UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6 do zapytania ofertowego nr nr 1/2019/POWR.03.03.00-00-M088/16
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta dnia r. w Dąbrowie Górniczej (dalej Umowa),
pomiędzy:
Akademią WSB z siedzibą: 41-300 Dąbrowa Górnicza, ul. Cieplaka 1 C, NIP 000-00-00-000, Reprezentowaną przez……………………………………………………………….
(dalej Administrator) a
…………………………………………
(dalej Podmiot przetwarzający)
łącznie zwanymi Stronami, a każda z osobna także Stroną
Mając na uwadze fakt, iż Xxxxxx łączy Umowa zawarta dnia …………………..r, przedmiotem której jest (dalej Umowa główna), dla której wykonania konieczne jest przetwarzanie
danych osobowych, Xxxxxx zgodnie postanowiły, co następuje:
§ 1 Definicje
Pojęcia użyte w Umowie mają następujące znaczenie:
1) Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
2) Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
3) Xxx Xxxxxxx – dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy,
4) Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
5) Organ nadzorczy – organ publiczny działający w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych,
6) RODO – Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
§ 2 Przedmiot Umowy
1. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania Dane osobowe na zasadach określonych w Umowie.
2. Z tytułu wykonywania świadczeń określonych w Umowie Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie głównej.
§ 3 Przedmiot i czas przetwarzania
1. Przedmiotem przetwarzania są Dane osobowe powierzone do przetwarzania w związku z realizacją Umowy głównej, określone w Załączniku nr 1 do Umowy.
2. Zakres powierzenia może zostać w każdym momencie zmieniony, rozszerzony lub ograniczony przez Administratora, co nastąpi poprzez przesłanie Podmiotowi przetwarzającemu drogą elektroniczną nowej wersji Załącznika nr 1.
3. Powierzenie przetwarzania Danych osobowych następuje na czas realizacji Umowy głównej.
§ 4 Cel i charakter przetwarzania
1. Dane osobowe przetwarzane są w celu realizacji Umowy głównej.
2. Przetwarzanie powierzonych Danych osobowych ma charakter ciągły i następuje w formie papierowej lub w systemie informatycznym. Przetwarzanie powierzonych Danych osobowych obejmuje następujące czynności przetwarzania: zbieranie, utrwalania, przechowywanie, przeglądanie, wykorzystywanie, przesyłanie, usuwanie, niszczenie.
§ 5 Polecenie przetwarzania
1. Poprzez zawarcie Umowy Administrator poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO.
§ 6 Oświadczenia Stron
1. Podmiot przetwarzający działa zgodnie z obowiązkami wynikającymi z RODO oraz powszechnie obowiązujących przepisów prawa polskiego.
2. Administrator oświadcza, że jest uprawniony do powierzenia przetwarzania Danych osobowych.
3. Administrator jest uprawniony do nadawania upoważnień, wydawania instrukcji i poleceń w rozumieniu art. 29 RODO w stosunku do Podmiotu przetwarzającego.
4. Administrator uprawnia Podmiot przetwarzający do nadawania upoważnień, wydawania instrukcji i poleceń w rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
§ 7 Obowiązki Stron
1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający zobowiązany jest:
1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Umową oraz instrukcjami wydawanymi przez Administratora,
2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny,
3) prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust.2 RODO,
4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które do tego upoważni,
5) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które zobowiązał do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczania,
6) zobowiązać osoby, o których mowa w pkt.5 do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczania również po ustaniu stosunku prawnego łączącego te osoby z Podmiotem przetwarzającym,
7) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Administratora, chyba że wymagają tego przepisy prawa unijnego lub polskiego,
8) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO,
9) podejmować obowiązki informacyjne wynikające z art. 13 i 14 RODO wobec osób, których Dane osobowe są przetwarzane przez Podmiot przetwarzający,
10) w razie potrzeby i na żądanie Administratora pomagać Administratorowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
11) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Administratora o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem,
12) w razie potrzeby i na żądanie Administratora pomagać Administratorowi wywiązywać się z obowiązków określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków,
13) udostępniać Administratorowi na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Umowie.
14) Po stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Administratorowi. Zgłoszenie dokonywane jest na adres e-mail Administratora, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 do Umowy.
15) Jeśli informacji w Zgłoszeniu, o którym mowa w ust. 3 powyżej, nie da się udzielić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.
16) Podmiot przetwarzający dokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze.
17) Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności podmiotom Danych osobowych lub organowi nadzorczemu.
18) Pomiot przetwarzający nie jest uprawniony do dokonania dalszego powierzenia przetwarzania Danych Osobowych.
§ 8 Prawo kontroli
1. Podmiot przetwarzający umożliwia Administratorowi lub upoważnionemu przez Administratora audytorowi przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich.
2. Podmiot przetwarzający niezwłocznie informuje Administratora, jeśli wydane Podmiotowi przetwarzającemu polecenie w oparciu o § 7 ust. 2 pkt 2) Umowy lub w oparciu o ust. 1 powyżej stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów.
3. Podmiot przetwarzający na żądanie Administratora udostępnia rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora.
§ 9 Odpowiedzialność
1. Podmiot przetwarzający odpowiada wobec osób trzecich, jak również wobec Administratora za szkody spowodowane przetwarzaniem Danych osobowych w sposób naruszający przepisy RODO, ustawę o ochronie danych osobowych, inne powszechnie obowiązujące przepisy dotyczące ochrony danych osobowych lub postanowienia Umowy, a także jeśli działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
2. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza Dane osobowe, jak za własne działanie i zaniechanie.
3. Podmiot przetwarzający ma obowiązek współdziałać z Administratorem na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której Dane dotyczą.
§ 10 Czas trwania i wypowiedzenie Umowy
1. Umowa zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy głównej skutkuje rozwiązaniem Umowy.
2. Strony mogą rozwiązać Umowę zgodnie z postanowieniami zawartymi w Umowie głównej.
3. Po zakończeniu świadczenia usług związanych z przetwarzaniem Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Administratorowi– zależnie od decyzji Administratora – powierzone mu Dane osobowe, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych Danych osobowych. Na prośbę Administratora Podmiot przetwarzający przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie wskazanym przez Administratora.
4. W przypadku, gdyby zakres powierzonych Danych osobowych został zmieniony lub ograniczony, ust. 3 stosuje się odpowiednio do tych Danych osobowych, które wskutek tej zmiany lub ograniczenia nie będą dalej powierzane Podmiotowi przetwarzającemu.
5. Administrator jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli zaistnieje chociażby jedna z poniższych przesłanek:
a. Podmiot przetwarzający nie wypełnia obowiązków wskazanych w RODO lub innych powszechnie obowiązujących przepisach dotyczących ochrony danych osobowych,
b. Podmiot przetwarzający nie wypełnia obowiązków wskazanych w Umowie.
c. Administratorowi nie zostanie zapewniona możliwość skorzystania z prawa kontroli.
6. Zaistnienie podstaw do rozwiązania Umowy bez wypowiedzenia stanowi podstawę do rozwiązania Umowy głównej bez wypowiedzenia.
7. Każdej ze Stron przysługuje prawo rozwiązania Umowy w trybie natychmiastowym, w przypadku naruszenia postanowień Umowy przez drugą Stronę.
§ 11 Dane kontaktowe Stron
1. W sprawach związanych z realizacją Umowy Strony reprezentują Przedstawiciele Stron wskazani w Umowie głównej.
2. Wszelka korespondencja w sprawach związanych z Umową kierowana jest na dane kontaktowe Stron wskazane w Umowie głównej.
3. Doręczenia i zawiadomienia, dla których Umowa lub powszechnie obowiązujące przepisy nie wymagają formy pisemnej, dokonywane są drogą elektroniczną na adresy e-mail Stron:
1) Administrator: ………………………………………………………………………………………….
2) Podmiot przetwarzający: …………………………………………………………………………..
§ 12 Postanowienia końcowe
1. Umowa podlega prawu polskiemu i wchodzi w życie z dniem jej podpisania przez Xxxxxx.
2. Załączniki stanowią integralną część Umowy.
3. W sprawach nieuregulowanych Umową zastosowanie mają powszechnie obowiązujące przepisy prawa.
4. Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy pisemnej pod rygorem nieważności, chyba że Umowa stanowi inaczej.
5. Podmiot przetwarzający nie może przenieść praw lub obowiązków wynikających z Umowy bez uprzedniej pisemnej zgody Administratora.
6. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy jest sąd właściwy dla siedziby Administratora.
7. Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron.
………………………………………………………………. …………………………………………………
Administrator Podmiot przetwarzający
Wykaz załączników:
Załącznik nr 1 - Przedmiot przetwarzania – zakres Danych osobowych Załącznik nr 2 - Wzór zgłoszenia Naruszenia ochrony danych osobowych Załącznik nr 3 – Wzór upoważnienia do przetwarzania danych osobowych
Załącznik nr 4 – Wzór odwołania upoważnienia do przetwarzania danych osobowych
Przedmiot przetwarzania – zakres Danych osobowych
1. Kategorie osób, których dane dotyczą: pracownicy Administratora zaangażowani w przygotowanie i realizację projektu, uczestnicy szkoleń,…………………………..
2. Rodzaj Danych osobowych:
Dane zwykłe | Szczególne kategorie danych osobowych | Dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa |
Pracownik: Uczestnik: |
Wzór zgłoszenia Naruszenia ochrony danych osobowych
Zgłoszenie naruszenia ochrony danych osobowych nr ……….. | |
Data zgłoszenia: …………………….. | |
Charakter Naruszenia | |
• Data Naruszenia | |
• Czas trwania Naruszenia | |
• Miejsce zaistnienia Naruszenia | |
• Data stwierdzenia Naruszenia | |
• Miejsce stwierdzenia Naruszenia | |
• Kategorie osób, których dane dotyczą i których dotyczy Naruszenie | |
• Przybliżona liczba osób, których dane dotyczą i których dotyczy Naruszenie | |
• Kategorie danych osobowych, których dotyczy Naruszenie | |
• Przybliżona liczba wpisów danych osobowych, których dotyczy Naruszenie | |
• Charakter Danych osobowych, których dotyczy Naruszenie | |
• Zakres Danych osobowych, których dotyczy Naruszenie | |
• Osoby, których dane dotyczą i których dotyczy Naruszenie | |
• System informatyczny, w którym nastąpiło Naruszenie (jeśli dotyczy) | |
Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji na temat Naruszenia | |
Opis możliwych konsekwencji Naruszenia, w tym konsekwencji dla osób, których dane dotyczą i których dotyczy Naruszenie | |
Opis środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków | |
Przewidywany czas niezbędny do usunięcia konsekwencji Naruszenia | |
Inne istotne informacje dotyczące Naruszenia | |
Czy podane informacje stanowią wszystkie informacje, które dotyczą Naruszenia ochrony danych osobowych? | |
Wzór upoważnienia do przetwarzania danych osobowych
UPOWAŻNIENIE Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem [ ] r., na podstawie art. 29 w związku z art. 28 rozporządzenia Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych z związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( ogólne rozporządzenie o ochronie danych) ( Dz. Urz. UE L 119 z 4 maja 2016, str. 1) ( RODO), upoważniam [ ] do przetwarzania danych osobowych w zbiorze Program Operacyjny Wiedza Edukacja Rozwój
Upoważnienie wygasa z chwilą ustania Pana/Pani* stosunku prawnego łączącego Pana/ Panią z [ ].
Czytelny podpis osoby upoważnionej do wydawania i odwoływania upoważnień.
Upoważnienie otrzymałem/am
(miejscowość, data, podpis)
Oświadczam, że zapoznałem/am się z przepisami dotyczącymi ochrony danych osobowych, w tym z RODO, a także z obowiązującym w opisem technicznych i organizacyjnych środków zapewniających ochronę i bezpieczeństwo przetwarzania danych osobowych i zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w tych dokumentach.
Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych, z którymi zapoznałem/am się oraz sposobów ich zabezpieczania, zarówno w okresie trwania umowy jak również po ustania stosunku prawnego łączącego mnie z [ ]
*niepotrzebne skreśli
Czytelny podpis osoby składającej oświadczenie
Wzór odwołania upoważnienia do przetwarzania danych osobowych
ODWOŁANIE UPOWAŻNIENIA Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem r., na podstawie art. 29 w związku z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016, str. 1), odwołuję upoważnienie Pana /Pani*
nr do przetwarzania danych osobowych wydane w dniu .
Czytelny podpis osoby, upoważnionej do wydawania i odwoływania upoważnień
(miejscowość, data)