lub „Zamawiającym”,

a

…

reprezentowaną przez:

…

zwaną dalej: Procesorem lub „Wykonawcą”.

Administrator i Procesor są zwani dalej łącznie „Stronami”, a każdy z nich z osobna „Stroną”.

Mając na uwadze, że Strony zawarły Umowę na świadczenie usługi z zakresu pomocy publicznej przy realizacji projektów B+R i komercjalizacji badań naukowych (nr umowy ………) zwaną dalej „Umową”, a współpraca Stron w ramach wykonywania Umowy wymaga powierzenia Procesorowi do przetwarzania danych osób, do których Wykonawca będzie miał dostęp w związku z realizacją Umowy, Strony zgodnie postanowiły, co następuje:

§1. Przedmiot Umowy

1. Wszelkie terminy pisane w Umowie powierzenia z wielkiej litery mają znaczenie nadane im w Umowie, chyba że Umowa powierzenia wyraźnie stanowi inaczej.

2. W związku z wykonywaniem Umowy, Administrator danych powierza Procesorowi do przetwarzania dane osobowe osób fizycznych, do których Procesor będzie miał dostęp w związku z realizacją Umowy (dalej jako: „Dane osobowe”) na zasadach określonych w Umowie powierzenia, z zastrzeżeniem ust. 4 poniżej.

3. Z tytułu wykonywania świadczeń określonych w Umowie powierzenia Procesorowi nie przysługuje dodatkowe wynagrodzenie ponad wynagrodzenie określone w Umowie.

4. W sytuacjach, w których Wykonawca nie posiada statusu odrębnego, niezależnego od Zamawiającego administratora danych osobowych, Zamawiający powierza Wykonawcy przetwarzanie danych osobowych na zasadach określonych w niniejszej Umowie powierzenia. W przypadku posiadania przez Wykonawcę statusu administratora danych osobowych zastosowanie mają postanowienia ust. 5-6 poniżej.

5. W związku ze świadczeniem usług przez Wykonawcę na rzecz Zamawiającego, Zamawiający może udostępnić Wykonawcy dane osobowe, których jest administratorem. Niezależnym, odrębnym od Zamawiającego administratorem tak udostępnionych danych osobowych staje się Wykonawca.

6. Tak udostępnione dane osobowe Wykonawca przetwarza w celu zawarcia lub wykonania Umowy (podstawą ich przetwarzania jest niezbędność do realizacji umowy lub podjęcie działań na żądanie Zamawiającego przed zawarciem ew. umowy), w celach rachunkowych i podatkowych (podstawą ich przetwarzania są przepisy prawa) oraz w celu ustalenia, dochodzenia i obrony przed ewentualnymi roszczeniami (podstawą ich przetwarzania jest uzasadniony interes Wykonawcy).

§2. Rodzaj danych

1. Zakres powierzonych do przetwarzania Danych osobowych obejmuje:

Dane zwykłe:

1. imiona i nazwiska;

2. nazwy (firmy) i miejsca prowadzenia działalności gospodarczej lub naukowej;

3. nazwa instytucji;

4. numery telefonów;

5. adresy poczty elektronicznej (e-mail);

6. wizerunek, w przypadku gdy przedmiotem Umowy będzie świadczenie szkoleń w trybie
   online;

7. głos, w przypadku gdy przedmiotem Umowy będzie świadczenie szkoleń w trybie online;

8. stopień naukowy, stopień w zakresie sztuki, tytuł, tytuł zawodowy, funkcję w projekcie, wykształcenie, stanowisko.

2. Zakres powierzenia określony w ust. 1, może zostać w każdym momencie rozszerzony lub ograniczony przez Administratora danych. Ograniczenie lub rozszerzenie może być dokonane poprzez przesłanie przez Administratora danych do Procesora nowego zakresu powierzonych do przetwarzania Danych osobowych za pośrednictwem poczty elektronicznej (na adres e-mail Procesora: ………………………………). W przypadku braku odpowiedzi Procesora w ciągu 3 dni roboczych od daty wysłania wiadomości przez Administratora danych przyjmuje się, że Procesor zaakceptował zmianę zakresu powierzenia.

§3. Charakter i cel przetwarzania

1. Procesor zobowiązany jest przetwarzać Dane osobowe wyłącznie w celu należytego wykonania Umowy i zobowiązuje się stosować taki charakter przetwarzania Danych osobowych, który jest uzasadniony dla celu wykonania Umowy.

2. Procesor nie jest uprawniony do przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: „RODO”), bez uprzedniej wyraźnej zgody Administratora danych wyrażonej w formie pisemnej lub dokumentowej (e-mailowej), która dotyczyć może wyłącznie przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej w zakresie niezbędnym do realizacji Umowy.

§4. Oświadczenia i obowiązki Procesora

1. Procesor niniejszym oświadcza i gwarantuje, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy powierzenia, zgodnie z powszechnie obowiązującymi przepisami prawa na terytorium Polski. W szczególności Procesor oświadcza i gwarantuje, że zna i stosuje zasady ochrony Danych osobowych wynikające z RODO.

2. Procesor zobowiązuje się w szczególności:

1. przetwarzać Dane osobowe wyłącznie w zakresie określonym w Umowie powierzenia i wyłącznie w celu należytego wykonania Umowy;

2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora danych (tj. przekazane w formie instrukcji, lub w innym pisemnym lub elektronicznym dokumencie dostarczonym Procesorowi przez Administratora), chyba że obowiązek taki nakłada na niego obowiązujące prawo unijne lub krajowe – w takim przypadku Procesor informuje Administratora danych, drogą elektroniczną na adres e-mail: xxxx@xxx.xxx.xx – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

3. przetwarzać Dane osobowe zgodnie z obowiązującymi przepisami na terytorium Polski, w szczególności przetwarzać Dane osobowe zgodnie z RODO oraz polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa na terytorium Polski, Umową powierzenia oraz instrukcjami Administratora danych;

4. posługiwać się przy wykonywaniu Umowy powierzenia jedynie osobami, którym zostało udzielone imienne upoważnienie do przetwarzania danych w formie pisemnej;

5. przeszkolić wszystkie osoby, którym ma być nadane powyższe upoważnienie, z tematyki ochrony danych osobowych oraz odpowiedzialności karnej i cywilnej z tytułu nieprzestrzegania przepisów regulujących ochronę danych osobowych;

6. prowadzić ewidencję osób upoważnionych do przetwarzania powierzonych Danych osobowych i na każdorazowe żądanie udostępnić ją Administratorowi danych;

7. zobowiązać, w formie pisemnej, osoby, którymi posługuje się przy wykonywaniu Umowy powierzenia do zachowania Danych osobowych w tajemnicy;

8. wszyscy członkowie Personelu Procesora, którzy mają dostęp do Danych osobowych, będą przetwarzali Dane osobowe wyłącznie na polecenie Administratora danych, chyba że wymaga tego od niej prawo unijne lub prawo krajowe;

9. przetwarzać Dane osobowe z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;

10. wspierać Administratora danych, w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO (Prawa osoby, której dane dotyczą). Wsparcie Procesora powinno odbywać się
    w formie i terminie umożliwiającym należytą i terminową realizację takich obowiązków przez Administratora danych. Wobec powyższego Procesor jest w szczególności zobowiązany do:

• udzielania informacji oraz ujawnienia Danych osobowych na żądanie Administratora danych w terminie 3 dni roboczych, w formie określonej przez Administratora danych;

• Procesor powinien również niezwłocznie, jednak nie później niż w terminie 3 dni roboczych, poinformować Administratora danych o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Procesora; w celu uniknięcia wszelkich wątpliwości Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora danych;

11. pomagać Administratorowi danych wywiązać się z obowiązków określonych w RODO, a w szczególności tych wskazanych w art. 32-36 RODO, tj. w szczególności w zakresie:

• zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych zgodnie z § 5 Umowy powierzenia;

• procedury zgłaszania naruszeń ochrony Danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu, zgodnie z § 6 Umowy powierzenia;

• dokonywania przez Administratora danych oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora danych z organem nadzorczym;

12. udostępniać Administratorowi danych, na każde jego żądanie, nie później niż w terminie 3 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora danych obowiązków wynikających z przepisów prawa, o których mowa w ust. 1, a w szczególności z RODO, oraz umożliwić Administratorowi danych lub audytorowi upoważnionemu przez Administratora danych przeprowadzanie audytów, w tym inspekcji, zgodnie z § 8 Umowy powierzenia;

13. prowadzić w formie pisemnej rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora danych, zgodnie z art. 30 RODO;

14. współpracować z Administratorem danych w razie prowadzenia kontroli, audytu czy inspekcji w zakresie przetwarzania Danych osobowych przez uprawniony organ lub w związku z prowadzonym przez Administratora danych audytem;

15. przekazywać Administratorowi danych kopie protokołów kontroli, wystąpień lub stanowisk organów, skierowanych do Procesora, bez odrębnego wezwania Administratora danych, nie później niż w ciągu 3 dni roboczych od dnia ich otrzymania, o ile dotyczą one przetwarzania danych osobowych objętego niniejszą Umową;

16. niezwłocznie informować Administratora danych, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów unijnych lub krajowych o ochronie danych. Procesor przekazuje taką informację w formie elektronicznej na adres e-mail xxxx@xxx.xxx.xx, a informacja ta powinna zawierać w szczególności: 1) wskazanie przepisu, który narusza wydane polecenie oraz 2) uzasadnienie zawierające argumenty natury faktycznej i prawnej.

3. Procesor uznaje obowiązek ochrony danych osobowych za obowiązek wszystkich członków Personelu Procesora, niezależnie od stosunku prawnego łączącego Procesora z powyższymi osobami. Jednocześnie Procesor zobowiązuje się, że w przypadku, gdy którakolwiek z osób wskazanych w zdaniu poprzednim naruszy jakiekolwiek zasady przestrzegania ochrony danych osobowych, Procesor niezwłocznie odsunie ją od wykonywania czynności związanych z Umową powierzenia oraz uniemożliwi jej dostęp do jakichkolwiek Danych osobowych.

§5. Środki zabezpieczenia Danych osobowych

1. Procesor zobowiązuje się wdrożyć i stosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy powierzenia oraz zapewnić realizację zasad ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) – art. 25 RODO.

2. Administrator danych ma prawo wydawać Procesorowi wiążące instrukcje dotyczące wdrożenia dodatkowych/nowych środków zabezpieczających. Procesor powinien wdrożyć takie środki w terminie uprzednio uzgodnionym z Administratorem danych.

§6. Obowiązki informacyjne Procesora. Incydenty

1. Procesor zobowiązany jest niezwłocznie, jednakże nie później niż w ciągu 2 dni roboczych od dnia powzięcia informacji, zawiadomić Administratora danych na adres e-mail: xxxx@xxx.xxx.xx o:

1. prowadzonej lub planowanej kontroli, audycie czy inspekcji w zakresie przetwarzania Danych osobowych u Procesora lub Sub-procesora oraz umożliwić Administratorowi danych udział
   w tej kontroli, audycie czy inspekcji, o ile nie sprzeciwiają się temu przepisy prawa bezwzględnie obowiązującego, ani organ prowadzący kontrolę;

2. wszelkich czynnościach z własnym udziałem lub udziałem Sub-procesorów w sprawach dotyczących ochrony Danych osobowych prowadzonych przez organy administracji państwowej lub samorządowej, w tym w szczególności przez krajowy organ nadzoru (w tym w szczególności wszelkiej korespondencji z PUODO lub innym organem nadzorczym z ww. organami, decyzjach przez nie wydanych, rozpatrywanych skarg, prowadzonych lub zapowiedzianych kontrolach), Policję lub sąd (w tym w szczególności wszelkich postępowaniach, których przedmiotem byłoby powierzenie przetwarzania Danych osobowych), chyba że będzie to sprzeczne z decyzją wydaną przez organy administracji publicznej lub z przepisami prawa – o których posiada wiedzę.

2. Procesor zobowiązany jest niezwłocznie, nie później jednak niż w ciągu 16 godzin, zawiadomić Administratora danych o każdym zaistniałym incydencie (dalej jako: „Incydent”) przez który rozumie się:

1. naruszenie zasad ochrony Danych osobowych lub

2. podejrzenie naruszenia lub

3. próbę naruszenia zasad ochrony Danych osobowych.

3. Zgłoszenie Incydentu powinno zostać dokonane na adres e-mail: xxxx@xxx.xxx.xx (wraz z jednoczesną informacją telefoniczną o zaistnieniu incydentu na numer telefonu 665 888 709)
   i zawierać, co najmniej następujące informacje:

1. szczegółowy opis Incydentu, a w szczególności: datę, czas trwania, miejsce wystąpienia Incydentu i jego skalę (x.xx. przybliżona liczba osób, których dotyczy Incydent oraz kategorie tych osób);

2. imię i nazwisko oraz dane kontaktowe do osoby, mogącej udzielić dalszych informacji o Incydencie;

3. opis zastosowanych przez Procesora środków w celu zminimalizowania ewentualnych negatywnych skutków Incydentu.

4. Procesor zobowiązany jest niezwłocznie, jednakże nie później niż w ciągu 8 godzin, przekazać Administratorowi danych wszelkie dokumenty i informacje związane z Incydentem, na każde żądanie Administratora danych.

5. Procesor zobowiązany jest zastosować się do wszelkich wytycznych lub poleceń Administratora danych w celu zminimalizowania ewentualnych negatywnych skutków Incydentu i zapobiegnięcia jego powtórzeniu w przyszłości.

§7. Dalsze powierzenie przetwarzania Danych osobowych

1. Procesor jest uprawniony do dalszego powierzenia Danych osobowych dalszemu procesorowi (dalej jako: „Sub-procesor”). Jednocześnie Procesor zapewnia, że będzie korzystał wyłącznie z usług takich Sub-procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych oraz zapewniało ochronę praw osób, których dane dotyczą.

2. W przypadku dalszego powierzenia Danych osobowych zgodnie z ust. 1, Procesor zobowiązany jest przed dokonaniem dalszego powierzenia, przedstawić Administratorowi danych listę Sub-procesorów. Procesor zobowiązany jest ponadto do uprzedniego informowania Administratora danych o wszelkich zmianach dotyczących dodania lub zastąpienia Sub-procesorów.

3. Administrator danych uprawniony jest do sprzeciwienia się zmianom Sub-procesorów lub dodaniu nowych Sub-procesorów, o których mowa w ust. 1, bez wskazywania przyczyny, jak również do zażądania zaprzestania powierzania przetwarzania Danych osobowych Sub-procesorowi, w razie stwierdzenia, że nie daje on gwarancji stosowania odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa Danym osobowym.

4. Procesor zobowiązany jest zapewnić, że umowy zawierane przez niego z Sub-procesorami będą zawierały tożsame postanowienia jak te zawarte w Umowie powierzenia, w szczególności będą nakładały na Sub-procesorów obowiązek wdrożenia i stosowania, co najmniej takiego samego poziomu ochrony Danych osobowych, jak przewidziany w Umowie powierzenia.

5. Procesor ponosi odpowiedzialność za działania lub zaniechania podmiotu, któremu powierzył dalsze przetwarzanie Danych osobowych, jak za własne działania lub zaniechania.

§8. Audyty Administratora danych

1. Administrator danych uprawniony jest do dokonania audytu przetwarzania Danych osobowych przez Procesora na zasadach określonych w niniejszym paragrafie. Na potrzeby niniejszego paragrafu przez Administratora danych rozumie się również audytora zewnętrznego działającego na zlecenie Administratora danych.

2. O zamiarze dokonania audytu, Administrator danych zawiadamia Procesora z 7-dniowym wyprzedzeniem, wskazując termin audytu. W uzasadnionych przypadkach, gdy przeprowadzenie audytu jest niezbędne dla zapewnienia prawidłowości przetwarzania Danych osobowych, w tym ich bezpieczeństwa, Procesor może dokonać audytu bez zawiadomienia, o którym mowa
   w zdaniu poprzedzającym.

3. Procesor zobowiązany jest współpracować z Administratorem danych w toku audytu, w szczególności:

1. umożliwić Administratorowi danych dostęp do wszystkich pomieszczeń, w których ma miejsce przetwarzanie Danych osobowych;

2. umożliwić Administratorowi wgląd do dokumentacji dotyczącej przetwarzania Danych osobowych oraz wszelkich systemów informatycznych, wykorzystywanych przez Procesora w celu przetwarzania Danych osobowych oraz ich dokumentacją;

3. niezwłocznie udzielać Administratorowi danych wszelkich wyjaśnień i informacji dotyczących przetwarzania Danych osobowych.

4. Dokonanie audytu potwierdzane jest protokołem. Na zakończenie audytu, o którym mowa powyżej, przedstawiciel Administratora danych sporządza protokół w 2 (dwóch) egzemplarzach, który podpisują przedstawiciele obu Stron. W razie odmowy podpisania protokołu przez przedstawiciela Procesora, przedstawiciel Administratora danych czyni na protokole stosowną wzmiankę i podpisuje protokół samodzielnie.

5. Po zakończeniu audytu, Administrator danych może przekazać Procesorowi wytyczne lub uwagi, do których Procesor zobowiązany jest się zastosować w terminie wskazanym przez Administratora danych.

§9. Odpowiedzialność Procesora. Kary umowne

1. Procesor ponosi pełną odpowiedzialność z tytułu nienależytego wykonania lub niewykonania Umowy powierzenia lub z tytułu naruszenia przepisów regulujących zasady ochrony danych.

2. Procesor zapłaci Administratorowi danych karę umowną w każdym z następujących przypadków:

1. w przypadku opóźnienia Procesora w przekazaniu informacji o Incydencie, zgodnie z § 6 ust. 2 Umowy powierzenia, w wysokości 0,5% kwoty wskazanej w § 4 ust. 1 Umowy, za każdą rozpoczętą godzinę opóźnienia;

2. w przypadku naruszenia postanowień Umowy powierzenia innych niż wskazane w lit. a, w wysokości 5% kwoty wskazanej w § 4 ust. 1 Umowy za każdy przypadek naruszenia;

3. w przypadku uchybienia terminowi dochowania czynności, o których mowa w § 10 ust. 1 Umowy powierzenia, w wysokości 0,5% kwoty wskazanej w § 4 ust. 1 Umowy za każdy rozpoczęty dzień opóźnienia.

3. Administrator danych jest uprawniony do dochodzenia odszkodowania w pełnej wysokości, w razie gdyby szkoda przekraczała wartość naliczonych kar umownych.

4. Kary umowne płatne są w terminie 7 (siedmiu) dni od dnia otrzymania przez Procesora noty obciążeniowej na rachunek bankowy wskazany w nocie obciążeniowej.

5. W przypadku naruszenia przepisów regulujących ochronę Danych osobowych z przyczyn leżących po stronie Procesora, Procesor zobowiązuje się do zwrotu wszelkich kosztów poniesionych przez Administratora danych, wynikających z prawomocnego orzeczenia sądowego, ostatecznej decyzji organu lub zawartej za zgodą Procesora ugody, w tym kosztów publikacji orzeczenia lub oświadczenia, kosztów procesu, odszkodowań, zadośćuczynień, które ten poniesie w związku z naruszeniem przepisów regulujących ochronę danych osobowych z przyczyn leżących po stronie Procesora. W razie wytoczenia przez osobę trzecią powództwa przeciwko Administratorowi danych z tytułu naruszenia praw osoby trzeciej w związku z naruszeniem przepisów regulujących ochronę danych osobowych z przyczyn leżących po stronie Procesora, Procesor wstąpi do postępowania w charakterze strony pozwanej, a w razie braku takiej możliwości wystąpi z interwencją uboczną po stronie pozwanej. Procesor zapłaci Administratorowi danych ww. kwoty w terminie 7 (siedmiu) dni od dnia uprawomocnienia się orzeczenia, wydania ostatecznej decyzji organu lub zawarcia ugody.

6. Niezależnie od obowiązków określonych w ust. 5, Procesor zobowiązany jest do dostarczania
   w toku postępowań tam wskazanych, wszelkich koniecznych wyjaśnień, informacji lub dokumentów. Procesor zobowiązuje się również do podejmowania uzasadnionych, dopuszczalnych prawnie czynności, mających na celu uchronienie Administratora danych przed postępowaniami, skargami, działaniami prawnymi lub innymi czynnościami, będącymi wynikiem naruszenia przez Procesora zasad ochrony danych osobowych.

§10. Usunięcie Danych osobowych

1. Nie później niż w ciągu 14 (czternastu) dni od dnia wygaśnięcia lub rozwiązania Umowy powierzenia, Procesor zobowiązuje się:

1. komisyjnie zniszczyć wszelkie nośniki Danych osobowych (w tym wszelkie kopie Danych osobowych, w tym kopie robocze i archiwalne) albo

2. zwrócić Administratorowi danych w/w nośniki Danych osobowych;

- w zależności od żądania Administratora danych, złożonego Procesorowi za pomocą poczty elektronicznej na adres e-mail: ……………………… z uwzględnieniem ust. 2.

2. W celu uniknięcia wątpliwości Strony zgodnie oświadczają, że w przypadku Danych osobowych zapisanych w infrastrukturze informatycznej, takiej jak serwery, komputery, nośniki pamięci masowej lub inny sprzęt komputerowy, Administrator danych nie jest uprawniony do żądania wydania mu elementów infrastruktury informatycznej, o której mowa powyżej, w których zostały zapisane Dane osobowe. Dane osobowe zapisane w infrastrukturze informatycznej zostaną
   w takim wypadku trwale zniszczone (usunięte) przez Procesora, bez możliwości ich odtworzenia (przywrócenia) w jakikolwiek sposób.

§11. Okres obowiązywania

1. Umowa powierzenia zostaje zawarta na czas obowiązywania Umowy. Dla uniknięcia wszelkich wątpliwości Strony potwierdzają, że Umowa powierzenia wygasa w każdym wypadku zakończenia okresu obowiązywania Umowy, niezależnie od przyczyny.

2. Umowa powierzenia może być wypowiedziana przez Administratora danych, ze skutkiem natychmiastowym, w przypadku zaistnienia ważnych przyczyn, przez które Strony rozumieją,
   w szczególności:

1. naruszenie przez Procesora któregokolwiek z postanowień Umowy powierzenia;

2. naruszenie przez Procesora lub Sub-procesora przepisów regulujących ochronę danych osobowych, w szczególności tych wymienionych w § 3 ust. 1 Umowy powierzenia;

3. niezastosowanie się do wytycznych lub uwag Administratora danych, skierowanych do Procesora na podstawie § 5 ust. 2, § 6 ust. 5, § 8 ust. 5 Umowy powierzenia.

3. Strony niniejszym potwierdzają, że wypowiedzenie Umowy powierzenia przez Administratora danych stanowi ważną przyczynę uprawniającą Administratora danych do wypowiedzenia Umowy ze skutkiem natychmiastowym. Procesorowi nie przysługują jakiekolwiek roszczenia wobec Administratora danych w związku z wypowiedzeniem Umowy powierzenia i Umowy.

4. Jeżeli Procesor powierza przetwarzanie Danych osobowych Sub-procesorowi, to zobowiązuje się zawrzeć tak ukształtowaną umowę pomiędzy nim a Sub-procesorem, że wypowiedzenie Umowy powierzenia będzie powodowało jednoczesne rozwiązane umowy zawartej przez Procesora
   z Sub-procesorem.

§12. Postanowienia końcowe

1. Umowa powierzenia wchodzi w życie z dniem jej podpisania przez Xxxxxx.

2. Procesor nie może przenieść praw lub obowiązków wynikających z Umowy powierzenia na jakikolwiek podmiot, bez uprzedniej zgody Administratora danych, w formie pisemnej pod rygorem nieważności.

3. Do Umowy powierzenia zastosowanie ma prawo polskie.

4. Wszelkie zmiany lub uzupełnienia Umowy powierzenia wymagają zachowania formy pisemnej pod rygorem nieważności.

5. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy powierzenia jest sąd właściwy dla siedziby Administratora danych.

6. Umowę sporządza się w 2 jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron
   w przypadku sporządzenia Umowy w formie pisemnej lub gdy Umowa sporządzona jest w formie elektronicznej Umowa zostaje opatrzona przez każdą ze Stron kwalifikowanym podpisem elektronicznym.

7. W przypadku zawarcia Umowy w formie elektronicznej, za dzień zawarcia Umowy uznaje się datę podpisania Umowy przez ostatnią ze Stron (data złożenia podpisu przez ostatnią osobę podpisująca umowę w imieniu Xxxxxx).

Administrator danych Procesor

8 z 8