Umowa o powierzenie przetwarzania danych osobowych
Załącznik nr 5 do Regulaminu praktyk zawodowych
Umowa
o powierzenie przetwarzania danych osobowych
zawarta we Wrocławiu, w dniu ................................. r., pomiędzy:
Uniwersytet Ekonomiczny we Wrocławiu, ul. Xxxxxxxxxxx 000/000, 00-000 Xxxxxxx
NIP: 000-000-00-00
reprezentowany przez ............................................................. na podstawie Pełnomocnictwa nr ……………………………..
zwany dalej Administratorem danych
a
zwaną/ym dalej Podmiotem przetwarzającym
o treści następującej:
§ 1
Administrator danych powierza Podmiotowi przetwarzającemu dane osobowe (dalej również „dane”), które Podmiot przetwarzający będzie przetwarzał w celu i w zakresie niezbędnym do realizacji obowiązkowych praktyk zawodowych.
Administrator danych upoważnia Podmiot przetwarzający do przetwarzania danych osobowych następujących kategorii osób fizycznych:
studenci/ studentki.
Powierzone dane osobowe obejmują następujące rodzaje danych osobowych: imię i nazwisko, kierunek oraz rok i stopień studiów, adres zamieszkania, nr telefonu, nr PESEL.
§ 2
Podmiot przetwarzający zobowiązuje się zapewnić przed otrzymaniem danych osobowych wystarczające środki techniczne i organizacyjne, żeby przetwarzanie spełniało wymogi Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „Rozporządzenie”), w tym artykułu 32, i chroniło prawa osób, których dane dotyczą. W szczególności Podmiot przetwarzający zobowiązuje się stosować środki odpowiednie do zagrożeń oraz kategorii danych i zabezpieczać dane przed ich udostępnieniem osobom nieupoważnionym, uzyskaniem przez osobę nieupoważnioną, zmianą, utratą, uszkodzeniem, zniszczeniem lub innym przetwarzaniem z naruszeniem przepisów prawa. Podmiot przetwarzający będzie przetwarzał dane osobowe zgodnie z Rozporządzeniem, niniejszą umową oraz instrukcjami Administratora danych.
Podmiot przetwarzający zobowiązuje się niezwłocznie, nie później niż w terminie 3 dni roboczych, poinformować Administratora danych o niemożności spełnienia warunku przetwarzania danych zgodnie z Rozporządzeniem, niniejszą umową oraz instrukcjami Administratora danych, a także o przypadku jakiejkolwiek zmiany przepisów prawa, która może mieć istotne negatywne skutki dla gwarancji dotyczących ochrony danych osobowych i obowiązków Podmiotu przetwarzającego określonych w niniejszej umowie.
Podmiot przetwarzający zapewnia, żeby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy danych osobowych.
§ 3
Podmiot przetwarzający będzie przetwarzał dane osobowe w okresie niezbędnym do realizacji celu, o którym mowa w § 1 ust. 1.
W terminie 7 dni od dnia zakończenia realizacji celu, o którym mowa w § 1 ust. 1, Podmiot przetwarzający zwróci Administratorowi danych dokumenty i materiały zawierające dane osobowe oraz dokona usunięcia lub zniszczenia wszystkich kopii tych dokumentów i materiałów oraz trwałego usunięcia z systemów elektronicznych, elektronicznych nośników danych, sieci Internet i innych podobnych sieci, a także z dysków wirtualnych, chyba że przepisy prawa polskiego lub prawa Unii Europejskiej nakazują Podmiotowi przetwarzającemu przechowywanie danych osobowych.
Jeżeli Podmiot przetwarzający przetwarza dane osobowe niezgodnie z Rozporządzeniem, niniejszą umową oraz instrukcjami Administratora danych, a także w przypadku zmiany przepisów prawa, która może mieć istotne negatywne skutki dla gwarancji dotyczących ochrony danych osobowych i obowiązków Podmiotu przetwarzającego określonych w niniejszej umowie, Administrator danych jest uprawniony do zawieszenia przekazywania danych lub rozwiązania niniejszej umowy.
§ 4
Powierzenie przez Podmiot przetwarzający dostępu lub przetwarzania danych osobowych innemu podmiotowi przetwarzającemu na terenie Unii Europejskiej lub poza Unią Europejską wymaga uprzedniej zgody Administratora danych, w formie pisemnej pod rygorem nieważności. Jeżeli Administrator danych wyrazi zgodę, Podmiot przetwarzający zobowiązuje się zapewnić, żeby inny podmiot przetwarzający podlegał obowiązkowi ochrony danych co najmniej w takim zakresie jaki wynika z niniejszej umowy, w szczególności podlegał obowiązkowi zapewnienia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych odpowiadało wymogom Rozporządzenia.
Dalsze powierzenia przez podwykonawców Podmiotu przetwarzającego dostępu lub przetwarzania danych osobowych innemu podmiotowi przetwarzającemu na terenie Unii Europejskiej lub poza Unią Europejską wymaga uprzedniej zgody Administratora danych, w formie pisemnej pod rygorem nieważności. Podwykonawcy zobowiązują się zapewnić, żeby ich podwykonawcy podlegali obowiązkowi ochrony danych co najmniej w takim zakresie jaki wynika z niniejszej umowy, w szczególności podlegali obowiązkowi zapewnienia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych odpowiadało wymogom Rozporządzenia. Umowy z podwykonawcami w zakresie dotyczącym ochrony danych osobowych podlegają prawu właściwemu dla Administratora danych.
Na żądanie Administratora danych Podmiot przetwarzający prześle w terminie 7 dni odpis umowy z podmiotem przetwarzającym, któremu przekazał dane osobowe, oraz z odpisy umów z dalszymi podwykonawcami tego podmiotu w zakresie przetwarzania danych osobowych. Podmiot przetwarzający przekazując odpis umowy może z niego usunąć informacje handlowe.
Przekazanie przez Podmiot przetwarzający danych osobowych do państwa trzeciego lub organizacji międzynarodowej wymaga uprzedniej zgody Administratora danych, w formie pisemnej pod rygorem nieważności, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 5
Podmiot przetwarzający ponosi odpowiedzialność za przetwarzanie danych osobowych niezgodnie z niniejszą umową oraz obowiązującymi przepisami prawa dotyczącymi ochrony danych osobowych.
Podmiot przetwarzający ponosi odpowiedzialność za kary prawomocnie nałożone na Administratora danych w związku z naruszeniem przez Podmiot przetwarzający przy wykonywaniu niniejszej umowy powszechnie obowiązujących przepisów prawa i zobowiązuje się do zwrotu Administratorowi danych równowartości tych kar.
W przypadku gdy Administrator danych będzie zobowiązany do zapłaty osobie, której dane dotyczą, jakichkolwiek kwot, w tym odszkodowań, na skutek działań za które odpowiedzialność ponosi Podmiot przetwarzający, Podmiot przetwarzając zobowiązuje się do zwrotu Administratorowi danych równowartości tych kwot.
Podmiot przetwarzający ponosi odpowiedzialność za swoich podwykonawców jak za działania lub zaniechania własne.
§ 6
Podmiot Przetwarzający niezwłocznie po uzyskaniu informacji albo po wystąpieniu zdarzenia, nie później jednak niż w ciągu 24 godzin, powiadamia Administratora danych o:
jakichkolwiek prawnie wiążących wnioskach o ujawnienie przekazanych danych osobowych ze strony organów ścigania, chyba że powiadomienie o takim wniosku jest zakazane na podstawie prawa karnego w celu zachowania poufności postępowań prowadzonych przez organy ścigania,
kontroli przez organ nadzorczy zgodności przetwarzania przekazanych danych osobowych z przepisami prawa oraz o treści wydanych przez organ nadzorczy zaleceń pokontrolnych i decyzji,
jakimkolwiek przypadkowym lub nieupoważnionym dostępie do przekazanych danych osobowych, ujawnieniu osobom nieupoważnionym, przypadkowym lub niezgodnym z prawem zniszczeniu, utraceniu, zmodyfikowaniu lub innym naruszeniu bezpieczeństwa danych osobowych,
jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dotyczą przekazane dane (np. żądaniu sprostowania, usunięcia, przeniesienia, zmodyfikowania, zaprzestania przetwarzania danych), bez udzielenia odpowiedzi na to żądanie, chyba że Podmiot przetwarzający zostanie upoważniony do takiej odpowiedzi przez Administratora danych.
§ 7
Podmiot przetwarzający zobowiązuje się do stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia Administratorowi danych niezwłocznej pomocy w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia.
Podmiot przetwarzający zobowiązuje się do zapewnienia Administratorowi danych niezwłocznej pomocy w wywiązywaniu się z obowiązków określonych w art. 32–36 Rozporządzenia, uwzględniając charakter przetwarzania oraz dostępne Podmiotowi przetwarzającemu informacje.
Podmiot przetwarzający zobowiązuje się udostępniać Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Rozporządzeniu oraz umożliwić Administratorowi danych lub audytorowi upoważnionemu przez Administratora danych przeprowadzania audytów, w tym inspekcji, i przyczyniać się do nich. Administrator danych zobowiązuje się do zachowania w tajemnicy informacji uzyskanych w trakcie audytów, chyba że ujawnienie tych informacji nakazują powszechnie obowiązujące przepisy prawa.
Podmiot przetwarzający będzie stosował się do zaleceń organów nadzorczych w odniesieniu do przetwarzania przekazywanych danych osobowych.
Podmiot przetwarzający wyraża zgodę na przeprowadzanie przez organ nadzorczy kontroli ochrony danych osobowych u Podmiotu przetwarzającego lub jego podwykonawcy, zarówno w trakcie obowiązywania niniejszej umowy, jak i po jej zakończeniu, która to kontrola może mieć ten sam zakres i podlegać tym samym warunkom, jakie miałyby zastosowanie do kontroli Administratora danych.
§ 8
Jakiekolwiek zmiany w niniejszej umowie mogą być dokonane tylko w formie pisemnej pod rygorem nieważności.
W sprawach nieuregulowanych oraz w przypadku ewentualnych sporów zastosowanie mają przepisy Rozporządzenia, kodeksu cywilnego oraz inne powszechnie obowiązujące przepisy prawa polskiego.
Strony postanawiają, że dla potrzeb niniejszej umowy adresami korespondencyjnymi są adresy Stron wskazane w niniejszej umowie, co oznacza, że przesyłka wysłana na te adresy uważana będzie za skutecznie doręczoną, chyba że uprzednio Strona poinformuje w formie pisemnej, faxem lub za pomocą poczty elektronicznej o zmianie adresu.
W przypadku braku porozumienia, Strony poddają spory związane z niniejszą umową pod rozstrzygnięcie sądu powszechnego właściwego dla siedziby Administratora danych.
Umowę sporządzono w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.
Administrator danych |
|
Podmiot przetwarzający |