UMOWA

Załącznik nr 3 do IWZ

UMOWA

powierzenia przetwarzania danych osobowych

zawarta w Łomży w dniu 2020 r. pomiędzy:

Państwową Wyższą Szkołą Informatyki i Przedsiębiorczości w Łomży, 18-400 Łomża, xx. Xxxxxxxxxx 00 posiadającą numer NIP 000-00-00-000 oraz numer REGON 451202740, reprezentowaną przez ,

zwanym dalej Administratorem lub Zleceniodawcą, a

…………………. z siedzibą przy ul……………………….. wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem ……………………, posiadającą/ym numer NIP

………………… oraz numer REGON …………………, reprezentowaną/ym przez:

…………………………….., zwaną/ym dalej Przetwarzającym lub Zleceniobiorcą

Administrator i Przetwarzający wspólnie zwani również „Stronami”, a każdy z osobna „Stroną”.

§ 1

Definicje

1. Przetwarzający – podmiot, któremu powierzono przetwarzanie danych osobowych na mocy umowy powierzenia ze Zleceniodawcą, zwany także Zleceniobiorcą,

2. Administrator - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych, zwany także Zleceniodawcą,

3. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej,

4. Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany, rozproszony funkcjonalnie lub geograficznie,

5. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie m. in. jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, łączenie, udostępnianie, usuwanie lub niszczenie,

6. Rozporządzenie - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),

7. Inny podmiot przetwarzający - podmiot, któremu podmiot przetwarzający w imieniu administratora dane osobowe, powierzył za jego zgodą, w całości lub częściowo przetwarzanie danych osobowych.

§ 2

Powierzenie przetwarzania danych osobowych

1. Umowa jest umową powierzenia przetwarzania danych osobowych w rozumieniu art. 28 ust. 3 Rozporządzenia.

2. Zleceniodawca oświadcza, że jest administratorem danych, które powierza Zleceniobiorcy do przetwarzania.

3. Administrator powierza Przetwarzającemu dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej umowie.

§ 3

Zakres i cel przetwarzania danych

1. Przetwarzający będzie przetwarzał powierzone mu na podstawie niniejszej umowy dane osobowe, określone w załączniku Nr 2 do Umowy.

2. Charakter oraz cel przetwarzania danych przez Przetwarzającego został określony w załączniku Nr 2 do Umowy.

3. Dane osobowe będą przetwarzane przez Zleceniobiorcę wyłącznie w celu wykonywania przez niego czynności opisanych w Umowie.

4. Zleceniobiorca nie jest uprawniony do przetwarzania danych w innych celach niż określone w Umowie.

5. Zleceniobiorca nie decyduje o celach i sposobach przetwarzania danych osobowych.

6. Jeżeli powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Zleceniobiorcy, serwery i nośniki te nie mogą znajdować się poza obszarem Europejskiego Obszaru Gospodarczego.

7. Przetwarzanie danych osobowych przez Zleceniobiorcę będzie odbywało się wyłącznie na terytorium Państwa należącego do Europejskiego Obszaru Gospodarczego.

§ 4

Oświadczenia i zobowiązania Przetwarzającego

1. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, przepisami Rozporządzenia oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

2. Przetwarzający jest zobowiązany zorganizować i utrzymywać organizacyjne i techniczne środki bezpieczeństwa, jakie w praktyce będą możliwe dla zapewnienia bezpiecznego przechowywania danych otrzymanych od Administratora, a także dołoży wszelkich starań, aby zapobiec jakiemukolwiek nieautoryzowanemu wykorzystaniu, ujawnieniu czy dostępowi do tych danych ze strony osób nieupoważnionych.

3. Przetwarzający oświadcza, że:

a) posiada wiedzę z zakresu ochrony danych osobowych,

b) posiada zasoby umożliwiające wdrożenie środków bezpieczeństwa dla ochrony danych osobowych zgodnie z przepisami Rozporządzenia,

c) są mu znane przepisy Rozporządzenia i będzie się do nich stosował podczas przetwarzania powierzonych mu danych.

4. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych mu na podstawie niniejszej Umowy danych osobowych.

§ 5

Sposób wykonania umowy

1. Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie Zleceniodawcy, chyba że wymagają tego przepisy prawa. Za udokumentowane polecenie uznaje się Umowę oraz każde polecenie Zleceniodawcy wykonania przez Zleceniobiorcę określonych na podstawie Umowy czynności, dokonane w formie pisemnej, w tym elektronicznej, bądź innym dokumencie dostarczonym Zleceniobiorcy przez Zleceniodawcę.

2. Zleceniobiorca zobowiązuje się nie przetwarzać danych osobowych, jeśli przetwarzanie to wykracza poza zakres udokumentowanego polecenia.

3. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Zleceniobiorca wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo odpowiadające ryzyku, w tym w szczególności:

a) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

b) zdolność do szybkiego przywrócenia dostępu do danych w razie incydentu fizycznego lub technicznego,

c) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

4. Przetwarzający może wykazać wywiązanie się z obowiązków określonych powyżej, w szczególności poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 Rozporządzenia.

5. W przypadku, gdy Przetwarzający nie stosuje zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji, jest zobowiązany zastosować:

a) przynajmniej minimalne środki techniczne i organizacyjne określone w Załączniku Nr 1 do Umowy,

b) inne, co najmniej równoważne środki.

6. W przypadku określonym w ust. 5 lit. b) niniejszego paragrafu, Przetwarzający jest zobowiązany przedstawić Zleceniodawcy, na jego żądanie stosowane środki techniczne i organizacyjne w celu weryfikacji, czy stopień zabezpieczenia danych osobowych jest odpowiedni, biorąc pod uwagę w szczególności ryzyko wiążące się z przetwarzaniem.

7. Zleceniodawca upoważnia Przetwarzającego do wyznaczania swoich pracowników uprawnionych do przetwarzania danych osobowych w zakresie koniecznym do realizacji Umowy i zobowiązuje, aby przed nadaniem pracownikom dostępu do powierzonych danych osobowych, Przetwarzający:

a) zapoznał swoich pracowników, którzy mają być uprawnieni do przetwarzania danych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych

danych przed nieuprawnionym lub niezgodnym z prawem dostępem i odebrał od nich stosowne oświadczenia,

b) zobowiązał na piśmie swoich pracowników, którzy mają być uprawnieni do przetwarzania danych osobowych, do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z ich przetwarzaniem, w tym sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych,

c) po spełnieniu obowiązków określonych w pkt. a), b) powyżej, wystawił stosowne upoważnienia i na żądanie Zleceniodawcy, w terminie 7 dni, przedstawił wzór wydanych upoważnień,

d) zapoznał swoich pracowników z Załącznikiem Nr 1 do Umowy, nie później niż w ciągu 10 dni roboczych od dnia podpisania niniejszej Umowy.

8. Przetwarzający będzie prowadził ewidencję osób zatrudnionych przez niego przy przetwarzaniu danych. Przetwarzający będzie nadzorował swoich pracowników w zakresie zabezpieczenia przetwarzanych danych osobowych.

9. Mając na uwadze charakter przetwarzania powierzonych danych oraz dostępnych Przetwarzającemu informacji, zobowiązany jest on wspierać Zleceniodawcę w wywiązywaniu się z obowiązków określonych w art. 32-36 Rozporządzenia, związanych z bezpieczeństwem przetwarzania, naruszeniami ochrony danych osobowych oraz, o ile to konieczne, z oceną skutków dla ochrony danych.

10. Przetwarzający współpracuje i wspiera Zleceniodawcę poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15-22 Rozporządzenia. W przypadku, gdy podmiot danych osobowych zwróci się bezpośrednio do Przetwarzającego, Przetwarzający przekaże niezwłocznie taki wniosek Zleceniodawcy, wraz z żądanymi we wniosku informacjami, jeżeli są one w posiadaniu Przetwarzającego. W celu uniknięcia wątpliwości Strony przyjmują, że informacje, o które zwracają się podmioty danych osobowych, przekazywane będą tym podmiotom przez Zleceniodawcę.

11. Przetwarzający zobowiązuje się do informowania Zleceniodawcy o każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi Państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa.

12. Przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania zgodnie z wymogami art. 30 ust. 2 Rozporządzenia w formie pisemnej, w tym elektronicznej. Zleceniodawca ma prawo kontroli wypełnienia powyższego obowiązku, w tym posiada prawo wglądu do rejestru. Przetwarzający jest zobowiązany udostępnić rejestr na żądanie Zleceniodawcy oraz organu nadzorczego w terminie i trybie przez nich określonym.

§ 6

Zgłaszanie incydentów

1. Zleceniobiorca zobowiązuje się, po stwierdzeniu naruszenia ochrony danych osobowych, do zgłoszenia tego incydentu Zleceniodawcy bez zbędnej zwłoki – nie później niż w terminie 72 godzin od stwierdzenia naruszenia, a w razie uchybienia wskazanemu terminowi, dołączyć wyjaśnienie przyczyn opóźnienia.

2. Informacja przekazana Zleceniodawcy powinna zawierać co najmniej:

a) opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone oraz kategorii i liczby wpisów danych, których naruszenie dotyczy,

b) opis możliwych konsekwencji naruszenia,

c) opis zastosowanych lub proponowanych do zastosowania przez Zleceniobiorcę środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków,

d) dane kontaktowe osoby zgłaszającej w imieniu Przetwarzającego wystąpienie incydentu, od której można uzyskać więcej informacji związanych z naruszeniem.

§ 7

Dalsze powierzenie przetwarzania danych osobowych przez Przetwarzającego

1. Powierzenie przetwarzania danych przez Zleceniobiorcę innemu podmiotowi przetwarzającemu, wymaga wyrażenia przez Zleceniodawcę zgody szczegółowej lub ogólnej, w formie pisemnej pod rygorem nieważności. Zleceniobiorca może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania niniejszej Umowy.

2. Powierzenie przetwarzania danych przez Zleceniobiorcę innemu podmiotowi przetwarzającemu wymaga formy pisemnej pod rygorem nieważności. Zawarta umowa musi nakładać na inny podmiot przetwarzający co najmniej takie same obowiązki ochrony danych osobowych jak niniejsza Umowa, a w szczególności obowiązek zapewnienia gwarancji wdrożenia środków technicznych i

organizacyjnych, a także gwarancje zaprzestania przetwarzania danych osobowych oraz zwrócenia lub usunięcia danych po rozwiązaniu, wygaśnięciu umowy z tym podmiotem przetwarzającym albo wcześniejszym utraceniu prawa do przetwarzania danych przez ten podmiot, a także precyzować czas, charakter i cel przetwarzania danych, z uwzględnieniem zakresu lub kategorii przetwarzanych danych.

3. Umowa zawarta pomiędzy Zleceniobiorcą a innym podmiotem przetwarzającym, musi zawierać takie same elementy oraz odpowiadać postanowieniom niniejszej umowy.

§ 8

Zasady zachowania poufności

1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie pisemnej, ustnej lub elektronicznej.

2. Przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy danych poufnych, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub zapisów Umowy.

3. Obowiązek zachowania w tajemnicy powierzonych do przetwarzania danych osobowych nie dotyczy obowiązku ujawniania wynikającego z bezwzględnie obowiązujących przepisów prawa, jak również przypadku, gdy jest to potrzebne celem wszczęcia lub prowadzenia postępowania karnego, cywilnego lub administracyjnego.

4. Przetwarzający zobowiązuje się zachować w tajemnicy wszelkie informacje i dane osobowe, do których będzie miał dostęp w związku z wykonywaniem Umowy, w tym sposoby zabezpieczenia powierzonych do przetwarzania danych osobowych. Przetwarzający zobowiązuje się nie przekazywać danych osobowych, ani informacji uzyskanych na podstawie Umowy osobom trzecim, bez uprzedniej pisemnej zgody Administratora.

5. Przetwarzający nie ma prawa tworzenia jakichkolwiek kopii dokumentów zawierających dane osobowe powierzone mu przez Administratora, w tym formularzy zawierających dane osobowe lub baz danych osobowych w postaci dokumentów (papierowych lub elektronicznych), w szczególności

w poczcie elektronicznej, na dyskach komputerowych i arkuszach kalkulacyjnych innych, niż wynikające z realizacji Umowy lub instrukcji Administratora.

§ 9

Prawo Administratora do wydawania instrukcji

1. Zleceniobiorca przetwarza dane osobowe zgodnie z postanowieniami Umowy, a także zgodnie z instrukcjami wydanymi przez Zleceniodawcę, dotyczącymi charakteru, zakresu i metod przetwarzania danych osobowych przekazanych do przetwarzania.

2. Instrukcje Administratora będą posiadały formę pisemną lub elektroniczną (e-mail). W wyjątkowych przypadkach Administrator może wydać instrukcję w formie ustnej. Ustne instrukcje będą potwierdzane przez upoważnioną przez Administratora osobę na piśmie lub za pomocą poczty elektronicznej.

3. W razie uznania przez Zleceniobiorcą, że jakakolwiek instrukcja spowodowałaby naruszenie przepisów o ochronie danych osobowych, niezwłocznie informuje o tym Administratora, a w przypadku ewidentnych naruszeń może zawiesić wykonanie instrukcji.

4. Zleceniobiorca jest uprawniony do wstrzymania realizacji instrukcji do czasu potwierdzenia ich zgodności z prawem.

§ 10

Prawo kontroli

1. Administrator zgodnie z art. 28 ust. 3 lit. h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Zleceniobiorcę lub jego podwykonawców przy przetwarzaniu powierzonych danych osobowych, spełniają postanowienia Umowy i Rozporządzenia.

2. Przetwarzający umożliwi przedstawicielom Administratora dokonanie kontroli w miejscach, w których są przetwarzane powierzone dane osobowe, w terminie wspólnie ustalonym przez Xxxxxx, nie późniejszym jednak niż 3 dni robocze od dnia powiadomienia o zamiarze przeprowadzenia kontroli w celu sprawdzenia prawidłowości przetwarzania oraz zabezpieczenia danych osobowych.

3. W przypadku powzięcia przez przedstawicieli Administratora wiadomości o rażącym naruszeniu przez Przetwarzającego zobowiązań wynikających z Umowy lub Rozporządzenia, przedstawicielom Administratora przysługuje uprawnienie do dokonania niezapowiedzianej kontroli.

4. Przetwarzający jest zobowiązany do zastosowania się do zaleceń dotyczących poprawy jakości sposobów przetwarzania danych osobowych oraz jakości zabezpieczenia danych, sporządzonych w wyniku kontroli.

5. W sytuacji niezastosowania się do zaleceń, o których mowa w ust. 4 oraz powtarzających się przypadków naruszeń w przetwarzaniu danych osobowych ze strony Przetwarzającego, Administratorowi przysługuje prawo rozwiązania niniejszej Umowy ze skutkiem natychmiastowym oraz dochodzenia naprawienia wynikłej z tego tytułu szkody.

6. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.

7. Administrator wskaże osoby upoważnione do przeprowadzenia kontroli.

8. Osoby wyznaczone przez Administratora są uprawnione do wstępu do pomieszczeń, w których przetwarzane są dane osobowe, oględzin sprzętu i środków służących do przetwarzania danych osobowych oraz do wglądu do danych powierzonych do przetwarzania, jak również do żądania od Przetwarzającego udzielenia informacji dotyczących przebiegu przetwarzania danych osobowych.

9. Osoby dokonujące w imieniu Administratora kontroli u Przetwarzającego, zobowiązane są do nieudzielania osobom trzecim informacji na temat stosowanych przez Przetwarzającego środków technicznych i organizacyjnych służących ochronie danych osobowych.

10. Przetwarzający jest zobowiązany współpracować z organem nadzorczym w ramach wykonywania przez niego swoich zadań.

11. Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o:

a) zamiarze, przebiegu oraz wynikach kontroli zgodności przetwarzania powierzonych danych osobowych z przepisami o ochronie danych osobowych, przeprowadzonej przez właściwy organ nadzorczy,

b) wydanych przez właściwy organ nadzorczy decyzjach wobec Przetwarzającego,

c) skargach w sprawach wykonywania przez Przetwarzającego przepisów o ochronie danych osobowych, dotyczących przetwarzania powierzonych danych.

§ 11

Odpowiedzialność Przetwarzającego

1. Przetwarzający odpowiada za działania i zaniechania osób, przy pomocy których będzie przetwarzał dane osobowe, a także za inne podmioty przetwarzające, którym powierzył przetwarzanie danych, jak za działania lub zaniechania własne.

2. W przypadku, gdy Zleceniodawca poniesie jakiekolwiek szkody majątkowe lub niemajątkowe w związku z niezgodnym z przepisami o ochronie danych osobowych przetwarzaniem danych przez Przetwarzającego, Przetwarzający zobowiązany będzie do ich pokrycia w pełnej wysokości, chyba że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

3. Strony zobowiązują się wspólnie podejmować decyzje dotyczące polubownego zakończenia sporów z podmiotami danych, w szczególności w zakresie wysokości ewentualnego odszkodowania.

§ 12

Czas trwania Umowy

1. Zleceniobiorca uprawniony jest do przetwarzania powierzonych mu danych do dnia wygaśnięcia lub rozwiązania Umowy, chyba że wcześniej utraci prawo do przetwarzania powierzonych danych osobowych.

2. Zleceniodawca może rozwiązać Umowę ze skutkiem natychmiastowym, jeżeli Zleceniobiorca:

a) przetwarza dane osobowe w sposób niezgodny z Umową pomimo uprzedniego wezwania do zgodnego przetwarzania z wyznaczeniem dodatkowego terminu, nie krótszego niż 14 dni,

b) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Zleceniodawcy,

c) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, nie usunie ich w wyznaczonym terminie,

d) zawiadomi Zleceniodawcę o swojej niezdolności do dalszego wykonywania niniejszej Umowy.

3. Od dnia rozwiązania lub wygaśnięcia Umowy, albo utraty prawa do przetwarzania danych osobowych przed rozwiązaniem lub wygaśnięciem Umowy, Zleceniobiorca nie ma prawa przetwarzać powierzonych danych i zależnie od decyzji Zleceniodawcy trwale, zupełnie i nieodwracalnie usuwa powierzone mu dane osobowe ze wszystkich nośników, programów i aplikacji lub zwraca Zleceniodawcy wszelkie powierzone mu na nośnikach papierowych lub elektronicznych dane

osobowe oraz usuwa wszelkie istniejące kopie, chyba że obowiązek ich dalszego przetwarzania wynika z odrębnych przepisów prawa.

4. Protokół ze zniszczenia lub usunięcia danych osobowych, Zleceniobiorca zobowiązany jest dostarczyć Zleceniodawcy w ciągu 7 dni roboczych od daty rozwiązania lub wygaśnięcia Umowy, albo utraty prawa do przetwarzania danych przed rozwiązaniem albo wygaśnięciem Umowy.

5. W protokole Zleceniobiorca określi sposób usunięcia danych oraz ich kopii. W przypadku, gdy Zleceniodawca, na podstawie analizy protokołu ustali, że dane osobowe nie zostały trwale, zupełnie i nieodwracalnie usunięte, ma prawo żądania od Zleceniobiorcy zniszczenia lub usunięcia danych zgodnie z niniejszym paragrafem.

§ 13

Postanowienia końcowe

1. Strony są zobowiązane do współpracy w zakresie nadzoru nad wykonaniem Umowy.

2. Strony ustalają, że podczas realizacji Umowy będą ze sobą współpracować, informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na wykonanie Umowy.

3. Umowa zastępuje wszelkie inne ustalenia dokonane pomiędzy Zleceniobiorcą a Zleceniodawcą dotyczące przetwarzania danych osobowych bez względu na to, czy zostały uregulowane umową czy innym instrumentem prawnym.

4. W zakresie nieuregulowanym umową mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym Rozporządzenia.

5. Wszelkie zmiany treści niniejszej umowy wymagają dla swej ważności formy pisemnej pod rygorem nieważności.

6. Sądem właściwym do rozstrzygania sporów związanych z realizacją niniejszej umowy jest sąd właściwy dla siedziby Zleceniodawcy.

7. Integralną część niniejszej Umowy stanowią następujące załączniki:

a) Załącznik Nr 1 – Minimalne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych przez Zleceniobiorcę,

b) Załącznik Nr 2 – Kategorie danych osobowych powierzonych Zleceniobiorcy do przetwarzania

8. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, dwa egzemplarze dla Zamawiającego, jeden dla Wykonawcy.

Administrator Przetwarzający

................................ ..............................…

Załącznik nr 1 do Umowy powierzenia

przetwarzania danych w PWSIiP w Łomży

Minimalne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych przez Zleceniobiorcę

1. Obszar, w którym przetwarzane są dane osobowe, należy zabezpieczyć przed dostępem osób nieuprawnionych na czas nieobecności w nim upoważnionych do przetwarzania danych osobo- wych. W przypadku realizacji usług poza wskazanym obszarem z wykorzystaniem urządzeń prze- nośnych, należy zabezpieczać je, stosując środki ochrony kryptograficznej wobec przetwarza- nych danych osobowych.

2. System informacyjny należy chronić przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, obejmującym przykładowo:

a. kontrolę przepływu informacji pomiędzy systemem informatycznym a siecią publiczną,

b. kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego.

3. System powinien zostać wyposażony w mechanizm filtrowania połączeń wchodzących i wycho- dzących (firewall – zapora sieciowa).

4. System informatyczny musi zostać wyposażony w mechanizmy ochrony antywirusowej. Wszyst- kie pliki muszą być testowane oprogramowaniem antywirusowym.

5. Każdy komputer powinien mieć założone zabezpieczenie uniemożliwiające osobom nieupoważ- nionym zmianę konfiguracji komputera.

6. Załączniki do poczty elektronicznej nie powinny być otwierane, jeśli ich wysyłka nie była wcześniej uzgodniona z nadawcą.

7. Należy stosować środki ochrony kryptograficznej wobec danych wykorzystywanych do uwierzy- telnienia, które są przesyłane w sieci publicznej.

8. W systemie informatycznym służącym do przetwarzania danych osobowych muszą istnieć odpo- wiednie mechanizmy kontroli dostępu do danych. Należy wziąć pod uwagę stosowanie: tworzenie

i usuwanie kont, ich czasowe lub trwałe blokowanie, nadawanie haseł i ich zmianę oraz nada- wanie i wycofywanie uprawnień, raportowanie wszystkich istotnych operacji zawiązanych z za- rządzaniem uprawnieniami, generowane z perspektywy czasu, konta, roli lub operacji.

9. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby:

a. w systemie rejestrowany był dla każdego użytkownika odrębny identyfikator,

b. dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzy- telnienia.

10. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przy- dzielony innej osobie.

11. W przypadku, gdy do uwierzytelnienia użytkowników używa się hasła, zaleca się jego cykliczną zmianę.

12. Systemy informatyczne muszą być zabezpieczone w szczególności przed:

a. działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do sys- temu informatycznego;

b. utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

13. Dane osobowe przetwarzane w systemie informatycznym muszą być zabezpieczane przez wy- konywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania da- nych.

14. Kopie zapasowe:

a. należy przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem,

b. muszą być usuwane niezwłocznie po ustaniu ich użyteczności.

15. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przezna- czone do:

a. likwidacji – pozbawia się wcześniej zapisu danych, a w przypadku, gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,

b. przekazanie innemu podmiotowi – pozbawia się wcześniej zapisu danych, w sposób uniemoż- liwiający ich odzyskanie,

c. naprawy – pozbawia się wcześniej zapisu danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej.

16. Przetwarzający zobowiązany jest do monitorowania wdrożonych środków zabezpieczenia sys- temu informatycznego.

17. Przetwarzający posiada wiedzę z zakresu przepisów regulujących przetwarzanie danych osobo- wych i jest zobowiązany do uzupełniania swojej wiedzy z tego zakresu w przypadku zmian w przepisach.

18. Przetwarzający ma obowiązek zapoznania swoich pracowników, którzy mają być uprawnieni do przetwarzania danych osobowych, z przepisami dotyczącymi danych osobowych i odpowiedzial- nością za ochronę tych danych.

19. Należy prowadzić dokumentację zasady ochrony danych osobowych.

Administrator Przetwarzający

………………………………………… ……………………………………

Załącznik nr 2 do Umowy powierzenia

przetwarzania danych w PWSIiP w Łomży

Dane osobowe powierzone Zleceniobiorcy do przetwarzania

Administrator powierza Zleceniobiorcy następujące kategorie danych osobowych: 1. ………………………………..

2. ……………………………….

3. ……………………………….

4. ……………………………….

5. ……………………………….

Celem powierzenia przetwarzania jest:

wykonanie prawidłowe wykonanie przedmiotu zamówienia tj. „Przygotowanie i przeprowadzenie szkoleń – kursów specjalistycznych dla studentów kierunku Pielęgniarstwa II stopnia WNoZ PWSIiP w Łomży – zadanie …………………………………..

(np. wykonanie przez Zleceniobiorcę czynności serwisowych dotyczących bazy danych / świadczenie usług w zakresie niszczenia dokumentów)

Charakter przetwarzania powierzonych danych osobowych dotyczy przetwarzania w formie papierowej / przy wykorzystaniu systemów informatycznych* (ewentualnie w miarę możliwości dookreślić poprzez podanie nazwy systemu).

Administrator Przetwarzający

………………………………………… ……………………………………

*Niepotrzebne skreślić