Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
Zawarta w Warszawie w dniu 18.08.2022 (dalej Umowa), pomiędzy:
Pełna nazwa firmy
Szkoła Główna Gospodarstwa Wiejskiego w Warszawie
Adres rejestracyjny firmy
ulica: Xxxxxxxxxxxxxx 000
miasto: Warszawa kod pocztowy: 02- 787
Telefon: 00 000 00 00
Dane rejestrowe firmy
numer NIP: 525 000 74 25 | Numer REGON: 000001784 | |
reprezentowana przez: Kanclerza SGGW xx xxx. Xxxxxxxxx X. Xxxxxxxxxx | ||
(dalej Podmiot przetwarzający) a
MEDICOVER SPORT SP. Z O.O. (dawniej: OK System Polska SA) z siedzibą w Warszawie (00-807), Xxxxx Xxxxxxxxxxxxx 00, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy KRS pod numerem 0000909046, NIP: 000-00-00-000, kapitał zakładowy: 13 568 072,00 PLN (wpłacony w całości), reprezentowaną na podstawie załączonego/okazanego pełnomocnictwa przez Pana/Panią:
Xxxxx Xxxxxxxxxxxx-Xxxxxxx
(dalej Administrator)
łącznie zwanymi Stronami, a każda z osobna także Stroną
Mając na uwadze fakt, iż Strony łączy Umowa nr 27/SGGW/2022 zawarta dnia 18.08.2022 przedmiotem której jest
„Zakup usługi polegającej na zapewnieniu dostępu do obiektów i zajęć sportowo-rekreacyjnych dla pracowników SGGW oraz ich osób towarzyszących” (dalej: Umowa główna) dla której wykonania konieczne jest przetwarzanie danych osobowych, Strony zgodnie postanowiły, co następuje:
§ 1
DEFINICJE
Pojęcia użyte w Umowie mają następujące znaczenie:
1) Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
2) Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
3) Xxx Xxxxxxx – dni od poniedziałku do piątku, poza dniami ustawowo wolnymi od pracy,
4) Naruszenie – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
5) Organ nadzorczy – organ publiczny działający w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych,
6) Podpowierzenie – dalsze powierzenie przetwarzania Danych osobowych przez Podmiot
przetwarzający,
7) RODO – Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
§ 2
PRZEDMIOT UMOWY
1. Administrator powierza Podmiotowi przetwarzającemu do przetwarzania Dane osobowe na zasadach
określonych w Umowie.
2. Z tytułu wykonywania świadczeń określonych w Umowie Podmiotowi przetwarzającemu nie przysługuje
dodatkowe wynagrodzenie ponad to, które zostało określone w Umowie głównej.
§ 3
PRZEDMIOT I CZAS PRZETWARZANIA
1. Przedmiotem przetwarzania są Dane osobowe powierzone do przetwarzania w związku z realizacją Umowy
głównej, określone w Załączniku nr 1 do Umowy.
2. Zakres powierzenia może zostać w każdym momencie zmieniony, rozszerzony lub ograniczony przez Administratora, co nastąpi poprzez przesłanie Podmiotowi przetwarzającemu drogą elektroniczną nowej wersji Załącznika nr 1.
3. Powierzenie przetwarzania Danych osobowych następuje na czas realizacji Umowy głównej.
§ 4
CEL I CHARAKTER PRZETWARZANIA
1. Dane osobowe przetwarzane są w celu realizacji Umowy głównej.
2. Przetwarzanie powierzonych Danych osobowych ma charakter ciągły i następuje w formie papierowej lub w systemie informatycznym. Przetwarzanie powierzonych Danych osobowych obejmuje następujące czynności przetwarzania: zbieranie, utrwalanie, przechowywanie, przeglądanie, wykorzystywanie, przesyłanie, usuwanie, niszczenie.
§ 5
POLECENIE PRZETWARZANIA
Poprzez zawarcie Umowy Administrator poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO.
§ 6
OŚWIADCZENIA STRON
1. Podmiot przetwarzający działa zgodnie z obowiązkami wynikającymi z RODO oraz powszechnie
obowiązujących przepisów prawa polskiego.
2. Administrator oświadcza, że jest uprawniony do powierzenia przetwarzania Danych osobowych.
3. Administrator jest uprawniony do nadawania upoważnień, wydawania instrukcji i poleceń w rozumieniu art. 29 RODO w stosunku do Podmiotu przetwarzającego.
4. Administrator uprawnia Podmiot przetwarzający do nadawania upoważnień, wydawania instrukcji i poleceń w rozumieniu art. 29 RODO w stosunku do dalszych podmiotów przetwarzających.
§ 7
OBOWIĄZKI STRON
1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
2. Podmiot przetwarzający zobowiązany jest:
1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami,
Umową oraz instrukcjami wydawanymi przez Administratora,
2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny,
3) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które do tego upoważni,
4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które zobowiązał do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
5) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Administratora, chyba że wymagają tego przepisy prawa unijnego lub polskiego,
6) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO,
7) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 8-11 poniżej,
8) w razie potrzeby i na żądanie Administratora pomagać Administratorowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
9) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Administratora o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem,
10) w razie potrzeby i na żądanie Administratora pomagać Administratorowi wywiązywać się z obowiązków określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków,
11) udostępniać Administratorowi na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Umowie.
3. Po stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Administratorowi. Zgłoszenie dokonywane jest na adres e-mail Administratora, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 do Umowy.
4. Jeśli informacji w Zgłoszeniu, o którym mowa w ust. 3 powyżej, nie da się udzielić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.
5. Podmiot przetwarzający dokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz
podjęte działania zaradcze.
6. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności podmiotom Danych osobowych lub organowi nadzorczemu.
7. Podmiot przetwarzający może korzystać wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
8. Podmiot przetwarzający jest uprawniony do dokonania Podpowierzenia na rzecz podmiotów wskazanych w
Załączniku nr 3 do Umowy.
9. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów wskazanych w Załączniku nr 3 nie później niż w terminie 21 dni przed ich wprowadzeniem, a Administrator w tym terminie może wnieść sprzeciw wobec takich zmian, w którym wyjaśni podstawy do nieudzielenia akceptacji nowemu podmiotowi. Wniesienie sprzeciwu oznacza brak zgody na dodanie lub zastąpienie takiego podmiotu. W takim przypadku Stronom przysługuje prawo rozwiązania Umowy oraz Umowy głównej ze skutkiem natychmiastowym.
10. W przypadku, gdy Podmiot przetwarzający zamierza dokonać Podpowierzenia na rzecz podmiotu z państwa
trzeciego, musi uzyskać uprzednią pisemną szczegółową zgodę Administratora.
11. Jeśli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Podmiot przetwarzający dokona Podpowierzenia, to Podmiot przetwarzający zapewnia, iż dalszy podmiot przetwarzający wypełnia te same obowiązki ochrony Danych osobowych, jakie zostały w Umowie nałożone na Podmiot przetwarzający.
§ 8
PRAWO KONTROLI
1. Podmiot przetwarzający umożliwia Administratorowi lub upoważnionemu przez Administratora audytorowi przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich.
2. Podmiot przetwarzający niezwłocznie informuje Administratora, jeśli wydane Podmiotowi przetwarzającemu polecenie w oparciu o § 7 ust. 2 pkt 2) Umowy lub w oparciu o ust. 1 powyżej stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów.
3. W przypadku, gdy Podmiot przetwarzający ma obowiązek prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, udostępnia go Administratorowi na jego żądanie.
§ 9
ODPOWIEDZIALNOŚĆ
1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku
z wykonywaniem Umowy, zgodnie z przepisami Kodeksu cywilnego.
2. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza Dane osobowe, jak za własne działanie i zaniechanie.
3. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem Danych osobowych w sposób naruszający przepisy RODO, inne powszechnie obowiązujące przepisy lub postanowienia Umowy, jeśli nie dopełnił obowiązków nałożonych na niego przez przepisy RODO, inne powszechnie obowiązujące przepisy lub postanowienia Umowy lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
4. Podmiot przetwarzający ma obowiązek współdziałać z Administratorem na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą.
5. W przypadku, gdy za szkodę spowodowaną przetwarzaniem Danych osobowych odpowiadają zarówno Administrator, jak i Podmiot przetwarzający, ponoszą oni odpowiedzialność solidarną za całą szkodę.
6. W przypadku, gdy Administrator zapłacił odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Podmiotu przetwarzającego zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność zgodnie z ust. 3 powyżej.
§ 10
CZAS TRWANIA I WYPOWIEDZENIE UMOWY
1. Umowa zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie
Umowy głównej skutkuje rozwiązaniem Umowy.
2. Strony mogą rozwiązać Umowę zgodnie z postanowieniami zawartymi w Umowie głównej.
3. Po zakończeniu świadczenia usług związanych z przetwarzaniem Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Administratorowi– zależnie od decyzji Administratora – powierzone mu Dane osobowe, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych Danych osobowych. Na prośbę Administratora Podmiot przetwarzający przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie wskazanym przez Administratora.
4. W przypadku, gdyby zakres powierzonych Danych osobowych został zmieniony lub ograniczony, ust. 3 stosuje się odpowiednio do tych Danych osobowych, które wskutek tej zmiany lub ograniczenia nie będą dalej powierzane Podmiotowi przetwarzającemu.
5. Administrator jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli zaistnieje chociażby jedna z
poniższych przesłanek:
a. Podmiot przetwarzający nie wypełnia obowiązków wskazanych w RODO lub innych powszechnie
obowiązujących przepisach dotyczących ochrony danych osobowych,
b. Podmiot przetwarzający nie wypełnia obowiązków wskazanych w Umowie.
c. Administratorowi nie zostanie zapewniona możliwość skorzystania z prawa kontroli.
6. Zaistnienie podstaw do rozwiązania Umowy bez wypowiedzenia stanowi podstawę do rozwiązania Umowy
głównej bez wypowiedzenia.
7. Każdej ze Stron przysługuje prawo rozwiązania Umowy w trybie natychmiastowym, w przypadku naruszenia
postanowień Umowy przez drugą Stronę.
§ 11
DANE KONTAKTOWE STRON
1. W sprawach związanych z realizacją Umowy Strony reprezentują Przedstawiciele Stron wskazani w Umowie
głównej.
2. Wszelka korespondencja w sprawach związanych z Umową kierowana jest na dane kontaktowe Stron wskazane w Umowie głównej.
3. Doręczenia i zawiadomienia, dla których Umowa lub powszechnie obowiązujące przepisy nie wymagają formy pisemnej, dokonywane są drogą elektroniczną na adresy e-mail Stron.
§ 12
POSTANOWIENIA KOŃCOWE
1. Umowa podlega prawu polskiemu i wchodzi w życie z dniem jej podpisania przez Xxxxxx.
2. Załączniki stanowią integralną część Umowy.
3. W sprawach nieuregulowanych Umową zastosowanie mają powszechnie obowiązujące przepisy prawa.
4. Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy pisemnej pod rygorem nieważności,
chyba że Umowa główna stanowi inaczej.
5. Podmiot przetwarzający nie może przenieść praw lub obowiązków wynikających z Umowy bez uprzedniej pisemnej zgody Administratora.
6. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy jest sąd właściwy dla siedziby Administratora.
7. Umowa została sporządzona w formie elektronicznej w języku polskim i podpisana kwalifikowanym podpisem elektronicznym przez obie strony.
Kanclerz SGGW
xx xxx. Xxxxxxxxx X. Xxxxxxxxxx podpisano kwalifikowanym podpisem elektronicznym
W imieniu Administratora W imieniu Xxxxxxxx przetwarzającego
Xxxxx Xxxxxxxxxxxx- Xxxxxxx
Elektronicznie podpisany przez Xxxxx Xxxxxxxxxxxx-Xxxxxxx Data: 2022.08.17 14:34:03
+02'00'
Wykaz załączników:
Załącznik nr 1 - Przedmiot przetwarzania – zakres Danych osobowych
Załącznik nr 2 - Wzór zgłoszenia Naruszenia ochrony danych osobowych
Załącznik nr 3 - Lista podmiotów, którym Podmiot przetwarzający Podpowierza przetwarzanie Danych osobowych
Przedmiot przetwarzania – zakres Danych osobowych
1. Kategorie osób, których dane dotyczą: Użytkownicy programu MULTIKARNET
2. Rodzaj Danych osobowych:
Dane zwykłe | Szczególne kategorie danych osobowych | Dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa |
Pracownik: Imię, nazwisko, numer telefonu komórkowego, nazwa i siedziba pracodawcy. Osoba Towarzysząca: Imię, nazwisko, numer telefonu komórkowego, adres e-mail, data urodzenia, nazwa i siedziba pracodawcy pracownika. Dziecko pracownika w wieku 15-18 lat: Imię, nazwisko, numer telefonu komórkowego dziecka lub opiekuna, data urodzenia, nazwa i siedziba pracodawcy pracownika. | Nie dotyczy | Nie dotyczy |
Wzór zgłoszenia Naruszenia ochrony danych osobowych
Zgłoszenie naruszenia ochrony danych osobowych nr ……….. | |
Data zgłoszenia: …………………….. | |
Charakter Naruszenia | |
• Data Naruszenia | |
• Czas trwania Naruszenia | |
• Miejsce zaistnienia Naruszenia | |
• Data stwierdzenia Naruszenia | |
• Miejsce stwierdzenia Naruszenia | |
• Kategorie osób, których dane dotyczą i których dotyczy Naruszenie | |
• Przybliżona liczba osób, których dane dotyczą i których dotyczy Naruszenie | |
• Kategorie danych osobowych, których dotyczy Naruszenie | |
• Przybliżona liczba wpisów danych osobowych, których dotyczy Naruszenie | |
• Charakter Danych osobowych, których dotyczy Naruszenie | |
• Zakres Danych osobowych, których dotyczy Naruszenie | |
• Osoby, których dane dotyczą i których dotyczy Naruszenie | |
• System informatyczny, w którym nastąpiło Naruszenie (jeśli dotyczy) | |
Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji na temat Naruszenia | |
Opis możliwych konsekwencji Naruszenia, w tym konsekwencji dla osób, których dane dotyczą i których dotyczy Naruszenie | |
Opis środków zastosowanych lub proponowanych przez Podmiot przetwarzający w celu zaradzenia Naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków | |
Przewidywany czas niezbędny do usunięcia konsekwencji Naruszenia | |
Inne istotne informacje dotyczące Naruszenia | |
Czy podane informacje stanowią wszystkie informacje, które dotyczą Naruszenia ochrony danych osobowych? | |
Lista podmiotów, którym Podmiot przetwarzający Podpowierza przetwarzanie Danych osobowych
Lp. | Nazwa podmiotu | Siedziba i adres podmiotu |
1. | ||
2. | ||
3. | ||
4. | ||
5. | ||
6. |