Umowa

Załącznik nr 8 do SIWZ SSZP 371/ 37 / 2018

Umowa

Powierzenia przetwarzania danych osobowych

Zawarta w dniu r. pomiędzy:

Akademią Wychowania Fizycznego Xxxxxx Xxxxxxxxxxxx z siedzibą w Warszawie przy ulicy Marymonckiej 34, zwaną dalej ”Zamawiającym”, reprezentowaną przez:

1. Xxxxxxx Xxxxxxx – Xxxxxxxxx,

2. Xxxxxxxxx Xxxxxxxxx – Kwestor, zwanym w dalszej

Zleceniodawcą

a

………………………………………………………………………………………………………………………………………………………………………. zwanym w dalszej

Zleceniobiorcą

Definicje

1. Dla potrzeb niniejszej umowy, o ile z treści i celu umowy nie wynika inaczej, przyjmuje się następujące znaczenie dla poniżej wymienionych sformułowań:

1) „Umowa” – umowa na dostawę sprzętu naukowo – badawczego do Akademii Wychowania

Fizycznego Xxxxxx Xxxxxxxxxxxx w Warszawie, tj. …………………………………………………………………………...

2) „Dane osobowe” – dane osobowe w rozumieniu art. 4 RODO.

3) „Polityki”-polityka ochrony danych w rozumieniu RODO preambuła motyw 78.

4) „Zabezpieczenie danych osobowych”- oznacza zabezpieczenie danych osobowych w rozumieniu RODO art. 32, preambuła motyw 78.

5) „IOD” – Inspektor Ochrony Danych w rozumieniu RODO art. 37-39, preambuła motyw 97.

6) „Administrator” – Administrator Danych Osobowych w rozumieniu RODO art. 4.

2. Zleceniodawca oświadcza, że jest administratorem zbiorów danych osobowych.

3. Zleceniobiorca może przetwarzać dane osobowe powierzone do przetwarzania przez Zleceniodawcę w zakresie i celu zgodnym z Umową w zakresie :

4. Powierzenie przetwarzania danych osobowych nastąpi od dnia zawarcia Umowy.

5. Oświadczenia i obowiązki:

1) Zleceniobiorca niniejszym oświadcza i gwarantuje, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany Personel, w zakresie umożliwiającym należyte wykonanie Umowy powierzenia zgodnie z powszechnie obowiązującymi przepisami prawa na terytorium Polski. W szczególności Zleceniobiorca oświadcza i gwarantuje, że zna i stosuje zasady ochrony Danych osobowych wynikające z RODO;

2) Zleceniobiorca zobowiązuje się w szczególności

a. przetwarzać Dane osobowe wyłącznie w zakresie określonym w Umowie powierzenia i wyłącznie celu należytego wykonania Umowy;

b. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora danych (tj. przekazane w formie instrukcji, lub w innym pisemnym lub elektronicznym dokumencie dostarczonym przez Administratora), chyba że obowiązek taki nakłada na niego obowiązujące prawo unijne lub krajowe – w takim przypadku Zleceniobiorca informuje Administratora danych drogą elektroniczną na adres email: xxxx@xxx.xxx.xx – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

c. posługiwać się przy wykonywaniu Umowy powierzenia jedynie osobami, którym zostało udzielone imienne upoważnienie do przetwarzania danych w formie pisemnej;

x. xxxxxxxxxx, w formie pisemnej, osoby, którymi posługuje się przy wykonywaniu Umowy powierzenia do zachowania Danych osobowych w tajemnicy;

e. wspierać Administratora danych, w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO (Prawa osoby, której dane dotyczą). Wsparcie Zleceniobiorca powinno odbywać się w formie i terminie umożliwiającym należytą i terminową realizację takich obowiązków przez Administratora danych. Wobec powyższego Zleceniobiorca jest w szczególności zobowiązana do:

− udzielania informacji oraz ujawnienia Danych osobowych na żądanie Administratora danych w terminie 3 Dni Roboczych w formie określonej przez Administratora danych;

− Zleceniobiorca niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, poinformować Administratora danych o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Zleceniobiorcy; w celu uniknięcia wszelkich wątpliwości Zleceniobiorca nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora danych;

x. xxxxxxx Administratorowi danych wywiązać się z obowiązków określonych w RODO, a w szczególności tych wskazanych w art. 32-36 RODO), tj. w szczególności w zakresie:

− zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych zgodnie z § 3 Umowy powierzenia;

− procedury zgłaszania naruszeń ochrony Danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu, zgodnie z § 4 Umowy powierzenia;

− dokonywania przez Administratora danych oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora danych z organem nadzorczym;

x. xxxxxxxxx w formie pisemnej rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora danych, zgodnie z art. 30 RODO;

h. współpracować z Administratorem danych w razie prowadzenia kontroli, audytu czy inspekcji w zakresie przetwarzania Danych osobowych przez uprawniony organ lub w związku z prowadzonym przez Administratora danych audytem;

i. przekazywać Administratorowi danych kopie protokołów kontroli, wystąpień lub stanowisk organów, skierowanych do Zleceniobiorca, bez odrębnego wezwania Administratora danych, nie później niż w ciągu 3 Dni Roboczych od dnia ich otrzymania;

j. niezwłocznie informować Administratora danych, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów unijnych lub krajowych o ochronie danych. Zleceniobiorca przekazuje taką informację w formie elektronicznej na adres e-mail email xxxx@xxx.xxx.xx, a informacja ta powinna zawierać w szczególności: 1) wskazanie przepisu, który narusza wydane polecenie oraz 2) uzasadnienie zawierające argumenty natury faktycznej i prawnej

3) Zleceniobiorca uznaje obowiązek ochrony danych osobowych za obowiązek wszystkich swoich pracowników, niezależnie od stosunku prawnego łączącego Zleceniobiorca z powyższymi osobami. Jednocześnie zobowiązuje się, że w przypadku, gdy którakolwiek z osób wskazanych w zdaniu poprzednim naruszy jakikolwiek zasady przestrzegania ochrony danych osobowych, niezwłocznie odsunie ją od wykonywania czynności związanych z Umową powierzenia oraz uniemożliwi jej dostęp do jakichkolwiek Danych osobowych Administratora.

4) ZLECENIOBIORCA zobowiązuje się wdrożyć i stosować odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy powierzenia oraz zapewnia realizację zasad ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default) - art. 25 RODO. Zleceniobiorca jest zobowiązana wdrożyć odpowiednie środki techniczne i organizacyjne.

5) Administrator danych ma prawo wydawać Zleceniobiorcy wiążące instrukcje dotyczące wdrożenia dodatkowych/nowych środków zabezpieczających. Zleceniobiorca powinna wdrożyć takie środki w terminie uprzednio uzgodnionym z Administratorem danych.

6. Obowiązki informacyjne i Incydenty

1) Zleceniobiorca zobowiązana jest niezwłocznie, jednakże nie później niż w ciągu 2 Dni Roboczych (48 godzin) od dnia powzięcia informacji, zawiadomić Administratora danych na adres e-mail: email xxxx@xxx.xxx.xx o:

a. prowadzonej lub planowanej kontroli, audycie czy inspekcji w zakresie przetwarzania Danych osobowych oraz umożliwić Administratorowi danych udział w tej kontroli, audycie czy inspekcji, o ile nie sprzeciwiają się temu przepisy prawa bezwzględnie obowiązującego ani organ prowadzący kontrolę;

b. wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony Danych osobowych prowadzonych przez organy administracji państwowej lub samorządowej, w tym w szczególności przez krajowy organ nadzoru (w tym w szczególności wszelkiej korespondencji z GIODO, UODO lub innym organem nadzorczym z ww. organami, decyzjach przez nie wydanych, rozpatrywanych skarg, prowadzonych lub zapowiedzianych kontrolach), Policję lub sąd (w tym w szczególności wszelkich postępowaniach, których przedmiotem byłoby powierzenie w przetwarzanie Danych osobowych), chyba że będzie to sprzeczne z decyzją wydaną przez organy administracji publicznej lub z przepisami prawa – o których posiada wiedzę.

7. Zleceniobiorca zobowiązana jest niezwłocznie, nie później jednak niż w ciągu 12 godzin, zawiadomić Administratora danych o każdym zaistniałym incydencie (dalej jako: „Incydent”) przez który rozumie się:

1) naruszenie zasad ochrony Danych osobowych lub

2) podejrzenie naruszenia lub

3) próbę naruszenia zasad ochrony Danych osobowych.

a. Zgłoszenie Incydentu powinno zostać dokonane drogą telefoniczną pod nr 22 834 04 31 wew.

429 oraz jednocześnie na adres e-mail: email xxxx@xxx.xxx.xx i zawierać co najmniej następujące informacje:

a) szczegółowy opis Incydentu, a w szczególności datę, czas trwania, miejsce wystąpienia Incydentu i jego skalę (x.xx. przybliżona liczba osób, których dotyczy Incydent oraz kategorie tych osób);

b) imię i nazwisko oraz dane kontaktowe do osoby, mogącej udzielić dalszych informacji o Incydencie;

c) opis zastosowanych środków w celu zminimalizowania ewentualnych negatywnych skutków Incydentu.

b. Zleceniobiorca zobowiązana jest niezwłocznie, jednakże nie później jednak niż w ciągu 12 godzin przekazać Administratorowi danych wszelkie dokumenty i informacje związane z Incydentem na każde żądanie Administratora danych.

c. Zleceniobiorca zobowiązana jest zastosować się do wszelkich wytycznych lub poleceń Administratora danych w celu zminimalizowania ewentualnych negatywnych skutków Incydentu i zapobiegnięcia jego powtórzeniu w przyszłości.

8. Usunięcie Danych osobowych:

1) Nie później niż w ciągu 30 dni od dnia wygaśnięcia lub rozwiązania Umowy, Zleceniobiorca zobowiązuje się:

a. komisyjnie zniszczyć wszelkie nośniki Danych osobowych (w tym wszelkie kopie Danych osobowych, w tym kopie robocze i archiwalne) oraz doręczyć Administratorowi danych pisemne oświadczenie (forma pisemna pod rygorem nieważności) o ich zniszczeniu podpisane przez Zleceniobiorca oraz wszystkich członków komisji, którzy uczestniczyli w zniszczeniu albo

b. zwrócić Administratorowi danych w/w nośniki Danych osobowych

- w zależności od żądania Administratora danych, złożonego Zleceniobiorcy za pomocą poczty elektronicznej na adres email xxxx@xxx.xxx.xx - z uwzględnieniem ust. 2 poniżej.

2) Oświadczenie o zniszczeniu nośników zostanie przesłane w formie skanu podpisanego dokumentu na adres email: xxxx@xxx.xxx.xx , a oryginał, w terminie 3 Dni Roboczych od dnia zniszczenia nośników Danych osobowych, wyśle listem poleconym lub doręczy osobiście na adres: xxxx@xxx.xxx.xx .

a) W celu uniknięcia wątpliwości Strony zgodnie oświadczają, że w przypadku Danych osobowych zapisanych w infrastrukturze informatycznej, takiej jak serwery, komputery, nośniki pamięci

masowej lub inny sprzęt komputerowy, Administrator danych nie jest uprawniony do żądania wydania mu elementów infrastruktury informatycznej, o której mowa powyżej, w których zostały zapisane Dane osobowe. Dane osobowe zapisane w infrastrukturze informatycznej zostaną w takim wypadku trwale zniszczone (usunięte), bez możliwości ich odtworzenia (przywrócenia) w jakikolwiek sposób.

9. Zmiana niniejszej umowy powierzenia może nastąpić tylko w formie pisemnej pod rygorem nieważności.

10. W sprawach nieuregulowanych niniejszą umową powierzenia mają zastosowania przepisy obowiązującego prawa.

11. Umowa wchodzi w życie z dniem jej zawarcia.

12. Niniejszą umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

Administrator/Zleceniodawca Zleceniobiorca