Załącznik nr 2 do umowy ZP.240.22-24 UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 2 do umowy ZP.240.22-24 UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Krakowie, w dniu 24.06.2021 roku, pomiędzy:
Uniwersytetem Papieskim Xxxx Xxxxx XX w Krakowie
ul. Xxxxxxxxx 00, 00-000 Xxxxxx
NIP: 6761011948, REGON: 00387191,
który reprezentuje:
Kanclerz UPJPII – ……………………………..
przy kontrasygnacie Kwestora UPJPII – ………………………….
zwanym dalej „Zleceniodawcą” a
firmą ……………………….
zwaną dalej „Procesorem”
§ 1
Oświadczenia stron
1. Zleceniodawca oświadcza, że jest Administratorem danych w rozumieniu art. 4 pkt 7 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane dalej RODO.
2. Zleceniodawca w trybie art. 28 RODO powierza Procesorowi przetwarzanie wszelkich danych osobowych rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), w zakresie wskazanym w Załączniku nr 1.
3. Powierzenie danych osobowych Procesorowi następuje w celu wykonania Umowy nr ZP.240.21 - 20 zawartej pomiędzy Stronami w Krakowie w dniu 24.06.2021 roku (dalej jako „Umowa Główna”).
4. Zakres powierzenia, wskazany w Załączniku nr 1, może zostać w każdym momencie rozszerzony albo ograniczony przez Zleceniodawcę. Ograniczenie albo rozszerzenie może być dokonane poprzez przesłanie przez Zleceniodawcę do Procesora nowej wersji Załącznika nr 1 drogą elektroniczną (na adres e-mail wskazany w Załączniku nr 1). W przypadku braku reakcji Procesora w ciągu 7 Dni Roboczych (na potrzeby Umowy „Dni Robocze” należy rozumieć dni od poniedziałku do piątku, poza dniami ustawowymi wolnymi od pracy) od daty wysłania wiadomości przez Zleceniodawcę przyjmuje się, że Procesor zaakceptował zmianę zakresu powierzenia.
5. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu określonym w Umowie oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Umowie głównej.
6. Procesor oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami RODO.
7. Procesor oświadcza, iż przygotował stosowną dokumentację wymaganą od podmiotu, któremu powierzono przetwarzanie danych osobowych, zgodnie z postanowieniami RODO.
8. Zakres przetwarzania obejmuje dane osobowe określone § 1 ustęp 2, przetwarzane przez Procesora za pomocą wersji papierowej oraz następującego oprogramowania :
− SIMPLE.ERP,
− XPRIMER.
9. Poprzez przetwarzanie danych rozumie się: operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
10. Dane osobowe w zależności od potrzeb będą przetwarzane przez Procesora w siedzibie Zleceniodawcy i w siedzibie Procesora. Po wykonaniu czynności, o których mowa w § 2 ust. 2 niniejszej Umowy powierzenia, Zleceniobiorca niezwłocznie, zobowiązuje się usunąć wszelkie dane osobowe, których przetwarzanie zostało mu powierzone, w tym skutecznie usunąć je również z nośników elektronicznych pozostających w dyspozycji Zleceniobiorcy. Przez usunięcie danych osobowych należy rozumieć zniszczenie tych danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Przetwarzający może pozostawić jedną kopię danych w celach archiwalnych.
§ 2
OŚWIADCZENIA I OBOWIĄZKI PROCESORA
1. Procesor oświadcza i zapewnia, że wdrożył i stosuje środki i zabezpieczenia związane z przetwarzaniem danych osobowych, odpowiednie do rodzaju powierzonych mu w ramach Umowy danych, zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem tych danych, w szczególności ale nie wyłącznie, Procesor zastosował środki techniczne i organizacyjne, o których mowa w art. 32 RODO, zapewniające ochronę przetwarzanych Danych Osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem RODO oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z przepisów RODO.
2. Procesor jest zobowiązany:
1) przetwarzać powierzone dane osobowe wyłącznie na postawie Umowy oraz na udokumentowane polecenie Zleceniodawcy (tj. przekazane w formie instrukcji, o których mowa w § 2 ust. 2 pkt 2 lub w innym pisemnym lub elektronicznym dokumencie dostarczonym Procesorowi przez Zleceniodawcę), chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Procesora wynika z przepisów prawa, informuje on Zleceniodawcę drogą elektroniczną - przed rozpoczęciem przetwarzania - o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
2) przetwarzać powierzone dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Zleceniodawcy. Instrukcje (polecenia) są przekazywane przez Zleceniodawcę drogą elektroniczną (przesyłane na adres e-mail Zleceniobiorcy wskazany w Załączniku nr 1); z zastrzeżeniem § 3 ust. 5 Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Procesora termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Zleceniodawcę drogą elektroniczną (przesyłając informację na adres e-mail Zleceniodawcy wskazany w Załączniku nr 1) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Zleceniodawcy;
3) przetwarzać powierzone mu dane osobowe wyłączenie w miejscu ustalonym w Załączniku nr 1 do Umowy oraz na urządzeniach zarządzanych przez Procesora i jego personel lub dalszego przetwarzającego, z zachowaniem odpowiednich zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
4) udzielać dostępu do powierzonych danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy; Zleceniodawca upoważnia Procesora do udzielenia upoważnień, o których mowa w zdaniu powyżej.
5) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po wykonaniu Umowy oraz ustaniu zatrudnienia u Procesora; Procesor niniejszym potwierdza, że został pouczony, że powierzone mu dane osobowe mogą stanowić także tajemnicę przedsiębiorstwa i ich procesowanie wymaga zachowania najwyższej staranności, w tym w zakresie zasad bezpieczeństwa wynikających z obowiązujących przepisów prawa i Umowy głównej;
6) zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych oraz komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą urządzeń teletransmisji;
7) prowadzić ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych przetwarzanych w związku z wykonywaniem Umowy, zgodnie z wymaganiami określonymi w Ustawie. Procesor, na żądanie Zleceniodawcy, zobowiązany jest przedstawić aktualną listę osób z przyznanym dostępem do danych osobowych;
8) wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);
9) wspierać Zleceniodawcę (poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Procesora z Zleceniodawcą, w zakresie wskazanym w zdaniu poprzednim, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków
przez Zleceniodawcę; w związku z realizacją tego obowiązku Procesor jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych danych osobowych (lub ich kopii) na żądanie Zleceniodawcy w terminie 5 Dni Roboczych w formie określonej przez Zleceniodawcę w żądaniu; Procesor powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Zleceniodawcę o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Procesora; Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Zleceniodawcy;
10) pomagać Zleceniodawcy, w zakresie:
a) zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku nr 2);
b) dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Procesora w odniesieniu do zgłaszania naruszeń zostały określone w § 8 Umowy);
c) dokonywania przez administratora danych oceny skutków dla ochrony danych oraz przeprowadzania konsultacji administratora danych z organem nadzorczym, w tym, w szczególności, jest zobowiązany dostarczać Zleceniodawcy informacji niezbędnych do opisu planowanych operacji przetwarzania oraz celu przetwarzania, a także jest zobowiązany do uczestniczenia w dokonywaniu oceny, czy te operacje są niezbędne oraz proporcjonalne do celu przetwarzania oraz oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą;
11) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Zleceniodawcy, zawierający informacje o:
a) nazwie oraz danych kontaktowych Procesora oraz innych podmiotów przetwarzających (w przypadku podpowierzenia danych osobowych, o którym mowa w § 4 Umowy) oraz Zleceniodawcy, administratora danych, a także inspektora ochrony danych, gdy ma to zastosowanie;
b) kategoriach przetwarzań dokonywanych w imieniu Zleceniodawcy;
c) gdy ma to zastosowanie - przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;
d) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych.
12) udostępniać Zleceniodawcy, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Zleceniodawcę obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony powierzonych na podstawie niniejszej umowy danych osobowych;
13) umożliwić Zleceniodawcy, administratorowi danych lub audytorowi upoważnionemu przez Zleceniodawcę, administratora danych przeprowadzanie audytów na zasadach określonych w § 6 Umowy;
14) niezwłocznie informować Zleceniodawcę, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Zleceniodawca drogą elektroniczną(na adres e-mail wskazany w Załączniku nr 1) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxxx został naruszony;
15) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Zleceniodawcę o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych na podstawie niniejszej umowy danych osobowych przez Zleceniobiorcę, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych na podstawie niniejszej umowy danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych;
16) przechowywać dane osobowe tylko tak długo, jak to określiła Zleceniodawca, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Zleceniodawcy (jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Procesor poinformuje Zleceniodawcę przed jego podjęciem, a następnie zastosuje się do polecenia Zleceniodawcy).
§ 3
ŚRODKI ORGANIZACYJNE I TECHNICZNE
1. Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane na podstawie Umowy. Procesor powinien w szczególności wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku nr 1 (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO). Wykaz środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku nr 2.
2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w ust. 1, jest odpowiedni, Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3. Wdrażając środki organizacyjne i techniczne, o których mowa w ust. 1 i 2, Procesor:
1) przestrzega wytycznych Zleceniodawcy w zakresie sposobu zabezpieczenia procesów przetwarzania danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w § 2 ust. 1 pkt 1 oraz 2;
2) powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będzie przetwarzał na podstawie Umowy.
4. W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Procesor informuje o tym Zleceniodawcę i w porozumieniu z Zleceniodawcą dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych.
5. Zleceniodawca ma prawo wydawać Procesorowi wiążące instrukcje dotyczące wdrożenia dodatkowych środków zabezpieczających. Procesor powinien wdrożyć takie środki w terminie uzgodnionym z Zleceniodawcę.
6. Na każde żądanie Zleceniodawcy, Procesor jest zobowiązany do udostępniania dokumentacji (procedur) dotyczącej przetwarzania danych osobowych nie później niż w terminie 2 Dni Roboczych od dnia złożenia takiego żądania, po zawarciu odpowiedniej umowy o zachowaniu poufności ze Zleceniodawcą.
§ 4
PODPOWIERZENIE
1. Zleceniodawcy wyraża zgodę na dalsze powierzenie przez Procesora przetwarzania danych osobowych innym podmiotom przetwarzającym wskazanym w Załączniku nr 3 do Umowy w zakresie oraz celu zgodnym z Umową. Procesor jest zobowiązany do informowania o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia dalszych podmiotów przetwarzających. Zleceniodawca może sprzeciwić się dalszemu powierzeniu przez Procesora danych osobowych, w terminie 7 Dni Roboczych od otrzymania informacji, o której mowa w zdaniu poprzednim. W przypadku wyrażenia sprzeciwu przez Zleceniodawcę, Procesor nie jest uprawniony do zawarcia umowy z dalszym podmiotem przetwarzającym, którego dotyczy sprzeciw.
2. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO oraz przepisów obowiązującego prawa z zakresu ochrony danych osobowych, wskazanych w § 2 ust. 1 pkt 2, które Procesor zobowiązany jest przestrzegać przed dniem 25 maja 2018r., a także chroniło prawa osób, których dane dotyczą.
3. Procesor zapewni w umowie z dalszym podmiotem przetwarzającym, że na podmiot ten zostaną nałożone obowiązki odpowiadające obowiązkom Procesora określonym w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
4. Procesor zapewni również w umowie z dalszym podmiotem przetwarzającym możliwość realizacji przez Zleceniodawcę, administratora danych bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w § 6 Umowy). Procesor jest zobowiązany poinformować dalszy podmiot przetwarzający, że informacje, w tym dane osobowe, na temat tego podmiotu przetwarzającego mogą być udostępnione Zleceniodawcy w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.
5. Procesor jest w pełni odpowiedzialny przed Zleceniodawcą za spełnienie obowiązków wynikających z umowy powierzenia zawartej pomiędzy Procesorem a dalszym podmiotem przetwarzającym. Jeżeli dalszy podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna
odpowiedzialność wobec Zleceniodawcy za wypełnienie obowiązków tego dalszego podmiotu przetwarzającego spoczywa na Procesorze.
§ 5
TRANSFER DANYCH OSOBOWYCH
1. Procesor nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym („EOG”), chyba że Zleceniodawca udzieli mu uprzedniej, pisemnej pod rygorem nieważności, zgody zezwalającej na taki transfer.
2. Jeśli Zleceniodawca udzieli Procesorowi uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:
1) państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej lub
2) Zleceniodawca, administrator danych, Procesor lub dalszy podmiot przetwarzający zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.
§ 6
AUDYT
1. Zleceniodawcy jest w każdym momencie upoważniona do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Zleceniodawca może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Procesora.
2. Zleceniodawca poinformuje Procesora co najmniej 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli z ważnych powodów, w ocenie Procesora, audyt nie może zostać przeprowadzony we wskazanym terminie Procesor powinien poinformować o tym fakcie Zleceniodawcę drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku nr 1) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
3. Audyt, o którym mowa w ust. 1, może być wykonywany przez Zleceniodawcę, administratora danych (osoby przez nich wyznaczone) lub podmioty zewnętrzne, którym, Zleceniodawca, administrator danych zlecą wykonanie audytu, w miejscu przetwarzania danych osobowych objętych powierzeniem w Dni Robocze w godzinach od 8.00 do 16.00.
4. Procesor ma obowiązek współpracować ze Zleceniodawcą, administratorem danych i upoważnionymi przez nich audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Procesora.
5. Po przeprowadzonym audycie przedstawiciel Zleceniodawcy lub administratora danych sporządza protokół pokontrolny, który podpisują przedstawiciele obu podmiotów. Procesor zobowiązuje się w terminie uzgodnionym ze Zleceniodawcy lub administratorem danych, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
6. Zleceniodawcy ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Zleceniodawcy dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.
7. Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Zleceniodawcy, administratora danych (lub podmiot zewnętrzny, któremu Zleceniodawca lub administrator danych zlecą wykonanie audytu) audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w ust. 1 – 5.
8. Koszty związane z przeprowadzeniem audytu ponosi podmiot, który zlecił przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
9. Realizacja audytu przez Zleceniodawcę, administratora danych lub podmiot zewnętrzny, któremu Zleceniodawca lub administrator danych zlecą wykonanie audytu, w tym przekazanie jakichkolwiek informacji przez Procesora lub dalszy podmiot przetwarzający wymaga wcześniejszego zawarcia przez strony odpowiedniej umowy gwarantującej zachowanie poufności przekazywanych/pozyskanych informacji.
§ 7
ZGŁASZANIE NARUSZEŃ
1. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych. Procesor jest zobowiązany do udostępniania procedur, o których mowa w zdaniu poprzedzającym, na każde żądanie Zleceniodawcy, nie później niż w terminie 2 Dni Roboczych od dnia złożenia takiego żądania.
2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Zleceniodawcę danych osobowych Procesor, bez zbędnej zwłoki, jednak w miarę możliwości nie później niż w ciągu 24 godzin od wykrycia naruszenia, zgłasza je Zleceniodawcy. Zgłoszenie powinno zawierać co najmniej informacje o:
1) dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
2) charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie, a w razie możliwości, także wskazania podmiotów danych, których dotyczyło naruszenie;
3) systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
4) przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
5) charakterze i zakresie danych osobowych objętych naruszeniem;
6) możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
7) środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
8) danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
3. Jeżeli Procesor nie jest w stanie w tym samym czasie przekazać Zleceniodawcy wszystkich informacji, o których mowa w ust. 2, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
4. Do czasu uzyskania instrukcji od Zleceniodawcy, Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
5. Procesor jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Procesor jest zobowiązany na każde żądanie Zleceniodawcy niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzedzającym.
6. Procesor nie będzie bez wyraźnej instrukcji Zleceniodawcy powiadamiał o naruszeniu:
1) osób, których dane dotyczą ani
2) organu nadzorczego.
§ 8
CZAS TRWANIA UMOWY ORAZ ZASADY ODPOWIEDZIALNOŚCI
1. Umowa zostaje zawarta na czas określony i przestaje obowiązywać wraz z zakończeniem obowiązywania Umowy Głównej.
2. Zleceniodawca może rozwiązać Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia.
3. Zleceniodawca uprawniona jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub Umowy, a w szczególności, gdy:
1) organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
2) prawomocne orzeczenie sądu powszechnego wykaże, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
3) Zleceniodawca, administrator danych, w wyniku przeprowadzenia audytu, o którym mowa w § 6 Umowy stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Procesor nie zastosuje się do zaleceń pokontrolnych, o których mowa w § 6 ust. 5.
4. Naruszenie przez Procesora postanowień Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy Głównej.
5. Po zakończeniu obowiązywania Umowy Procesor powinien zgodnie z dyspozycją Zleceniodawcy zwrócić lub zniszczyć, w sposób i w terminie odrębnie ustalonym ze Zleceniodawcą, wszelkie dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych. Koszty zwrotu lub zniszczenia danych osobowych oraz ich kopii ponosi Procesor.
6. Procesor przesyła pisemne potwierdzenie zniszczenia danych osobowych w sposób i w terminie uzgodnionym ze Zleceniodawcą
7. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Zleceniodawcę, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Procesora.
8. W przypadku dalszego powierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy.
9. Procesor odpowiada za szkody, jakie powstaną u Zleceniodawcy, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Procesora danych osobowych objętych powierzeniem na podstawie Umowy, a w szczególności w związku z udostępnianiem danych osobowych osobom nieupoważnionym.
10. W przypadku naruszenia obowiązujących przepisów prawa lub Umowy z przyczyn leżących po stronie Procesora, w następstwie czego Zleceniodawca lub administrator danych zostaną zobowiązane do wypłaty odszkodowania lub zostaną ukarane administracyjną karą finansową, Procesor zobowiązuje się pokryć Zleceniodawcy i administratorowi danych poniesione z tego tytułu koszty.
§ 9
ADRESY STRON I DANE OSÓB
1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku nr 1.
2. Procesora w kontaktach ze Zleceniodawcą oraz Zleceniodawca w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku nr 1.
3. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie danych, o których mowa w ust. 1 – 2, Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną.
§ 10
POSTANOWIENIA KOŃCOWE
1. Wynagrodzenie z tytułu wykonywania przez Procesora Umowy uwzględnione jest w wysokości wynagrodzenia należnego mu z tytułu Umowy Głównej.
2. Umowa podlega prawu polskiemu. Umowa została sporządzona w 2 egzemplarzach, po jednym dla każdej Strony.
3. W sprawach, które nie zostały uregulowane Umową, znajdują zastosowanie odpowiednie przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych.
4. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
5. Procesor nie może przenieść praw lub obowiązków wynikających z Umowy bez pisemnej zgody Zleceniodawcy.
6. O ile Umowa Główna nie stanowi inaczej, wszelkie spory w związku z Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego ze względu na siedzibę Zleceniodawcy.
Zleceniodawca Procesor
ZAŁĄCZNIK NR 1
ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRON
1) Cele przetwarzania: Wykonanie umowy nr ZP.240.21-20 z dnia 24.06.2021 r.
2) Kategorie osób, których dane dotyczą: użytkownicy systemu, pracownicy, osoby zatrudnione na umowach cywilno-prawnych, kontrahenci, osoby kontaktowe.
3) Rodzaje danych osobowych: imię, nazwisko, adres, numer PESEL, numer telefonu, e-mail, adres IP, dane adresowe i kontaktowe, dane o czasie pracy, dane o wynagrodzeniach, dane dotyczące stopnia niepełnosprawności.
4) Obszar, na którym przetwarzane będą dane osobowe (siedziby kontrahenta wymienione w Umowie głównej): …………………………………….
5) Administrator danych osobowych: Uniwersytet Papieski Xxxx Xxxxx XX w Krakowie
6) Dane kontaktowe Stron:
a. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Zleceniodawcy na następujące dane kontaktowe: adres ul. Xxxxxxxxx 00 00-000 Xxxxxx, tel email
……………………………….
b. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Procesora na następujące dane kontaktowe: adres ………………………………….., tel. +48 …………….., email:
…………………...pl.
7) Dane przedstawicieli Stron:
a. Zleceniodawcę w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będzie:
…………………………….. tel. …………………… email …………………………….
b. Procesora w kontaktach ze Zleceniodawcą w zakresie ustaleń Umowy reprezentować będzie:
………………………, tel. +48 …………………………, email pl.
Zleceniodawca Procesor
ZAŁĄCZNIK NR 2
WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH, KTÓRE ZOBOWIĄZANY JEST WDROŻYĆ PROCESOR
W celu zapewnienia odpowiedniego stopnia zabezpieczenia powierzonych danych Procesor jest zobowiązany:
1. wdrożyć środki techniczne i organizacyjne:
- zapewniające możliwość ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów służących do przetwarzania danych osobowych oraz usług przetwarzania;
2. dokonywać regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;
Środki organizacyjne
- wdrożona Polityka Bezpieczeństwa Informacji i Danych Osobowych
- wdrożona procedura w zakresie zarządzania uprawnieniami do systemów informatycznych przetwarzających dane osobowe
- wdrożona procedura w zakresie bezpiecznego logowania i zarządzania hasłami
- wdrożona procedura w zakresie zarządzania systemami informatycznymi
- wdrożona procedura w zakresie dostępu do budynków, pomieszczeń i systemów
- wdrożona procedura w zakresie zarządzania bezpieczeństwem urządzeń mobilnych
- wdrożona procedura w zakresie opiniowania oraz akceptacji zmian w projektach oraz infrastrukturze Procesora
- wdrożona procedura w zakresie zarządzania nośnikami informacji
- wdrożona procedura w zakresie dostępu do informacji na stacjach roboczych i laptopach z uwzględnieniem zdalnego dostępu użytkowników, administratorów oraz bezpiecznych technologii
- wdrożona procedura w zakresie stosowania certyfikatów
- wdrożona procedura w zakresie ciągłości działania
- wdrożona procedura w zakresie zarządzania środowiskami rozwojowymi, testowymi i deweloperskimi, ich separacji
- stosowanie dobrych praktyk oraz wytycznych w zakresie bezpiecznego tworzenia oprogramowania
- wyznaczona została osoba nadzorująca przestrzeganie zasad ochrony danych osobowych zgodnie z Ustawą oraz RODO (ewentualnie IOD)
- prowadzona jest ewidencja osób upoważnionych do przetwarzania danych gwarantująca rozliczalność procesów przetwarzania danych osobowych, zapewnienie poufności, integralności, dostępności
przetwarzanych danych osobowych oraz usług przetwarzania
Środki techniczne:
- Mechanizmy zapewniające odpowiednie zabezpieczenie przetwarzanych danych osobowych:
- anonimizacja,zastosowanie metody szyfrowania danych osobowych: TLS 1.2 przy transmisji,
szyfrowanie załączników poczty, opcjonalnie TDE dla danych przechowywanych w MS SQL Server,.
- zastosowanie rozwiązania w zakresie ochrony przed złośliwym oprogramowaniem: anti malware, programy antywirusowe, etc.
- stosowanie rozwiązań i procedur w zakresie bezpiecznego dostępu do informacji na stacjach roboczych i laptopach ze szczególnym uwzględnieniem zdalnego dostępu użytkowników, administratorów oraz
bezpiecznych technologii zdalnego dostępu
- stosowanie bezpiecznych rozwiązań w zakresie bezpiecznego uwierzytelniania i autoryzacji oraz bezpiecznego zarządzania hasłami
- stosowanie bezpiecznych mechanizmów w zakresie transmisji danych
- stosowanie rozwiązań w zakresie bezpiecznego zarządzania i separacji środowisk rozwojowych, testowych i produkcyjnych
- zapewnienie niezbędnych informacji do wyjaśnienia incydentów (np. rejestry logów, informacji z narzędzi monitorujących)
- zapewnienie bezpieczeństwa usług sieciowych ze szczególnym uwzględnieniem usług udostępnianych w sieci publicznej
Podpis Procesora…………………………………….
ZAŁĄCZNIK NR 3
WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH
1) eq system sp. z o.o., ul. Św. Xxxxxxxxx 00, 00-000 Xxxxxxx Xxxxxxxx, NIP: 6292263139
2) SIMPLE S.A., ul. Xxxxxxxxxx Xxxxxx 00/00, 00-000 Xxxxxxxx, NIP: 1130022578
Podpis Procesora…………………………………….