Projekt nr POWR.03.05.00-00-A059/20, pt. „UTHRad – dostępny dla wszystkich” współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt nr POWR.03.05.00-00-A059/20, pt. „UTHRad – dostępny dla wszystkich”

współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Załącznik nr 4

Umowa powierzenia przetwarzania danych osobowych w ramach projektu nr POWR.03.05.00-00-A059/20, pt. „UTHRad – dostępny dla wszystkich”

zawarta w dniu ..….............. roku w Radomiu pomiędzy:

Uniwersytetem Technologiczno-Humanistycznym im. K. Xxxxxxxxxx w Radomiu, reprezentowanym przez prof. xx xxx. Xxxxxxxxx Xxxxxxxxxxx - Rektora

zwany dalej „Administratorem”

a

………………………………………………………………………………………………

zwanym dalej „Procesorem”,

dalej łącznie zwanymi „Stronami” lub pojedynczo „Stroną”.

§ 1

Definicje

Ilekroć w niniejszej umowie powierzenia przetwarzania danych osobowych mowa o:

1. „administratorze danych” – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,

2. „danych osobowych” – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”),

3. „przetwarzaniu danych” – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,

4. „systemie informatycznym” – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

5. „Umowie” – rozumie się przez to niniejszą umowę powierzenia przetwarzania danych osobowych,

6. „Umowie Podstawowej” - rozumie się przez to umowę zlecenia z dnia …..................... marca 2021 roku

7. „Ustawie o ochronie danych osobowych” – rozumie się przez to Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (x.x. Xx. U. z 2019 r., poz. 1781),

8. „RODO” – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

§ 2

Przedmiot Umowy

1. Przedmiotem Umowy jest powierzenie Procesorowi przez Administratora, przetwarzania danych osobowych, w związku z realizacją Umowy Podstawowej.

2. Administrator oświadcza, że jest upoważniony do powierzenia danych, o których mowa w § 3 ust. 1 Umowy.

3. Administrator powierza Procesorowi przetwarzanie danych osobowych, a Procesor zobowiązuje się do ich przetwarzania zgodnego z prawem, Umową i Umową Podstawową.

4. Procesor będzie przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie.

§ 3

Powierzenie przetwarzania danych osobowych

1. Administrator powierza Procesorowi przetwarzanie danych osobowych studentów odbywających praktyki u Procesora.

2. Zakres powierzonych do przetwarzania danych osobowych obejmuje następujące kategorie danych:

- imię i nazwisko, email studenta, nr telefonu studenta, ksero orzeczenia o niepełnosprawności

1. Rodzaj powierzonych danych obejmuje dane zwykłe, nie obejmuje szczególnych kategorii danych, nie obejmuje danych osobowych dotyczących wyroków skazujących i naruszeń prawa w rozumieniu przepisów RODO.

2. Celem powierzenia przetwarzania danych osobowych jest umożliwienie prawidłowej realizacji Umowy Podstawowej.

3. Procesor, w zakresie realizacji celu określonego w ust. 4 powyżej, jest uprawniony do wykonywania operacji na danych niezbędnych do realizacji Umowy Podstawowej poprzez: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, usuwanie i niszczenie.

4. Administrator umocowuje Procesora do wydawania i odwoływania imiennych upoważnień do przetwarzania danych osobowych, przetwarzanych na podstawie Umowy i na zasadach przewidzianych w RODO.

5. Przetwarzanie powierzonych danych odbywać się będzie formie papierowej i przy wykorzystaniu systemów informatycznych.

6. Z uwagi na cel powierzenia przetwarzania danych osobowych, przetwarzanie danych będzie miało charakter cykliczny.

§ 4

Obowiązki Procesora

1. Procesor będzie przetwarzał powierzone mu dane osobowe na warunkach i zgodnie z treścią obowiązujących w tym zakresie przepisów prawa. W szczególności przetwarzanie powierzonych danych odbywało się będzie w zgodzie z postanowieniami: Ustawy o ochronie danych osobowych, RODO oraz innych właściwych w zakresie przetwarzania danych osobowych przepisów prawa.

2. W związku z powierzeniem przetwarzania danych osobowych Procesor zobowiązuje się do:

1. przetwarzania danych osobowych wyłącznie na podstawie Umowy lub innego udokumentowanego polecenie Administratora, za jakie uważa się polecenie przekazane drogą pisemną lub elektroniczną,

2. zapewnienia by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

5. Procesor zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii przetwarzania danych osobowych, o którym mowa w art. 30 RODO,

6. aktywnej współpracy z Administratorem przez cały okres trwania powierzenia przetwarzania danych osobowych, która w szczególności polega na tym, iż Procesor biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będzie pomagał Administratorowi wywiązywać się z obowiązków względem osób, których dane dotyczą oraz, uwzględniając charakter przetwarzania oraz dostępne mu informacje, będzie pomagał Administratorowi wywiązywać się z obowiązków w zakresie zagwarantowania bezpieczeństwa danych osobowych.

1. Procesor zobowiązuje się niezwłocznie zawiadomić Administratora o:

1. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Administratora wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,

2. każdym nieupoważnionym dostępie do danych osobowych,

3. każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba, że zostanie do tego upoważniony przez Administratora.

1. Procesor, na każdy pisemny wniosek Administratora, zobowiązany jest do udzielenia kompleksowej, pisemnej odpowiedzi, na skierowane przez Administratora pytania dotyczące kwestii związanych z przetwarzaniem powierzonych danych osobowych.

2. Odpowiedzi, o której mowa w ust. 5 powyżej, Procesor udzieli niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania wniosku Administratora.

3. W przypadku wystąpienia incydentu zagrażającego bezpieczeństwu powierzonych do przetwarzania danych osobowych, tj. w szczególności wystąpienia lub podejrzenia wystąpienia któregokolwiek z: kradzieży, nieuprawnionego dostępu lub wykorzystania, ujawnienia, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych lub jakiegokolwiek innego niewłaściwego lub bezprawnego przetwarzania powierzonych danych osobowych, Procesor jest zobowiązany:

1. niezwłocznie po powzięciu wiadomości o incydencie, jednak w każdym przypadku nie później niż w ciągu dwudziestu czterech (24) godzin od powzięcia takiej wiadomości, przekazać Administratorowi powiadomienie o takim incydencie oraz zapewnić pomoc i przekazać dalsze informacje, które mogą być zasadnie wymagane przez Administratora w związku z tym incydentem,

2. niezwłocznie po powzięciu wiadomości o incydencie podjąć wszelkie zasadne starania w celu przeprowadzenia dochodzenia w sprawie incydentu jak również przyczyn oraz jego skutków, z zastrzeżeniem, że Procesor dołoży takich starań wyłącznie na polecenie Administratora wydane po powiadomieniu Administratora o incydencie, oraz

3. wyłącznie, jeżeli zostanie to uprzednio zaakceptowane na piśmie przez Administratora, powiadomić o incydencie osoby, na które incydent miał wpływ.

§ 5

Prawo kontroli

1. Administrator ma prawo do kontroli przetwarzania przez Procesora powierzonych mu danych osobowych z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami Umowy w postaci audytu realizowanego przez Administratora lub audytora upoważnionego przez Administratora.

2. Informacja o terminie i zakresie audytu, o którym mowa w ust. 1 powyżej, będzie przekazana Procesorowi z co najmniej 24-godzinnym wyprzedzeniem.

3. Procesor umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora, przeprowadzanie audytu, o którym mowa w ust. 1 i przyczynia się do niego. W szczególności Procesor zobowiązany jest udostępnić wgląd do wszystkich materiałów oraz systemów, w których realizowane jest przetwarzanie danych Administratora oraz umożliwić dostęp do pracowników zaangażowanych w ich przetwarzanie.

4. Administrator lub audytor upoważniony przez Administratora, przed rozpoczęciem czynności audytowych podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu, w tym danych osobowych, których administratorem danych jest Procesor.

§ 6

Odpowiedzialność Procesora

1. Procesor jest odpowiedzialny za wszelkie szkody będące następstwem przetwarzania powierzonych mu danych osobowych, w sposób sprzeczny z Umową lub obowiązującymi przepisami prawa, w szczególności powstałych w wyniku udostępnienia danych osobom nieupoważnionym.

2. W przypadku, gdy w wyniku naruszenia przez Procesora postanowień Umowy lub obowiązujących przepisów prawa (z przyczyn leżących po jego stronie), Administrator zostanie zobowiązany do wypłaty odszkodowania lub zadośćuczynienia, zapłaty kary grzywny, administracyjnej kary pieniężnej. Procesor zobowiązuje się do pokrycia wszelkich wynikających z tego tytułu kosztów jakie Administrator poniesienie lub jakie będzie zobowiązany ponieść, w tym również kosztów postępowania sądowego lub sądowo – administracyjnego.

3. Administratorowi przysługuje względem Procesora prawo do dochodzenia na zasadach ogólnych odszkodowania do pełnej wysokości poniesionej szkody.

§ 7

Usunięcie lub zwrot danych osobowych

1. Procesor w terminie do 14 dni roboczych od dnia zakończenia Umowy Podstawowej, jest zobowiązany do usunięcia powierzonych mu danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych. Usunięcie danych osobowych procesor potwierdzi stosownym protokołem, który przedstawi na każde żądanie Administratora.

2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.

§ 8

Czas trwania i wypowiedzenie Umowy

1. Umowa zawarta jest na czas określony, tj. na okres obowiązywania Umowy Podstawowej.

2. Administrator ma prawo wypowiedzieć Umowę w trybie natychmiastowym, gdy Procesor:

1. wykorzystał dane osobowe w sposób niezgodny z Umową,

2. wykonuje Umowę niezgodnie z obowiązującymi w tym zakresie przepisami prawa,

3. nie zaprzestał niewłaściwego przetwarzania danych osobowych,

4. zawiadomił o swojej niezdolności do wypełnienia Umowy, a w szczególności wymagań określonych w § 4.

1. Wypowiedzenie Xxxxx przez Administratora nie zwalnia Procesora od zapłaty ewentualnej kary umownej i odszkodowania.

§ 9

Pozostałe postanowienia

1. Wszystkie dane osobowe przetwarzane przez Procesora są własnością Administratora.

2. Przetwarzanie danych dozwolone jest wyłącznie w celu określonym w § 3 ust. 4 Umowy. Wykorzystanie przez Procesora danych Administratora w celach innych niż określone Umową wymaga każdorazowo uprzedniej, pisemnej zgody Administratora.

3. Zasady komunikacji między Stronami:

1. W przypadku komunikacji w formie pisemnej – doręczenie pocztą (listem poleconym), pocztą kurierską lub osobiście na adresy podane w komparycji Umowy,

2. W przypadku komunikacji w formie elektronicznej – na następujące adresy email:

1. ze Strony Administratora: email: xxxx@xxxxxx.xx

2. ze strony Procesora: email: ……………………

1. Zmiana danych, o których mowa w komparycji Umowy lub w ust. 3 pkt 3.2. powyżej, nie stanowi zmiany Umowy i wymaga jedynie pisemnego poinformowania drugiej Strony. Do czasu otrzymania informacji o zmianie danych za prawidłowe dane do kontaktów uznaje się dane dotychczasowe.

2. Doręczenia dokonane na zasadach określonych w ust. 3 i 4 powyżej uznaje się za prawidłowe z chwilą dojścia do adresata. W przypadku nie odebrania przesyłki przez Procesora lub zmiany jego adresu i nie wskazanie Administratorowi nowego adresu do doręczeń, przesyłka wysłana przez Administratora na ostatni znany adres Procesora i zwrócona z przyczyn wymienionych powyżej będzie uznana za skutecznie doręczoną.

§ 11

Postanowienia końcowe

1. W sprawach nieuregulowanych postanowieniami Umowy zastosowanie będą mieć właściwe w tym zakresie przepisy prawa polskiego.

2. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.

3. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji Umowy dążyć będą do polubownego ich załatwienia. W przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo dla siedziby Administratora.

4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Administrator:

______________________ Procesor:

______________________

Biuro Projektu: Uniwersytet Technologiczno-Humanistyczny im. Xxxxxxxxxx Xxxxxxxxxx w Radomiu

Xxxxxxxx, 00-000 Xxxxx, xx. J. Xxxxxxxxxxxxx 00, xxx. 23

tel. (00) 000 00 00, 000-000-000;

e-mail: xxxxxxxxxxx@xxxxxx.xx; xxxxx://xxxxxxxxxxx.xxxxxxxxxxxxxxxx.xx/