Umowa powierzenia przetwarzania danych osobowych
Załącznik nr 4 do Procedury organizacji studenckich praktyk zawodowych na studiach I lub II stopnia
o profilu ogólnoakademickim na Politechnice Krakowskiej
Umowa powierzenia przetwarzania danych osobowych
zawarta pomiędzy Politechniką Krakowską im. Xxxxxxxx Xxxxxxxxxx,
data
zwaną dalej „Administratorem”
reprezentowaną przez Xxxxxxxx Xxxxxxxxxxxxxxxx
imię/imiona i nazwisko
Pełnomocnika Dziekana ds. praktyk na Wydziale Mechanicznym a:
....................................................................................................................
....................................................................................................................
....................................................................................................................
nazwa i adres Podmiotu zewnętrznego, NIP/RIN/REGON*
zwanym dalej „Przetwarzającym” reprezentowanym przez
....................................................................................................................
imię/imiona i nazwisko, stanowisko
zwanych dalej łącznie „Stronami” o następującej treści:
1. DEFINICJE:
Dla potrzeb niniejszej umowy Administrator i Przetwarzający ustalają następujące znaczenie niżej wymienionych pojęć:
1.1. Umowa Powierzenia – niniejsza umowa.
1.2. Umowa Główna – porozumienie dotyczące organizacji studenckiej praktyki zawodowej.
1.3. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. OŚWIADCZENIA STRON:
Strony oświadczają, że Umowa Powierzenia została w celu wykonania obowiązków, o których mowa w art. 28 RODO w związku z zawarciem Umowy Głównej.
3. PRZEDMIOT UMOWY:
3.1. W trybie art. 28 ust. 3 RODO Administrator powierza Przetwarzającemu do przetwarzania dane osobowe wskazane w pkt 4.1.–4.2. poniżej, a Przetwarzający zobowiązuje się do ich przetwarzania zgodnie z prawem i Umową Powierzenia.
3.2. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i w celu przewidzianym w Umowie Powierzenia oraz zgodnie z innymi udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się postanowienia Umowy Powierzenia oraz ewentualne inne polecenia przekazywane przez Administratora na adres e-mail Przetwarzającego lub na piśmie.
4. CEL, ZAKRES I CHARAKTER PRZETWARZANIA:
4.1. Przetwarzający zobowiązuje się do przetwarzania danych osobowych studentów kierowanych na studencką praktykę zawodową.
4.2. Zakres powierzonych Przetwarzającemu do przetwarzania danych osobowych obejmuje co do studentów kierowanych na studencką praktykę zawodową: imię/imiona, nazwisko, numer albumu, wydział, kierunek, specjalność, forma studiów, poziom studiów, profil studiów.
4.3. Celem przetwarzania danych osobowych wskazanych w pkt 4.1.–4.2. powyżej jest wykonanie Umowy Głównej, w szczególności organizacja studenckiej praktyki zawodowej w podmiocie zewnętrznym.
4.4. Przetwarzający zobowiązuje się do przetwarzania danych osobowych w sposób stały. Przetwarzający będzie w szczególności wykonywał następujące operacje dotyczące powierzonych danych osobowych: utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – które są w minimalnym zakresie niezbędne do realizacji celu, o którym mowa w pkt 4.3. powyżej. Dane osobowe będą przez Przetwarzającego przetwarzane w formie elektronicznej w systemach informatycznych oraz w formie papierowej.
4.5. Przetwarzający będzie zbierał/otrzymywał dane osobowe od Administratora.
5. ZASADY POWIERZENIA PRZETWARZANIA:
5.1. Przed rozpoczęciem przetwarzania danych osobowych Przetwarzający musi podjąć środki zabezpieczające dane osobowe, o których mowa w art. 32 RODO, a w szczególności:
a) uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także je uaktualnić w razie potrzeby.
b) zapewnić, by każda osoba fizyczna działająca z upoważnienia Przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora w celach i w zakresie przewidzianym w Umowie Powierzenia.
c) prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w umieniu Administratora, o którym mowa w art. 30 ust. 2 RODO i udostępniać go Administratorowi na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO.
5.2. Przetwarzający zapewnia, aby osoby mające dostęp do przetwarzania danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania w tajemnicy istnieje również po realizacji Umowy Powierzenia oraz ustaniu zatrudnienia u Przetwarzającego.
6. DALSZE OBOWIĄZKI PRZETWARZAJĄCEGO:
6.1. Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO.
6.2. W sytuacji podejrzenia naruszenia ochrony danych osobowych Przetwarzający zobowiązuje się do:
a) Przekazania Administratorowi informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w trym informacji, o których mowa w art. 33 ust. 3 RODO.
b) Przeprowadzenia wstępnej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą, i przekazania wyników tej analizy do Administratora w ciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
c) Przekazania Administratorowi – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych.
6.3. Przetwarzający zobowiązuje się pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w art. 15–22 RODO. W szczególności Przetwarzający zobowiązuje się – na żądanie Administratora – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której dane dotyczą, w ciągu 3 dni od dnia otrzymania żądania Administratora.
6.4. Przetwarzający zobowiązuje się stosować do ewentualnych wskazówek lub zaleceń wydawanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO.
6.5. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych skierowanym do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Przetwarzającego, w szczególności prowadzonych przez organ nadzoru.
7. PODPOWIERZENIE PRZETWARZANIA:
Administrator nie dopuszcza możliwość podpowierzenia przetwarzania powierzonych danych osobowych podwykonawcom Przetwarzającego (tzw. subprocesorom).
8. AUDYT PRZETWARZAJĄCEGO:
8.1. Administrator jest upoważniony do weryfikacji przestrzegania zasad przetwarzania danych osobowych wynikających z RODO oraz Umowy Powierzenia oraz Przetwarzającego, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych danych osobowych.
8.2. Administrator ma także prawo przeprowadzania audytów lub inspekcji Przetwarzającego w zakresie zgodności operacji przetwarzania z prawem i z Umową Powierzenia. Audyty lub inspekcje, o których mowa w zdaniu poprzedzającym, mogą być przeprowadzane przez podmioty trzecie upoważnione przez Administratora.
8.3. Przetwarzający zobowiązuje się niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.
9. ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA:
Po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Przetwarzający zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie.
10. POSTANOWIENIA KOŃCOWE:
10.1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla
każdej ze Stron.
10.2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz
RODO.
10.3. Wszelkie zmiany niniejszej umowy wymagają pod rygorem nieważności formy pisemnej.
10.4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla Administratora.
ADMINISTRATOR PRZETWARZAJĄCY
....................................................................... | ................................................................. |
podpis i pieczęć pełnomocnika dziekana ds. praktyk | podpis i dane osoby reprezentującej Podmiot zewnętrzny |
* Niepotrzebne skreślić.