UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 7 do zapytania ofertowego nr 30/POWR/Z042/2019
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta dnia r. w Dąbrowie Górniczej (dalej Umowa),
pomiędzy:
Akademią WSB z siedzibą: 41-300 Dąbrowa Górnicza, ul. Cieplaka 1 C, NIP 000-00-00-000, Reprezentowaną przez……………………………………………………………….
(dalej Podmiot powierzający) a
…………………………………………
(dalej Podmiot przetwarzający)
łącznie zwanymi Stronami, a każda z osobna także Stroną
Mając na uwadze fakt, iż Xxxxxx łączy Umowa zawarta dnia …………………..r, przedmiotem której
jest (dalej Umowa główna), dla której wykonania konieczne jest przetwarzanie danych osobowych, Xxxxxx zgodnie postanowiły, co następuje:
§ 1 Definicje
Pojęcia użyte w Umowie mają następujące znaczenie:
1) Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
2) Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
3) Xxx Xxxxxxx – dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy,
4) Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
5) Organ nadzorczy – organ publiczny działający w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych,
6) RODO – Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
§ 2 Przedmiot Umowy
1. Podmiot powierzający powierza Podmiotowi przetwarzającemu do przetwarzania Dane osobowe ze zbioru Programu Operacyjnego Wiedza Edukacja Rozwój, których Administratorem jest minister właściwy do spraw rozwoju regionalnego.
2. Podmiot powierzający oświadcza, iż jest uprawniony do powierzenia przetwarzania danych
osobowych Podmiotowi przetwarzającemu.
3. Z tytułu wykonywania świadczeń określonych w Umowie Podmiotowi przetwarzającemu nie przysługuje dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie głównej.
§ 3 Przedmiot i czas przetwarzania
1. Przedmiotem przetwarzania są Dane osobowe powierzone Podmiotowi do przetwarzania w związku z realizacją Umowy głównej, określone w Załączniku nr 1 do Umowy.
2. Zakres powierzenia może zostać w każdym momencie zmieniony, rozszerzony lub ograniczony przez Podmiot powierzający, co nastąpi poprzez przesłanie Podmiotowi przetwarzającemu drogą elektroniczną nowej wersji Załącznika nr 1.
3. Powierzenie przetwarzania Danych osobowych następuje na czas realizacji Umowy głównej.
§ 4 Cel i charakter przetwarzania
1. Dane osobowe przetwarzane są w celu realizacji Umowy głównej.
2. Przetwarzanie powierzonych Danych osobowych ma charakter ciągły i następuje w formie papierowej lub w systemie informatycznym. Przetwarzanie powierzonych Danych osobowych obejmuje następujące czynności przetwarzania: zbieranie, utrwalania, przechowywanie, przeglądanie, wykorzystywanie, przesyłanie, usuwanie, niszczenie.
§ 5 Polecenie przetwarzania
1. Poprzez zawarcie Umowy Podmiot powierzający poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO.
§ 6 Oświadczenia Stron
1. Podmiot przetwarzający działa zgodnie z obowiązkami wynikającymi z RODO oraz powszechnie obowiązujących przepisów prawa polskiego.
2. Podmiot powierzający jest uprawniony do nadawania upoważnień, wydawania instrukcji i poleceń w rozumieniu art. 29 RODO w stosunku do Podmiotu przetwarzającego.
3. Podmiot powierzający uprawnia Podmiot przetwarzający do nadawania imiennych upoważnień osobom, które wyznaczy do przetwarzania danych osobowych.
4. Podmiot przetwarzający nie jest uprawniony do dalszego powierzania przetwarzania danych osobowych.
§ 7 Obowiązki Stron
1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający zobowiązany jest:
1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Umową oraz instrukcjami wydawanymi przez Podmiot powierzający,
2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Podmiotu powierzającego, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny,
3) prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust.2
RODO,
4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które do tego upoważni,
5) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które zobowiązał do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczania,
6) zobowiązać osoby, o których mowa w pkt.5 do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczania również po ustaniu stosunku prawnego łączącego te osoby z Podmiotem przetwarzającym,
7) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego,
8) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO,
9) podejmować obowiązki informacyjne wynikające z art. 13 i 14 RODO wobec osób, których Dane osobowe są przetwarzane przez Podmiot przetwarzający,
10) w razie potrzeby i na żądanie Podmiotu powierzającego pomagać mu w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
11) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Podmiot powierzający o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem,
12) w razie potrzeby i na żądanie Podmiotu powierzającego pomagać mu wywiązywać się z obowiązków określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków,
13) udostępniać Podmiotowi Powierzającemu na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Umowie.
14) Po stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Podmiotowi powierzającemu.
Zgłoszenie dokonywane jest na adres e-mail Podmiotu Powierzającego, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 do Umowy.
15) Jeśli informacji w Zgłoszeniu, o którym mowa w ust. 3 powyżej, nie da się udzielić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.
16) Podmiot przetwarzający dokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze.
17) Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności podmiotom Danych osobowych lub organowi nadzorczemu.
18) Podmiot przetwarzający zobowiązany jest wykorzystywać wzór zgłoszenia Naruszenia ochrony danych osobowych, wzór upoważnienia do przetwarzania danych osobowych oraz wzór odwołania upoważnienia do przetwarzania danych osobowych, które stanowią załączniki do niniejszej umowy.
§ 8 Prawo kontroli
1. Podmiot przetwarzający umożliwi Podmiotowi powierzającemu a także Administratorowi lub upoważnionym przez nich podmiotom przeprowadzenie audytu lub kontroli w zakresie zgodności przetwarzania powierzonych danych osobowych z umową oraz obowiązującymi przepisami dot. danych osobowych. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi przetwarzającemu co najmniej na 5 dni roboczych przed rozpoczęciem kontroli.
2. W przypadku powzięcia wiadomości o rażącym naruszeniu przez Podmiot przetwarzający obowiązków wynikających z umowy bądź obowiązujących przepisów dot. danych osobowych, Podmiot przetwarzający umożliwi Podmiotowi powierzającemu a także Administratorowi lub upoważnionym przez nich podmiotom przeprowadzenie niezapowiedzianej kontroli lub audytu w zakresie wskazanym w ust. 1.
3. Kontrolerzy Podmiotu powierzającego a także Administratora lub upoważnionych przez nich podmiotów w celu wykonania kontroli lub audytu, o których mowa w ust. 1 i 2, mają w szczególności prawo do wstępu w godzinach pracy Podmiotu przetwarzającego do pomieszczeń, w których są przetwarzane dane osobowe, mają prawo żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych przez Podmiot przetwarzający, wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii, przeprowadzenia oględzin urządzeń, nośników i systemu informatycznego służącego do przetwarzania danych osobowych.
4. Podmiot przetwarzający może zostać poddany kontroli lub audytowi w zakresie zgodności przetwarzania powierzonych danych osobowych z obowiązującymi przepisami dot. danych osobowych w miejscach gdzie dane osobowe są przetwarzane przez instytucje uprawnione do kontroli lub audytu na podstawie odrębnych przepisów.
5. Podmiot przetwarzający zobowiązuje się zastosować do zaleceń wynikających z przeprowadzonej kontroli lub audytu, o których mowa w ust. 1, ust. 2 oraz ust. 4.
6. Podmiot przetwarzający niezwłocznie informuje Podmiot powierzający, jeśli wydane Podmiotowi przetwarzającemu polecenie w oparciu o § 7 ust. 2 pkt 2) Umowy lub w oparciu o ust. 1 powyżej stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów.
7. Podmiot przetwarzający udostępni Podmiotowi powierzającemu a także Administratorowi lub upoważnionym przez nich podmiotom rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Podmiotu powierzającego.
§ 9 Odpowiedzialność
1. Podmiot przetwarzający odpowiada wobec osób trzecich, jak również wobec Podmiotu powierzającego za szkody spowodowane przetwarzaniem Danych osobowych w sposób naruszający przepisy RODO, ustawę o ochronie danych osobowych, inne powszechnie obowiązujące przepisy dotyczące ochrony danych osobowych lub postanowienia Umowy, a także jeśli działał poza zgodnymi z prawem instrukcjami Podmiotu powierzającego lub wbrew tym instrukcjom.
2. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza Dane osobowe, jak za własne działanie i zaniechanie.
3. Podmiot przetwarzający ma obowiązek współdziałać z Administratorem na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której Dane dotyczą.
§ 10 Czas trwania i wypowiedzenie Umowy
1. Umowa zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy głównej skutkuje rozwiązaniem Umowy.
2. Strony mogą rozwiązać Umowę zgodnie z postanowieniami zawartymi w Umowie głównej.
3. Po zakończeniu świadczenia usług związanych z przetwarzaniem Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Podmiotowi powierzającemu – zależnie od decyzji Podmiotu powierzającego – powierzone mu Dane osobowe, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych Danych osobowych. Na prośbę Podmiotu powierzającego Podmiot przetwarzający przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie wskazanym przez Podmiot powierzający.
4. W przypadku, gdyby zakres powierzonych Danych osobowych został zmieniony lub ograniczony, ust. 3 stosuje się odpowiednio do tych Danych osobowych, które wskutek tej zmiany lub ograniczenia nie będą dalej powierzane Podmiotowi przetwarzającemu.
5. Podmiot powierzający jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli zaistnieje chociażby jedna z poniższych przesłanek:
a. Podmiot przetwarzający nie wypełnia obowiązków wskazanych w RODO lub innych powszechnie obowiązujących przepisach dotyczących ochrony danych osobowych,
b. Podmiot przetwarzający nie wypełnia obowiązków wskazanych w Umowie.
c. Podmiotom wskazanym w § 8 nie zostanie zapewniona możliwość skorzystania z prawa kontroli.
6. Zaistnienie podstaw do rozwiązania Umowy bez wypowiedzenia stanowi podstawę do rozwiązania Umowy głównej bez wypowiedzenia.
7. Każdej ze Stron przysługuje prawo rozwiązania Umowy w trybie natychmiastowym, w przypadku naruszenia postanowień Umowy przez drugą Stronę.
§ 11 Dane kontaktowe Stron
1. W sprawach związanych z realizacją Umowy Strony reprezentują Przedstawiciele Stron wskazani w Umowie głównej.
2. Wszelka korespondencja w sprawach związanych z Umową kierowana jest na dane kontaktowe Stron
wskazane w Umowie głównej.
3. Doręczenia i zawiadomienia, dla których Umowa lub powszechnie obowiązujące przepisy nie wymagają formy pisemnej, dokonywane są drogą elektroniczną na adresy e-mail Stron:
1) Podmiot powierzający: ………………………………………………………………………………………….
2) Podmiot przetwarzający: …………………………………………………………………………..
§ 12 Postanowienia końcowe
1. Umowa podlega prawu polskiemu i wchodzi w życie z dniem jej podpisania przez Xxxxxx.
2. Załączniki stanowią integralną część Umowy.
3. W sprawach nieuregulowanych Umową zastosowanie mają powszechnie obowiązujące przepisy
prawa.
4. Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy pisemnej pod rygorem
nieważności, chyba że Umowa stanowi inaczej.
5. Podmiot przetwarzający nie może przenieść praw lub obowiązków wynikających z Umowy bez
uprzedniej pisemnej zgody Podmiotu powierzającego.
6. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy jest sąd właściwy dla siedziby Podmiotu powierzającego.
7. Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron.
………………………………………………………………. …………………………………………………
Podmiot powierzający Podmiot przetwarzający
Wykaz załączników:
Załącznik nr 1 - Przedmiot przetwarzania – zakres Danych osobowych Załącznik nr 2 - Wzór zgłoszenia Naruszenia ochrony danych osobowych Załącznik nr 3 – Wzór upoważnienia do przetwarzania danych osobowych
Załącznik nr 4 – Wzór odwołania upoważnienia do przetwarzania danych osobowych
Przedmiot przetwarzania – zakres Danych osobowych
1. Kategorie osób, których dane dotyczą: …………………………………………….
2. Rodzaj Danych osobowych:
Dane zwykłe | Szczególne kategorie danych osobowych | Dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa |
Wzór zgłoszenia Naruszenia ochrony danych osobowych
Zgłoszenie naruszenia ochrony danych osobowych nr ……….. | |
Data zgłoszenia: …………………….. | |
Charakter Naruszenia | |
• Data Naruszenia | |
• Czas trwania Naruszenia | |
• Miejsce zaistnienia Naruszenia | |
• Data stwierdzenia Naruszenia | |
• Miejsce stwierdzenia Naruszenia | |
• Kategorie osób, których dane dotyczą i których dotyczy Naruszenie | |
• Przybliżona liczba osób, których dane dotyczą i których dotyczy Naruszenie | |
• Kategorie danych osobowych, których dotyczy Naruszenie | |
• Przybliżona liczba wpisów danych osobowych, których dotyczy Naruszenie | |
• Charakter Danych osobowych, których dotyczy Naruszenie | |
• Zakres Danych osobowych, których dotyczy Naruszenie | |
• Osoby, których dane dotyczą i których dotyczy Naruszenie | |
• System informatyczny, w którym nastąpiło Naruszenie (jeśli dotyczy) | |
Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji na temat Naruszenia | |
Opis możliwych konsekwencji Naruszenia, w tym konsekwencji dla osób, których dane dotyczą i których dotyczy Naruszenie | |
Opis środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków | |
Przewidywany czas niezbędny do usunięcia konsekwencji Naruszenia | |
Inne istotne informacje dotyczące Naruszenia | |
Czy podane informacje stanowią wszystkie informacje, które dotyczą Naruszenia ochrony danych osobowych? |
Załącznik nr 3
Wzór upoważnienia do przetwarzania danych osobowych
UPOWAŻNIENIE Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem [ ] r., na podstawie art. 29 w związku z art. 28 rozporządzenia Parlamentu Europejskiego i Rady ( UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych z związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( ogólne rozporządzenie o ochronie danych) ( Dz. Urz. UE L 119 z 4 maja 2016, str. 1) ( RODO), upoważniam [ ] do przetwarzania danych osobowych w zbiorze Program Operacyjny Wiedza Edukacja Rozwój
Upoważnienie wygasa z chwilą ustania Pana/Pani* stosunku prawnego łączącego Pana/ Panią z
[ ].
Czytelny podpis osoby upoważnionej do wydawania i odwoływania upoważnień.
Upoważnienie otrzymałem/am
(miejscowość, data, podpis)
Oświadczam, że zapoznałem/am się z przepisami dotyczącymi ochrony danych osobowych, w tym z RODO, a także z obowiązującym w opisem technicznych i organizacyjnych środków zapewniających ochronę i bezpieczeństwo przetwarzania danych osobowych i zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w tych dokumentach.
Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych, z którymi zapoznałem/am się oraz sposobów ich zabezpieczania, zarówno w okresie trwania umowy jak również po ustania stosunku prawnego łączącego mnie z [ ]
Czytelny podpis osoby składającej oświadczenie
*niepotrzebne skreśli
Załącznik nr 4
Wzór odwołania upoważnienia do przetwarzania danych osobowych
ODWOŁANIE UPOWAŻNIENIA Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem r., na podstawie art. 29 w związku z art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016, str. 1), odwołuję upoważnienie Pana /Pani* nr
do przetwarzania danych osobowych wydane w dniu .
Czytelny podpis osoby, upoważnionej do wydawania i odwoływania upoważnień
(miejscowość, data)
*niepotrzebne skreślić