Umowa powierzenia przetwarzania danych osobowych zawarta dnia ………………….r. pomiędzy: (zwana dalej „Umową”)


Umowa powierzenia przetwarzania danych osobowych

zawarta dnia ………………….r. pomiędzy:

(zwana dalej „Umową”)


Uniwersytetem Ekonomicznym w Poznaniu, z siedzibą w Poznaniu, xxxxx Xxxxxxxxxxxxxx 00, 00-000 Xxxxxx, NIP: 000-00-00-000. REGON 00000-1525

reprezentowanym przez JM Rektora prof. dr. hab. Xxxxxxx Xxxxxxxxxxx, prof. zw. UEP,
zwanym w dalszej części Umowy „Administratorem”

oraz

…………………………………………………….. z siedzibą w ……………………………………………………………., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy w …………………………………………………., Wydział ………………………………… Krajowego Rejestru Sądowego, pod numerem …………………………………., NIP ……………………………., REGON …………………….., reprezentowaną przez:

zwaną w dalszej części Umowy „Podmiotem przetwarzającym”

reprezentowana przez:

…………………………………………………………….


§ 1

Powierzenie przetwarzania danych osobowych

  1. Administrator danych powierza Podmiotowi przetwarzającemu, w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.

  2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

  3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.


§2

Zakres i cel przetwarzania danych

  1. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się wyłącznie do zadań wynikających z zawartej pomiędzy stronami umowy nr …………………………. Okres przetwarzania obejmuje okres, w jakim jest zawarta pomiędzy Stronami umowa dotycząca przeprowadzenia każdej z maksymalnie 8 edycji dwudniowego szkolenia pt. „Metodyka zarządzania projektami Prince2 Foundation” oraz rozsądny i ograniczony czas po zakończeniu, zgodnie z dalszymi zapisami. W szczególności czas i sposób przetwarzania danych osobowych determinuje proces prowadzenia i utrzymania certyfikacji oraz wystawiania certyfikatów.

  2. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie Umowy dane osobowe, w zakresie niezbędnym do wykonywania swoich obowiązków wobec Zamawiającego, związanych z przeprowadzeniem każdej z maksymalnie 8 edycji dwudniowego szkolenia pt. „Metodyka zarządzania projektami Prince2 Foundation”.

  3. Przedmiotem przetwarzania mogą być dane osobowe, zgodne z celami opisanymi powyżej i mogą dotyczyć następujących typów danych osobowych:

  1. Podstawowe dane w tym:

  • Imię i nazwisko,

  • Adres e-mail,

  1. Na powyższych danych osobowych będą wykonywane operacje w trakcie:

a) wykonywania czynności serwisowych i naprawczych w systemie informatycznym;

b) nadzorowania bezpieczeństwa przetwarzania danych w systemie informatycznym;

c) przechowywania danych na serwerach Wykonawcy;

d) zarządzania dostępem do powierzonych danych;

e) wykonywania kopii zapasowych;

f) innych celach niezbędnych do wykonania umowy dotyczącej dostępu do narzędzi.

g) realizacji procesu egzaminu i certyfikacji


§3

Obowiązki podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.

  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

  3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.

  4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.

  5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwróci powierzone mu dane lub dokona ich zniszczenia – adekwatnie do woli Zamawiającego oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. po zakończeniu przetwarzania danych osobowych. Postanowienia zdania poprzedzającego nie dotyczą danych osobowych potrzebnych do utrzymania procesu certyfikacji – które będą przetwarzane przez okres niezbędny dla realizacji tego celu.

  6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.

  7. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki – nie później jednak niż w ciągu 24 godzin od jego wykrycia – zgłosi Zamawiającemu każde naruszenie danych osobowych, którego będzie uczestnikiem.


§4

Prawo kontroli

  1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.

  2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 14- dniowym jego uprzedzeniem.

  3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 14 dni roboczych.

  4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.

  5. Wykonanie audytu nie może prowadzić do naruszenia zasad ochrony danych osobowych istniejących u Podmiotu Przetwarzającego, w szczególności nie może skutkować niedozwolonym ujawnieniem danych osobowych przez niego przetwarzanych, a także stosowanych przez niego środków, metod i praktyk służących ochronie tych danych. Każda osoba przeprowadzająca czynności audytowe w imieniu Administratora podpisze stosowne oświadczenie o obowiązku zachowania w poufności informacji pozyskanych w trakcie wykonywania audytu, pod rygorem odmowy dopuszczenia danej osoby do jego przeprowadzenia. Osoby wykonujące czynności audytowe zobowiązane są stosować się do poleceń przedstawicieli Podmiotu Przetwarzającego związanych z dostępem do pomieszczeń, urządzeń, nośników oraz systemów informatycznych w celu zapewnienia należytej ochronnych danych osobowych przetwarzanych przez Podmiot Przetwarzający.”


§5

Dalsze powierzenie danych do przetwarzania1

  1. Zamawiający wyraża ogólną zgodę na to, by Wykonawca korzystał z usług innego podmiotu przetwarzającego, przy czym:

  1. Wykonawca zobowiązany jest poinformować pisemnie Zamawiającego o wszystkich zamierzonych działaniach dotyczących dodania, zmianach lub zastąpieniu innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec tych działań. Brak wyrażenia sprzeciwu w ciągu 10 dni roboczych od daty otrzymania przez Administratora danych zawiadomienia uznaje się jako akceptację Zamawiającego działań Wykonawcy w powyższym zakresie. W przypadku, gdy Administrator danych wyrazi sprzeciw w stosunku do złożonych propozycji, Podmiot przetwarzający dołoży należytych starań działając w dobrej wierze wspólnie z Administratorem, aby znaleźć akceptowalne i rozsądne alternatywne rozwiązanie. Jeżeli Podmiot przetwarzający nie będzie w stanie zaproponować takiego alternatywnego podejścia w rozsądnym czasie, który nie może przekroczyć trzydziestu (30) dni, Administrator danych może wypowiedzieć obowiązującą umowę na ………. oraz niniejszą Umowę. W takim wypadku wypowiedzenie następuje w formie pisemnej pod rygorem nieważności złożonej Podmiotu przetwarzającego w ciągu siedmiu dni od daty od daty upływu terminu wskazanego w zdaniu poprzedzającym i odbywa się bez ponoszenia kar i odpowiedzialności przez którąkolwiek ze stron.

  2. podpowierzenie przetwarzania danych osobowych przez Wykonawcę podwykonawcy wymaga formy umowy pisemnej pod rygorem nieważności oraz zastosowania należytych klauzul umownych w przypadku, kiedy stroną jest podmiot przetwarzający dane w państwie trzecim. Zawarta umowa musi nakładać na podwykonawcę obowiązki w zakresie ochrony danych, o poziomie ochrony zgodnym z przepisami RODO.



2. W ramach niniejszej Umowy Administrator autoryzuje jako podwykonawcę Wykonawcy, zgodnie z zakresem i celem przetwarzania wynikającym z tej Umowy: …………………….

3. W ramach niniejszej Umowy Administrator autoryzuje jako podwykonawcę Wykonawcy, zgodnie z zakresem i celem przetwarzania wynikającym z tej Umowy: …………………

4. Podmiot przetwarzający niniejszym oświadcza, że zawarł ze wszystkimi podmiotami, o których mowa w ust. 2 i 3 niniejszego paragrafu stosowne umowy o powierzenie przetwarzania danych zapewniające danym przekazanym Podmiotowi przetwarzającemu przez Administratora danych poziom ochrony Zgodny z RODO.

  1. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny

§ 6

Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

  2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych, a po 25 maja 2018 Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.

  3. Podmiot przetwarzający ponosi pełną odpowiedzialność za szkodę wyrządzoną Administratorowi danych w związku z zawinionym niewykonaniem lub nienależytym wykonywaniem postanowień Umowy oraz za wszelkie naruszenia przepisów Rozporządzenia w odniesieniu do danych powierzonych mu przez Administratora danych.

§7

Czas obowiązywania Umowy

  1. Niniejsza Xxxxx obowiązuje od dnia jej zawarcia przez czas nieokreślony.

  2. Okres przetwarzania obejmuje okres, w jakim jest zawarta pomiędzy Stronami umowa nr…………………. oraz dodatkowo obejmuje ograniczony czas po zakończeniu tej umowy, niezbędny do zwrócenia lub usunięcia danych. Niniejsza Xxxxx zostaje rozwiązana w związku z wypowiedzeniem umowy ………………………. lub wygaśnięciem tej umowy w związku z upływem terminu, na jaki została zawarta.

  3. Każda ze stron może wypowiedzieć niniejszą Umowę z zachowaniem 3-miesięcznego okresu wypowiedzenia.

§8

Rozwiązanie Umowy

  1. Administrator danych może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym na podstawie pisemnego oświadczenia, w przypadku gdy Podmiot przetwarzający:

  1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

  2. przetwarza dane osobowe w sposób niezgodny z Umową;

  3. powierzył przetwarzanie danych osobowych innemu podmiotowi niż podmioty wskazane w niniejszej Umowie bez zgody Administratora danych.


§9

Zasady zachowania poufności

  1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).

  2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy, przy czym w wypadku konieczności ujawnienia danych poufnych organom do tego upoważnionym na podstawie obowiązujących przepisów prawa, Podmiot przetwarzający jest zobowiązany do poinformowania Administratora danych o obowiązku ujawnienia danych przed tym ujawnieniem. Niewykonanie obowiązku opisanego w zdaniu poprzedzającym stanowi rażące naruszenie postanowień niniejszej Umowy.


§10

Postanowienia końcowe

  1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.

  2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia, a także innych powszechnie obowiązujących przepisów prawa.

  3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy Administratora danych.

  4. Arkusz weryfikacji podmiotu przetwarzającego dane osobowe zawarty w Załączniku nr 1 do Umowy stanowi jej integralną treść.




………………………………………………. ……………………………………………..

Administrator danych Podmiot przetwarzający





















ARKUSZ WERYFIKACJI PODMIOTU PRZETWARZAJĄCEGO DANE OSOBOWE


Lp.

Pytanie

Odpowiedź

Uwagi

1

Czy podmiot przetwarzający dane osobowe planuje wyznaczyć/wyznaczył Inspektora Ochrony Danych Osobowych (IOD)?



2

Jeżeli nie planuje wyznaczyć/nie został wyznaczony IOD to proszę o wskazanie innej osoby do kontaktu w kwestiach związanych z ochroną danych osobowych.



3

Czy podmiot przetwarzający dane osobowe wprowadził środki techniczne i organizacyjne, które będą spełniały wymogi RODO oraz innych aktów regulujących legalne przetwarzanie danych osobowych?


TAK/NIE/INNE


4

Czy podmiot przetwarzający dane osobowe korzysta z dalszych przetwarzających dane osobowe w procesie przetwarzania danych osobowych na zlecenie administratora danych osobowych?


TAK/NIE


5

Jeżeli podmiot przetwarzający dane osobowe korzysta z dalszych procesorów to czy są oni zlokalizowani w ramach EOG?


TAK/NIE


6

Czy dalszy procesor stosuje środki techniczne i organizacyjne spełniające wymogi RODO?


TAK/NIE


7

Jeżeli transfer danych odbywa się poza EOG to na jakiej podstawie prawnej?


TAK/NIE


8

Czy podmiot przetwarzający dane osobowe prowadzi rejestr kategorii czynności dla powierzonych operacji przetwarzania danych osobowych?


TAK


9

Czy podmiot przetwarzający dane osobowe wdrożył procedury dotyczące zarządzania incydentami bezpieczeństwa?


TAK/NIE


10

Czy podmiot przetwarzający wprowadził środki zapewniające, że systemy IT używane do przetwarzania danych osobowych są zgodne z RODO oraz innymi aktami regulującymi przetwarzanie danych osobowych?


TAK/NIE


11

Czy podmiot przetwarzający realizuje regularne audyty z zakresu bezpieczeństwa danych osobowych? Jeżeli tak to w jakich odstępach czasu odbywają się audyty? czy może udostępnić raporty?


TAK/NIE


12

Czy podmiot przetwarzający dane osobowe posiada aktualny certyfikat ISO 27001?


TAK/NIE


*Właściwe podkreślić/uzupełnić




…………………………………

Podpis Podmiotu przetwarzającego



1 Opcjonalnie – o ile ma zastosowanie

§5 nie ma zastosowania w przypadku, gdy Wykonawca będzie Administratorem danych i samodzielnie będzie pozyskiwał od uczestników szkolenia zgodę na przetwarzanie danych

A04-PL-28.05.2018 r.


Document Metadata

Filed: March 20th, 2019