UMOWA
Dotyczy umowy nr 4/KC/2019 z dnia …………………
UMOWA
powierzenia przetwarzania danych osobowych, zwana dalej Umową
zawarta w .......................................... w dniu r. pomiędzy:
Krajowym Centrum Bankowania Tkanek i Komórek z siedzibą w Warszawie, ul. Xxxxxxxxxxxxxx 0, posiadającym numer NIP: 5262738933 oraz numer REGON: 015620567, reprezentowaną/ym przez dr hab. n. xxx. Xxxxxx Xxxxxxxxxxx – Dyrektora
zwanym dalej Zleceniodawcą lub Administratorem
a
…………………. z siedzibą w ............................................................................., zarejestrowaną/ym w
................................................................. pod numerem ......................., posiadającą/ym numer NIP
......................... oraz numer REGON ..................................................., reprezentowaną/ym przez:
........................................................................................,
zwaną/ym dalej Zleceniobiorcą lub Podmiotem przetwarzającym
§ 1
Definicje
1. Podmiot przetwarzający – podmiot, któremu powierzono przetwarzanie danych osobowych na mocy umowy powierzenia ze Zleceniodawcą, zwany także Zleceniobiorcą
2. Administrator - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych, zwany także Zleceniodawcą
3. Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
4. Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
5. Rozporządzenie- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
6. Inny podmiot przetwarzający - podmiot, któremu podmiot przetwarzający w imieniu administratora pod-powierzył w całości lub częściowo przetwarzanie danych osobowych
§ 2
Przedmiot Umowy, cel, charakter i zakres
1. Przedmiotem umowy jest powierzenie przez Zleceniodawcę danych osobowych do przetwarzania przez Zleceniobiorcę
2. Celem powierzenia jest realizacja usługi określonej w umowie nr 4/KC/2019 oraz w umowie o współpracy, w zakresie danych osób wskazanych.
3. Charakter przewarzania danych dotyczy przetwarzania danych osobowych w formie papierowej, przy wykorzystaniu systemów informatycznych.
§ 3
Czas trwania
1. Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania Umowy.
2. W terminie 7 dni od ustania Umowy, Podmiot przetwarzający zobowiązany jest do usunięcia powierzonych danych, ze wszystkich nośników, programów i aplikacji w tym również kopii, chyba, że obowiązek ich dalszego przetwarzania wynika z odrębnych przepisów prawa.
3. Podmiot przetwarzający w terminie 7 dni od ustania Umowy zobowiązany jest do zwrotu powierzonych danych na nośnikach papierowych lub elektronicznych
§ 4
Obowiązki i prawa
1. Zleceniobiorca zobowiązuje się współpracować ze Zleceniodawcą w zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, opisane w rozdziale III Rozporządzenia (w szczególności informowanie i przejrzysta komunikacja, dostęp do danych, obowiązek informacyjny, prawo dostępu, prawo do sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, prawo sprzeciwu, zautomatyzowane podejmowanie decyzji).
2. Zleceniobiorca zobowiązuje się do pomocy Zleceniodawcy w wywiązaniu się z obowiązków określonych w art. 32-36 Rozporządzenia (w szczególności dla bezpieczeństwa przetwarzania, zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, przeprowadzania oceny skutków dla ochrony danych osobowych, konsultacji z organem nadzorczym)
3. Zleceniobiorca zobowiązuje się do udostępnienia Zleceniodawcy wszelkich informacji niezbędnych do wykazania spełnienia obowiązków spoczywających na Zleceniobiorcy oraz umożliwi Zleceniodawcy lub audytorowi upoważnionemu przez Zleceniodawcę przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych
§ 5
Zgłaszanie incydentów
1. Zleceniobiorca zobowiązuje się po stwierdzeniu naruszenia ochrony danych osobowych do zgłoszenia tego Zleceniodawcy bez zbędnej zwłoki
2. Informacja przekazana Zleceniodawcy powinna zawierać co najmniej:
a. opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy
b. opis możliwych konsekwencji naruszenia,
c. opis zastosowanych lub proponowanych do zastosowania przez Zleceniobiorcę środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.
§ 6
Korzystanie przez Zleceniobiorcę z usług innego podmiotu przetwarzającego
1. Zleceniobiorca w ramach realizacji Umowy nie korzysta z usług innego podmiotu przetwarzającego a Zleceniobiorca przyjmuje to do wiadomości i wyraża na to zgodę
§ 7
Deklarowane środki techniczne i organizacyjne
1. Zleceniobiorca gwarantuje, że każda osoba realizująca Umowę zobowiązana jest do bezterminowego zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy, a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym. Jednocześnie każda osoba realizująca Umowę zobowiązana jest do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych
2. Zleceniobiorca deklaruje stosowanie środków technicznych i organizacyjnych określonych w art. 32 Rozporządzenia, jako adekwatnych do zidentyfikowanego ryzyka naruszenia praw lub wolności powierzonych danych osobowych a w szczególności:
a. pseudonimizację i szyfrowanie danych osobowych;
b. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
3. Zleceniobiorca zobowiązuje się stosować ochronę powierzonych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
§ 8
Szczegółowe deklarowane środki techniczne i organizacyjne
1. Zleceniobiorca zobowiązuje się dopuszczać do przetwarzania danych osobowych osoby realizujące Umowę nr 4/KC/2019 poinformowane i przeszkolone z zasad bezpieczeństwa pracy z danych osobowymi.
2. Każda osoba realizująca Umowę zobowiązana jest do przetwarzania danych osobowych do których uzyskała dostęp wyłącznie w zakresie i celu przewidzianym w Umowie.
3. Każda osoba realizująca Umowę zobowiązana jest do zapewnienia poufności danych osobowych przetwarzanych w związku z wykonywaniem Umowy a w szczególności do tego, że nie będzie przekazywać, ujawniać i udostępniać tych danych osobom nieuprawnionym.
4. Każda osoba realizująca Umowę zobowiązuje się do zachowania w tajemnicy sposobów zabezpieczenia danych osobowych o ile nie są one jawne.
5. Każda osoba realizująca Umowę zobowiązana jest do nie powodowania niezgodnych z Umową zmian danych lub utraty, uszkodzenia lub zniszczenia tych danych.
6. W przypadku wykorzystania sieci publicznej, każda osoba realizująca Umowę zobowiązuje się do stosowania zabezpieczonego przed podsłuchem połączenia zdalnego (VPN, SSL, podać inne).
§ 9
Postanowienia końcowe
1. Umowa zastępuje wszelkie inne ustalenia dokonane pomiędzy Zleceniobiorcą a Zleceniodawcą dotyczące przetwarzania danych osobowych bez względu na to, czy zostały uregulowane umową czy innym instrumentem prawnym.
2. W zakresie nieuregulowanym Umową mają zastosowanie przepisy prawa obowiązującego na terenie Rzeczypospolitej Polskiej, w tym Rozporządzenia.
3. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
Administrator: | Podmiot Przetwarzający: |