Umowa powierzenia przetwarzania danych osobowych (wzór) zawarta w dniu pomiędzy:

Załącznik nr 4

Umowa powierzenia przetwarzania danych osobowych (wzór) zawarta w dniu           pomiędzy:

(zwana dalej „Umową”)

Krakowskim Parkiem Technologicznym sp. z o.o. z siedzibą w Krakowie (30-394) przy ul. Podole 60, zarejestrowaną w Krajowym Rejestrze Sądowym – rejestrze przedsiębiorców prowadzonym przez Sąd Rejonowy dla Krakowa-Śródmieścia, Wydział XI Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000058058, kapitał zakładowy Spółki: 25 372 000 zł, w całości opłacony, NIP: 000-00-00-000, reprezentowaną przez:

…………...............................................................

.........................................................................

zwanym dalej „Administratorem”, a

……………………………..… z siedzibą w …………….. przy ul. ………………………, wpisaną do Rejestru Przedsiębiorców prowadzonego w Sądzie Rejonowym dla pod

numerem KRS , reprezentowaną przez

………………………………………………………………………….,

zwanym dalej „Podmiotem przetwarzającym”, zaś wspólnie zwanymi dalej

„Stronami”.

W związku z zawarciem w dniu …………………………………….. umowy w sprawie zapewnienia ekspertów, którzy przeprowadzą cykl szkoleń dla przedstawicieli 24 JST (kadry merytorycznej i kierowniczej), będących uczestnikami w projekcie pn. „Standardy obsługi inwestora w Małopolsce 2.0” nr…………………………, pomiędzy …………………………….., a Krakowskim Parkiem Technologicznym sp. z o.o., zwanej dalej „Umową zasadniczą”,

Strony postanawiają, co następuje:

§ 1

Definicje

Użyte w Umowie określenia i skróty oznaczają:

1) dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania

osobie fizycznej;

2) naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

3) organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych;

4) pracownik - osobę świadczącą pracę na podstawie stosunku pracy;

5) przetwarzanie danych osobowych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

6) rozporządzenie - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str.1 z xxxx.xx.);

7) ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z

2018 r. poz. 1000 z późn. zm)

§ 2

Powierzenie przetwarzania danych osobowych

1. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 rozporządzenia dane osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w niniejszej Umowie.

2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, rozporządzeniem, ustawą oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

3. Podmiot przetwarzający oświadcza, że podjął środki zabezpieczające, wymagane na

mocy art. 32 rozporządzenia.

§ 3

Zakres, cel i czas trwania przetwarzania danych

1. Zakres danych osobowych powierzonych Podmiotowi przetwarzającemu do

przetwarzania obejmuje:

(1) imię i nazwisko

(2) adres e-mail

(3) nazwa instytucji (4) …………………………

2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu organizacji i przygotowania szkoleń dla przedstawicieli 24 JST (kadry merytorycznej i kierowniczej), będących uczestnikami w projekcie pn. „Standardy obsługi inwestora w Małopolsce 2.0”.

3. Powierzone przez Administratora dane osobowe będą przetwarzane do dnia

31.12.2025 r.

§ 4

Obowiązki Podmiotu przetwarzającego

1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia.

2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy

przetwarzaniu powierzonych danych osobowych.

3. Do przetwarzana powierzonych danych osobowych mogą być dopuszczeni jedynie pracownicy Podmiotu przetwarzającego, posiadający imienne upoważnienia do przetwarzania danych osobowych.

4. Podmiot przetwarzający zobowiązuje się do wydania upoważnień do przetwarzania danych osobowych osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy.

5. Podmiot przetwarzający przekaże Administratorowi listę osób, które *upoważni/-ł

do przetwarzania powierzonych danych.

6. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b rozporządzenia, powierzonych do przetwarzania danych przez osoby, które upoważni do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.

7. Podmiot przetwarzający po zakończeniu realizacji Umowy usuwa/*zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

8. Podmiot przetwarzający niezwłocznie przekazuje Administratorowi oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone niniejszą Umową.

9. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a o których mowa w rozdziale III rozporządzenia, oraz wywiązywania się z obowiązków określonych w art. 32-36 rozporządzenia.

10. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania danych osobowych.

§ 5

Naruszenia ochrony danych osobowych

1. Podmiot przetwarzający niezwłocznie poinformuje Administratora o wszelkich przypadkach naruszenia ochrony danych osobowych, a także obowiązków Podmiotu przetwarzającego dotyczących ochrony powierzonych do przetwarzania danych osobowych.

2. Podmiot przetwarzający, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Administratorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 rozporządzenia, zawierać informacje umożliwiające Administratorowi określenie, czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

3. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Administratora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, za które odpowiedzialność ponosi Podmiot przetwarzający, na wniosek i zgodnie z zaleceniami Administratora, Podmiot przetwarzający zawiadomi bez zbędnej zwłoki osoby, których to naruszenie ochrony danych osobowych dotyczy.

§ 6

Prawo kontroli

1. Administrator lub podmiot przez niego upoważniony ma prawo do przeprowadzenia kontroli lub audytu, w celu sprawdzenia spełniania obowiązków określonych w art. 28 rozporządzenia.

2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia.

3. Administrator lub podmiot przez niego upoważniony realizować będzie kontrole lub audyty w miejscach, gdzie są przetwarzane powierzone dane, w godzinach pracy Podmiotu przetwarzającego.

4. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi przetwarzającemu co najmniej 3 dni kalendarzowe przed rozpoczęciem czynności.

5. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Podmiot przetwarzający zobowiązań wynikających z rozporządzenia lub Umowy, Podmiot przetwarzający umożliwi Administratorowi, lub podmiotowi przez niego upoważnionemu, dokonanie niezapowiedzianej kontroli.

6. Administrator lub podmiot przez niego upoważniony, mają w szczególności prawo:

1) dostępu do systemów informatycznych, w których przetwarzane są powierzone do przetwarzania dane osobowe, przeprowadzenia niezbędnych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z rozporządzeniem oraz Umową;

2) żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, pracowników Podmiotu przetwarzającego w zakresie niezbędnym do ustalenia stanu faktycznego;

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii.

7. Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie dłuższym niż 7 dni.

§ 7

Dalsze powierzenie danych do przetwarzania

1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania innym podmiotom przetwarzającym jedynie w celu wykonania Umowy, wyłącznie po uzyskaniu uprzedniej pisemnej zgody Administratora oraz pod warunkiem, że wskazany podmiot daje gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art 28 ust. 1 rozporządzenia.

2. Podmiot przetwarzający zobowiązuje się zawrzeć z innym podmiotom przetwarzającym pisemną umowę zgodną z celami i warunkami opisanymi w niniejszej Umowie.

3. Projekt umowy, o której mowa w ust. 2 przekazywany jest do uprzedniej akceptacji

Administratora.

4. Podmiot przetwarzający przekaże Administratorowi kopię umowy, o której mowa w

ust. 2, w terminie 7 dni od dnia jej zawarcia.

5. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania

Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

6. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na innych podmiotach przetwarzających obowiązków ochrony danych.

§ 8

Odpowiedzialność Podmiotu przetwarzającego

1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzorczy, o którym mowa w ustawie.

§ 9

Rozwiązanie umowy

Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:

1) nie wdrożył środków wymaganych na mocy art. 32 rozporządzenia;

2) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli

lub audytu nie usunie ich w wyznaczonym terminie;

3) przetwarza dane osobowe w sposób niezgodny z Umową;

4) powierzył przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu bez uzyskania zgody Administratora.

§ 10

Zasady zachowania poufności

1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej.

2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy powierzonych danych nie będą one wykorzystywane, ujawniane ani udostępniane w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 11

Roszczenia regresowe

Administrator, który wypłacił pełne odszkodowanie za szkodę, którą osoba trzecia poniosła wskutek przetwarzania danych osobowych w sposób naruszający rozporządzenie lub ustawę, w szczególności w przypadku nałożenia przez organ nadzorczy kary administracyjnej na podmiot przetwarzający, może żądać zwrotu wypłaconego odszkodowania, spełnionego świadczenia, kary grzywny lub administracyjnej kary pieniężnej w rozumieniu rozporządzenia i ustawy, od podmiotów przetwarzających uczestniczących w tym samym przetwarzaniu.

§ 12

Postanowienia końcowe

1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej

ze Stron.

2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego, rozporządzenia lub ustawy.

3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy miejscowo dla Administratora.

4. Wszelkie zmiany i uzupełnienia niniejszej Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

Załączniki:

………………..

Administrator Podmiot przetwarzający