Wzór: UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 4 do zapytania ofertowego APP_425_ABM22_2022
Wzór: UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu w Warszawie pomiędzy:
……………………………………………………………………………………..,
zwanym dalej „Administratorem danych” lub skrócie „Administratorem”
reprezentowanym przez:
…………………………………………………………………………………………………………
a
………………………………………………………………………………………………………………………….
…………………………………………………………………………………………………………………………. zwanym w dalszej części umowy „Podmiotem przetwarzającym” reprezentowanym przez:
………………………………………………………………………
………………………………………………………………………
zwanymi każdą z osobna w dalszej części Umowy „Stroną”, a łącznie „Stronami”. Zważywszy, że:
• Podmiot przetwarzający będzie świadczył na rzecz Administratora danych usługi z zakresu ………..1 na podstawie zawartej pomiędzy Stronami w dniu……………. nr …………..2 umowy głównej (zwaną w dalszej części „Umową Główną”),
• Podmiot przetwarzający w związku z realizacją Umowy Głównej będzie miał dostęp do danych osobowych
przetwarzanych przez Administratora danych,
• wydana została decyzja wykonawcza Komisji (UE) 2021/915 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725,
Strony niniejszym postanawiają zawrzeć umowę powierzenia przetwarzania danych osobowych (zwaną w dalszej
części „Umową”), o następującej treści:
§ 1
Cel i zakres
1. Celem niniejszej Umowy jest zapewnienie przestrzegania art. 28 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Strony uzgodniły treść niniejszej Umowy w celu zapewnienia przestrzegania art. 28 ust. 3 i 4 rozporządzenia
(UE) 2016/679.
1 Należy uzupełnić czego dotyczy umowa główna, np. serwisu gwarancyjnego, pogwarancyjnego, świadczenia usług etc.
2 Należy uzupełnić.
3. Niniejsza Umowa ma zastosowanie dla przetwarzania danych osobowych określonych w § 6 poniżej.
4. Załączniki nr 1 i 2 stanowią integralną część Umowy.
5. Niniejsza Umowa pozostaje bez uszczerbku dla obowiązków, którym podlega Administrator danych na
mocy rozporządzenia (UE) 2016/679.
6. Niniejsza Umowa sama w sobie nie zapewnia wypełnienia obowiązków związanych z międzynarodowym
przekazywaniem danych zgodnie z rozdziałem V rozporządzenia (UE) 2016/679.
§ 2
Niezmienność
1. Strony zobowiązują się nie zmieniać treści Umowy z wyjątkiem dodawania informacji do załączników lub
aktualizowania zawartych w nich informacji.
2. Postanowienie powyższe nie uniemożliwia Stronom umieszczania standardowych klauzul umownych określonych w Umowie w treści Umowy o szerszym zakresie ani dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne z Umową ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą.
§ 3
Wykładnia
1. Jeżeli w Umowie użyto terminów zdefiniowanych w rozporządzeniu (UE) 2016/679 terminy te mają takie samo znaczenie jak w tym rozporządzeniu.
2. Niniejszą Umowę odczytuje się i interpretuje w świetle przepisów rozporządzenia (UE) 2016/679.
3. Niniejszej Umowy nie interpretuje się w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679 ani w sposób naruszający podstawowe prawa lub wolności osób, których dane dotyczą.
§ 4
Hierarchia
W razie sprzeczności między Umową a postanowieniami powiązanych umów między Stronami istniejących w chwili
uzgadniania niniejszej Umowy lub zawartych po jej uzgodnieniu, pierwszeństwo ma niniejsza Umowa.
§ 5
Opis przetwarzania
Szczegóły dotyczące operacji przetwarzania, w szczególności kategorie danych osobowych i cele, dla których dane
osobowe są przetwarzane w imieniu Administratora, określono w § 6 i § 7 oraz w załączniku nr 1.
§ 6
Opis przetwarzania
Kategorie osób, których dane są przetwarzane. Kategorie przetwarzanych danych osobowych. Charakter przetwarzania
1. Administrator danych powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe, które zgromadził zgodnie z obowiązującymi przepisami prawa.
2. Kategorie osób, których dane są przetwarzane dotyczą: pracowników Administratora/studentów administratora/ osoby zatrudnione przez Administratora na podstawie umów cywilnoprawnych/ pacjentów uczestniczących w projektach naukowych i badawczych prowadzonych przez Administratora/ 3.
3. Kategorie danych osobowych poddawanych przetwarzaniu obejmują: imię i nazwisko/adres zamieszkania/identyfikatory np. PESEL/ numery albumów studentów/ dane genetyczne/dane biometryczne/dane dotyczące lokalizacji/dane dotyczące stanu zdrowia tj.………………………inne: 4.
3 Niepotrzebne skreślić. Należy uzupełnić w niezbędnym zakresie.
4 Niepotrzebne skreślić. Należy uzupełnić w niezbędnym zakresie.
4. Charakter przetwarzania: 5.
§ 7
Cel, zakres, miejsce przetwarzania powierzonych danych osobowych
1. Administrator danych powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych
określonych w § 6 powyżej jedynie w celu realizacji Umowy Głównej, tj 6
2. Zakres powierzanych danych obejmuje wyłącznie dane osobowe określone w § 6.
3. Na wniosek Administratora danych lub osoby, której dane dotyczą Podmiot przetwarzający wskaże miejsca, w których przetwarza powierzone dane.
4. Przetwarzanie danych osobowych będzie dokonywane poprzez: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnienie poprzez przesłanie, rozpowszechnienie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie7.
§ 8
Polecenia
1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia przez cały okres przetwarzania danych osobowych. Polecenia te są zawsze dokumentowane.
2. Podmiot przetwarzający bezzwłocznie powiadamia Administratora, jeżeli w opinii Podmiotu przetwarzającego polecenie wydane przez Administratora narusza rozporządzenie (UE) 2016/67.
§ 9
Bezpieczeństwo przetwarzania danych osobowych
1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.
2. W celu zapewnienia bezpieczeństwa danych osobowych Podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku nr 1. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których one dotyczą.
3. Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania Umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
4. Podmiot przetwarzający prowadzi ewidencję osób upoważnionych do przetwarzania powierzonych danych osobowych w związku z wykonywaniem niniejszej Umowy.
5 Należy uzupełnić w niezbędnym zakresie.
6 Należy uzupełnić w jakim konkretnie celu przetwarzane są dane osobowe.
7 Niepotrzebne skreślić.
5. Jeżeli przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne do celów jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, bądź dane dotyczące wyroków skazujących i czynów zabronionych („dane wrażliwe”), podmiot przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia.
§ 10
Dokumentacja i zgodność
1. Strony są w stanie wykazać zgodność z Umową.
2. Podmiot przetwarzający niezwłocznie i odpowiednio rozpatruje zapytania Administratora dotyczące przetwarzania danych zgodnie z Umową
3. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków – w szczególności obowiązków informacyjnych określonych w art. 12-22 rozporządzenia (UE) 2016/679, które są określone w Umowie i wynikają bezpośrednio z rozporządzenia (UE) 2016/679.
4. Na wniosek Administratora Podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych Umową i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu, Administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma Podmiot przetwarzający.
5. Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora. Audyty mogą również obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem. Na podstawie przeprowadzonego audytu powstanie sprawozdanie (raport), w którym w razie potrzeb będą określone zalecenia pokontrolne do realizacji przez Podmiot przetwarzający. Administrator ma prawo żądać, w określonym przez siebie terminie, wykonania zaleceń pokontrolnych przez Podmiot przetwarzający, o ile są one zgodne z niniejszą Umową powierzenia i rozporządzeniem (UE) 2016/679.
6. Na wniosek właściwego(-ych) organu(-ów) nadzorczego(-ych) Strony udostępniają mu (im) informacje, o których mowa w Umowie, w tym wyniki wszelkich audytów.
§ 11
Korzystanie z usług podmiotów podprzetwarzających
1. Podmiot przetwarzający nie może podzlecać żadnych operacji przetwarzania dokonywanych w imieniu Administratora zgodnie z Umową podmiotowi podprzetwarzającemu bez uprzedniej szczegółowej pisemnej zgody Administratora. Podmiot przetwarzający składa wniosek o udzielenie szczegółowej zgody co najmniej ma 7 dni przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego wraz z informacjami niezbędnymi do tego, by Administrator mógł podjąć decyzję w sprawie zgody. Załącznik nr 2 zawiera wykaz podmiotów podprzetwarzających upoważnionych przez Administratora. Strony są obowiązane do aktualizacji załącznika nr 2. Zgoda Administratora będzie oparta na formalnej ocenie podmiotu podpowierzającego według kryteriów Administratora opartych na wymaganiach określonych w rozporządzeniu (UE) 2016/679.
2. Jeżeli Podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu Administratora), dokonuje tego w drodze umowy, która nakłada na podmiot podprzetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na Podmiot przetwarzający dane zgodnie z Umową. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega Podmiot przetwarzający na mocy Umowy oraz rozporządzenia (UE) 2016/679.
3. Na wniosek Administratora Podmiot przetwarzający przekazuje Administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje Administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.
4. Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed Administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z Podmiotem przetwarzającym. Podmiot przetwarzający powiadamia Administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.
5. Podmiot przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą – jeżeli Podmiot przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny – Administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.
§ 12
Międzynarodowe przekazywanie danych
1. Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez Podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie Administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega Podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V rozporządzenia (UE) 2016/679.
2. Jeżeli zgodnie z § 11 Podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przepro- wadzenia określonych czynności przetwarzania (w imieniu administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V rozporządzenia (UE) 2016/679, Administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V rozporządzenia (UE) 2016/679 za pomocą standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 46 ust. 2 rozporządzenia (UE) 2016/679, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.
§ 13
Pomoc dla Administratora
1. Podmiot przetwarzający niezwłocznie zawiadamia Administratora o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że Administrator wyraził na to zgodę.
2. Podmiot przetwarzający pomaga Administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania.
3. Wypełniając swoje obowiązki zgodnie z ust. 1 i 2 Podmiot przetwarzający stosuje się do poleceń Admi- nistratora.
4. Oprócz spoczywającego na Podmiocie przetwarzającym obowiązku pomagania Administratorowi zgodnie z ust. 2 powyżej Podmiot przetwarzający pomaga mu ponadto w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje Podmiot przetwarzający:
1) obowiązku przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych („ocena skutków dla ochrony danych”), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych;
2) obowiązku skonsultowania się z właściwym(-i) organem(-ami) nadzorczym(-i) przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego ograniczenia;
3) obowiązku zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie Administratora, jeżeli Podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne;
4) obowiązków określonych w art. 32 rozporządzenia (UE) 2016/679.
5. Strony określają w załączniku nr 1 odpowiednie środki techniczne i organizacyjne, za pomocą których Podmiot przetwarzający jest zobowiązany pomagać Administratorowi w stosowaniu niniejszej klauzuli, jak również zakres wymaganej pomocy.
§ 14
Zgłaszanie naruszenia ochrony danych osobowych
1. W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający współpracuje z Administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje Podmiot przetwarzający.
2. W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez
Administratora Podmiot przetwarzający wspomaga Administratora:
1) przy zgłaszaniu naruszenia ochrony danych osobowych właściwemu(-ym) organowi(-om) nadzorczemu(-ym) niezwłocznie po tym, jak Administrator dowiedział się o naruszeniu, w stosownych przypadkach/(chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);
2) przy uzyskiwaniu następujących informacji, które zgodnie z art. 33 ust. 3 rozporządzenia (UE) 2016/679 powinny być zawarte w zgłoszeniu Administratora i obejmować co najmniej: charakter danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; możliwe konsekwencje naruszenia ochrony danych osobowych; środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki;
3) przy wypełnianiu – zgodnie z art. 34 rozporządzenia (UE) 2016/679 – obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.
3. W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Podmiot przetwarzający Podmiot przetwarzający zgłasza naruszenie Administratorowi niezwłocznie po tym, jak dowiedział się o naruszeniu. Zgłoszenie to powinno zawierać co najmniej:
1) opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których
dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);
2) dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia
ochrony danych osobowych;
3) wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.
Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki.
4. Strony określają w załączniku nr 1 wszystkie inne elementy, które ma przedstawić Podmiot przetwarzający, wspomagając Administratora w wypełnianiu jego obowiązków określonych w art. 33 i 34 rozporządzenia (UE) 2016/679.
§ 15
Odpowiedzialność Stron
1. Administrator danych ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
2. Powyższe nie wyłącza odpowiedzialności Podmiotu przetwarzającego za przetwarzanie powierzonych danych niezgodnie z Umową.
3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, jeśli nie dopełnił obowiązków, które nakłada niniejsza Umowa, lub gdy działał w sposób niezgodny z przepisami lub poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
4. W przypadku naruszenia przepisów o ochronie danych osobowych z przyczyn leżących po stronie Podmiotu
przetwarzającego, podmiot ten ponosi pełną odpowiedzialność zgodnie z obowiązującymi przepisami prawa.
§ 16
Czas obowiązywania Umowy
Przetwarzanie przez Podmiot przetwarzający odbywa się do czasu obowiązywania Umowy Głównej.
§ 17
Rozwiązanie Umowy
1. Bez uszczerbku dla przepisów rozporządzenia (UE) 2016/679 w przypadku gdy Podmiot przetwarzający narusza swoje obowiązki wynikające z Umowy, Administrator może polecić mu, by zawiesił przetwarzanie danych osobowych do czasu, gdy Podmiot przetwarzający zapewni zgodność z Umową, lub Umowa ulega rozwiązaniu. Podmiot przetwarzający niezwłocznie zawiadamia Administratora, jeżeli z jakiegokolwiek powodu nie jest w stanie zastosować się do Umowy.
2. Administrator jest uprawniony do rozwiązania Umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z Umową, jeżeli:
1) Administrator zawiesił przetwarzanie danych osobowych przez Podmiot przetwarzający zgodnie z ust. 1 powyżej i jeżeli zgodność z Umową nie zostanie przywrócona w rozsądnym terminie, a w każdym razie w terminie jednego miesiąca od zawieszenia;
2) Podmiot przetwarzający poważnie lub stale narusza Umowę lub swoje obowiązki wynikające z rozporządzenia (UE) 2016/679;
3) Podmiot przetwarzający nie stosuje się do wiążącej decyzji właściwego sądu lub właściwego(-ych) organu(-ów) nadzorczego(-ych) dotyczącej jego obowiązków wynikających z Umowy lub z rozporządzenia (UE) 2016/679;
4) niewypełnienie w wyznaczonym czasie lub zakresie zaleceń po wykonanym audycie zgodnie z § 10 ust. 5 powyżej.
3. Podmiot przetwarzający ma prawo rozwiązać Umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z Umową, jeżeli po zawiadomieniu Administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne zgodnie z § 8 Administrator nalega na wypełnienie polecenia.
4. Po rozwiązaniu Umowy podmiot Przetwarzający, zależnie od decyzji Administratora, usuwa wszystkie dane osobowe przetwarzane w imieniu Administratora i poświadcza Administratorowi, że tego dokonał, lub zwraca Administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Podmiot przetwarzający zapewnia przestrzeganie Umowy do czasu usunięcia lub zwrotu danych.
5. Po dokonaniu usunięcia danych, o których mowa w ust. 4 Przetwarzający na żądanie Administratora niezwłocznie (w terminie nie dłuższym niż 5 dni roboczych) przekazuje Administratorowi protokół z dokonanych czynności. Protokół, o którym mowa w zdaniu poprzednim zawiera w szczególności:
1) datę wykonania czynności usunięcia, zniszczenia danych osobowych lub ich kopii;
2) zakres usuniętych danych osobowych;
3) oświadczenie, czy Przetwarzający zachował częściowo lub w całości dane osobowe dla innych celów, w szczególności wynikających z przepisów prawa.
§ 18
Postanowienia końcowe
1. Wszelkie zmiany niniejszej Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. Strony ustalają, że osobami uprawnionymi do bieżących kontaktów w przedmiocie realizacji niniejszej
Umowy są:
1) ze strony Administratora danych: Inspektor Ochrony Danych: Xxxxxx Xxxxxx; tel. 00 00 00 000; e-mail: xxx@xxx.xxx.xx,
2) ze strony Podmiotu przetwarzającego: ; tel.
;e-mail: ,
3. Zmiana osób wskazanych powyżej nie wymaga aneksu do niniejszej umowy.
4. W przypadku, gdy niniejsza Umowa odwołuje się do przepisów prawa, oznacza to również inne przepisy dotyczące ochrony danych osobowych, a także wszelkie nowelizacje, jakie wejdą w życie po dniu zawarcia Umowy, jak również akty prawne, które zastąpią wskazane ustawy i rozporządzenia.
5. Strony będą dążyć do polubownego rozstrzygnięcia sporów wynikających z niniejszej umowy. W przypadku braku takiego rozstrzygnięcia w terminie 45 dni od dnia otrzymania zawiadomienia od drugiej strony, spór podlega rozstrzygnięciu przez sąd właściwy dla siedziby Administratora danych.
6. Umowę sporządzono w trzech jednobrzmiących egzemplarzach, w dwóch egzemplarzach dla Administratora w jednym dla Podmiotu przetwarzającego.
ADMINISTRATOR: PODMIOT PRZETWARZAJĄCY:
…………………………………………………….. …………………………………………
Załącznik nr 1
Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych
UWAGA WYJAŚNIAJĄCA:
Środki techniczne i organizacyjne należy opisać szczegółowo, a nie w sposób ogólny. Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot przetwarzający (podmioty przetwarzające) (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych.
Przykłady możliwych środków:
Środki umożliwiające pseudonimizację i szyfrowanie danych osobowych;
Środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
Środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie
incydentu fizycznego lub technicznego;
Procesy umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
Środki umożliwiające identyfikację i autoryzację użytkowników; Środki zapewniające ochronę danych w czasie ich przekazywania; Środki zapewniające ochronę danych w czasie ich przechowywania;
Środki służące zapewnieniu bezpieczeństwa fizycznego miejsc, w których przetwarzane są dane osobowe; Środki umożliwiające rejestrowanie zdarzeń;
Środki służące do konfiguracji systemu, w tym konfiguracji domyślnej;
Środki dotyczące zarządzania wewnętrznym systemem IT i bezpieczeństwem IT; Środki dotyczące certyfikacji / zapewnienia jakości procesów i produktów; Środki zapewniające minimalizację danych;
Środki zapewniające odpowiednią jakość danych;
Środki zapewniające ograniczone zatrzymywanie danych; Środki zapewniające rozliczalność;
Środki umożliwiające przenoszenie danych i zapewnienie ich usuwania.
Inne: ………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………….
………………………………………………………………………………………………………………………….
Opis konkretnych środków technicznych i organizacyjnych, jakie powinien zastosować Podmiot przetwarzający lub podprzetwarzający, aby móc udzielić pomocy Administratorowi, w tym zgodnie z § 13 ust. 5 Umowy:……………………………………………….
Inne elementy (poza określonymi w § 14 Umowy), które ma przedstawić Podmiot przetwarzający, wspomagając Administratora w wypełnianiu jego obowiązków określonych w art. 33 i 34 rozporządzenia (UE) 2016/679, zgodnie z § 14 ust. 4 Umowy:………………………………………
Przetwarzane dane wrażliwe (w stosownych przypadkach) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi zagrożenia, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który odbył specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa 8
8 Przekreślić jeśli nie są przetwarzane dane wrażliwe.
Załącznik nr 2
Wykaz podmiotów podprzetwarzających
UWAGA WYJAŚNIAJĄCA:
Niniejszy załącznik należy wypełnić w razie udzielenia szczegółowej zgody na korzystanie z usług podmiotów
podprzetwarzających (§ 11).
Administrator zezwolił na korzystanie z usług następujących podmiotów podprzetwarzających:
1. Imię i nazwisko lub nazwa: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adres: . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do
kontaktów: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Opis przetwarzania (w tym jasne określenie zakresu odpowiedzialności w przypadku upoważnienia kilku podmiotów podprzetwarzających): . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Należy określić przedmiot, charakter i czas przetwarzania przez podmioty podprzetwrzające:………………………..