WSPÓLNE UZGODNIENIA WSPÓŁADMINISTRATORÓW
Załącznik nr B
Postanowienia dotyczące współadministrowania danymi osobowymi
WSPÓLNE UZGODNIENIA WSPÓŁADMINISTRATORÓW
(zwane dalej: „Porozumieniem”) pomiędzy
KGHM Polska Miedź S.A. z siedzibą w Lubinie, przy ul. Xxxxx Xxxxxxxxxxxx-Xxxxx 00, 00-000 Xxxxx, wpisaną do rejestru przedsiębiorców, prowadzonego przez Sąd Rejonowy dla Wrocławia - Fabrycznej we Wrocławiu, IX Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000023302, posiadającą numer BDO: 000006528, NIP: 000-000-00-00, REGON: 390021764 oraz kapitał
zakładowy w wysokości 2 000 000 000 zł (w całości opłacony) zwaną dalej KGHM,
oraz
Uczelnią Xxxx Xxxxxxxxxxxxx z siedzibą w Polkowicach (59-101), ul. Skalników 6b, posiadającą NIP 000-00-00-000, REGON 020035320, zwaną dalej „Uczelnią", reprezentowaną przez:
Rektora – dr Xxxxxxxx Xxxxxxxx, profesora UJW
zwane dalej łącznie „Stronami”, „Współadministratorami” lub każda z osobna
„Stroną”, „Współadministratorem”
PREAMBUŁA
Zważywszy, że:
1. Strony zawarły Umowę nr rej. KGHM-BZ-U-0610-2023 w sprawie realizacji projektu „#MiedźMaturę” w zakresie prowadzenia wspólnych działań na rzecz nauki,
2. W pewnych zadaniach, w szczególności w zakresie organizacji kursów przygotowujących do matury, Strony w celu realizacji zadania będą wzajemnie udostępniają sobie dane osobowe Uczniów,
3. KGHM ściśle współpracuje z Uczelnią w związku z realizacją zadania wskazanego w ustępie 2 Preambuły,
4. KGHM i Uczelnia stały się Współadministratorami Danych Osobowych Uczniów
- wspólnie ustalają cele i sposoby przetwarzania ich Danych Osobowych w zakresie niżej wskazanym;
w szczególności mając na uwadze art. 26 RODO, Xxxxxx regulują zasady przetwarzania Danych Osobowych przez Xxxxxx w ramach współadministrowania oraz związane z tym prawa, obowiązki i zasady odpowiedzialności Stron, na zasadach określonych poniżej.
§1
DEFINICJE
Poniższe pojęcia pisane wielką literą posiadać będą następujące znaczenie, o ile z kontekstu wyraźnie nie wynika co innego:
1. Xxxx Xxxxxxx – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w zakresie Uczniów wspólnie prowadzonych przez Strony projektów.
2. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
3. Umowa – umowa zawarta między KGHM a Uczelnią.
4. Podmioty Danych – Uczniowie.
5. Współadministratorzy – Strony Porozumienia; podmioty, które wspólnie ustalają cele i sposoby przetwarzania Danych Osobowych Podmiotów Danych.
Pozostałe definicje z zakresu ochrony danych osobowych, w szczególności
„przetwarzanie”, „administrator”, „podmiot przetwarzający” i inne terminy, są używane w niniejszym Porozumieniu zgodnie z ich definicją zawartą w RODO.
§2
PRZEDMIOT POROZUMIENIA
W związku z współadministracją Xxxxxx Osobowymi Podmiotów Danych, Strony ustalają zakres swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez
osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO.
§ 3
ZAKRES WSPÓŁADMINISTROWANIA
1. Współadministrowanie dotyczy Danych Osobowych Podmiotów Danych i obejmuje następujące Dane Osobowe:
a. W przypadku Uczniów:
i. imię (imiona) i nazwisko,
ii. numer telefonu lub adres poczty elektronicznej,
iii. dane dotyczące uzyskiwanych wyników w nauce (oceny, nazwa Uczelni (kierunku), rok szkolny),
vi. wizerunek,
viii. wyników: testy kwalifikującego do Akcji oraz próbnego testu
maturalnego;
ix. frekwencji uczęszczania na zajęcia w ramach poszczególnych kursów.
2. Każdy ze Współadministratorów przetwarza Dane Osobowe w szczególności poprzez: zbieranie, utrwalanie, przechowywanie, organizowanie, wyszukiwanie, przeglądanie, wykorzystywanie, ujawnianie, przenoszenie, przesyłanie, modyfikowanie, ograniczanie, usuwanie.
3. Współadministrowanie Danymi Osobowymi obejmuje wspólny cel wynikający z Umowy, w zakresie zadania: przeprowadzenia kursów przygotowujących do matury.
4. Przekazywanie i przetwarzanie danych osobowych mają na celu
w szczególności:
- udzielanie informacji umożliwiających dokonanie weryfikacji, i wytypowania
najlepszych uczestników akcji zgodnie z zapisami Art. 4 oraz Art. 5.
§4
REALIZACJA PRAW PODMIOTÓW DANYCH
1. Strony ustalają, że obsługa realizacji uprawnień Podmiotów Danych, w tym rozpatrywanie ich wniosków (dalej również: „Wnioski”) oraz sporządzanie odpowiedzi na nie w terminie przewidzianym przez RODO, będzie prowadzona przez KGHM. KGHM zobowiązuje się do:
a) współdziałania z Uczelnią w zakresie niezbędnym do rozpatrywania
i udzielenia odpowiedzi na Wnioski,
b) udzielania Szkole, na jej uzasadnione żądanie, informacji niezbędnych do
rozpatrywania i udzielenia odpowiedzi na Wnioski.
2. W przypadku skierowania Wniosku do Współadministratora, który nie jest właściwy do jego obsługi, jest on zobowiązany do niezwłocznego przekazania Wniosku właściwemu Współadministratorowi.
3. Niezależnie od obsługi Wniosku przez właściwego Współadministratora, o którym mowa w ust. 1 powyżej, z uwagi na fakt, że w praktyce każda ze Stron powinna zrealizować Wniosek w zakresie w jakim dotyczy on czynności, które ta Strona wykonuje w stosunku do Podmiotu Danych, Współadministratorzy zobowiązują się do niezwłocznego, wzajemnego przekazywania sobie treści Wniosku, jeżeli jego realizacja może wymagać działań innego Współadministratora lub mogłaby w jakikolwiek sposób wpłynąć na przetwarzanie Danych Osobowych przez tego Współadministratora. W przypadku takiej potrzeby, Strona obsługująca Wniosek zobowiązana jest do konsultacji z drugą Stroną, a druga Strona do niezwłocznego udzielania jej niezbędnych informacji i wyjaśnień, tak aby udzielona odpowiedź na Wniosek była wyczerpująca.
§5
WSPÓŁPRACA STRON
1. Strony każdorazowo niezwłocznie przekazują sobie wzajemnie w formie email
(na adres Uczelni lub na adres XXX@xxxx.xxx – w przypadku KGHM):
a) wszelką korespondencję z osobą, której dane dotyczą, w tym otrzymane od niej Wnioski, reklamacje, zapytania, w terminie do 3 dni roboczych od dnia ich otrzymania, oraz projekty sporządzanych przez Stronę odpowiedzi;
b) informacje o naruszeniu, o możliwości wystąpienia naruszenia lub o podjętej próbie naruszenia ochrony Danych Osobowych wraz z propozycją podjęcia określonych działań i odpowiedzi do organu nadzorczego lub osoby, której dane dotyczą (jeśli dotyczy) - nie później niż w terminie 24 godzin od dowiedzenia się o nich;
c) wszelką korespondencję z organem nadzorczym, w tym informacje o każdej przeprowadzanej względem niego kontroli uprawnionych organów państwowych, jeżeli ma ona związek z przetwarzaniem Danych Osobowych Podmiotów Danych, w terminie do 3 dni roboczych od dnia otrzymania odpowiedniego pisma, wezwania lub informacji o planowanej kontroli. Strony są uprawnione do żądania kopii protokołu, zaleceń lub innych
dokumentów sporządzonych w wyniku takiej kontroli, o ile ich jawność nie jest wyłączona przez przepisy prawa.
2. W każdym takim przypadku KGHM może w terminie do 5 dni roboczych (w zależności od rodzaju sprawy, nie później jednak niż w czasie umożliwiającym Szkole terminowe działanie zgodnie z przepisami RODO) od ich otrzymania zarekomendować określony sposób działania/rozpatrzenia sprawy, a Uczelnia jest zobowiązana do takiej rekomendacji zastosować się niezwłocznie.
3. W przypadku, gdy jest to uzasadnione prawidłową realizacją Porozumienia w zakresie współadministrowania, KGHM może wydawać Uczelni wiążące rekomendacje w zakresie sposobu realizacji także innych obowiązków. Uczelnia jest zobowiązana zastosować się do takich rekomendacji KGHM, w racjonalnym terminie wskazanym przez KGHM.
§6
POZOSTAŁE OBOWIĄZKI STRON
1. Strony oświadczają, że znają i zobowiązują się do przestrzegania przepisów prawa, w szczególności RODO, dotyczących czynności podejmowanych na gruncie RODO i Umowy, w tym każda we własnym zakresie zobowiązuje się podejmować wszelkie środki wymagane na mocy art. 24, 25 oraz 32 RODO, tj.:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony Danych Osobowych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by chronić prawa osób, których dane dotyczą.
b) wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te Dane Osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.
c) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
− pseudonimizację i szyfrowanie danych osobowych;
− zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
− zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
− regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. W przypadku przeprowadzania przez jedną ze Stron oceny ryzyk lub oceny skutków dla ochrony danych (dalej również łącznie: „Ocena”), jeśli wszelkie aspekty operacji przetwarzania (w szczególności jej charakter, zakres, kontekst i cele) pozostają bardzo podobne do innej operacji, prowadzonej przez drugą ze Stron Porozumienia, Strona, która przeprowadziła Ocenę przekazuje jej treść drugiej Stronie - w takim wypadku druga Strona może wykorzystać wyniki Oceny i nie ma obowiązku przeprowadzenia odrębnej Oceny dla tej podobnej operacji przetwarzania.
3. W przypadku konieczności przeprowadzenia Oceny procesu wspólnego dla Stron, Strona przeprowadzająca Ocenę zobowiązana jest do konsultacji z drugą Stroną, a druga Strona do udzielania jej niezbędnych informacji i wyjaśnień. Wynik Oceny zostanie przekazany drugiej Stronie. Strony wspólnie ustalą, czy rekomendacje wynikające z przeprowadzonej Oceny wymagają podjęcia odpowiednich działań i w razie potrzeby zalecenia w tym zakresie przekażą właściwym osobom.
4. W przypadku takiej konieczności, każda ze Stron może powierzyć Dane Osobowe do przetwarzania podmiotowi przetwarzającemu, bez zgody pozostałych Stron.
5. Każdy Wspładministrator, stosownie do operacji przetwarzania Danych Osobowych jakich faktycznie dokonuje, zapewnia odpowiednie ich udokumentowanie dla potrzeb wykazania zgodności przetwarzania z przepisami prawa oraz zapewnia, by każda osoba działająca z jego upoważnienia, która ma dostęp do danych, przetwarzała je wyłącznie na jego polecenie.
6. W ramach współadministrowania Danymi Osobowymi przez Xxxxxx, KGHM uwzględni w prowadzonym przez siebie rejestrze czynności przetwarzania, prowadzenie procesów objętych tym współadministrowaniem.
7. W Regulaminie Akcji Strony określą wzór obowiązku informacyjnego, jaki będzie wydawany osobom zgłaszającym się do udziału w Akcji. Każda ze Stron w momencie pozyskania danych osobowych zobowiązana będzie stosowanie do art. 13 i nast. RODO przekazać osobom zgłaszającym się do udziału w Akcji ustalony przez Xxxxxx obowiązek informacyjny.
8. W ocenie Stron podział obowiązków, o którym mowa w art. 4 - 7 Porozumienia, odzwierciedla podział zadań pomiędzy Stronami dokonany w ramach Umowy oraz ich relacje z Podmiotami Danych.
§ 7
ODPOWIEDZIALNOŚĆ
1. Każdy ze Współadministratorów odpowiada za wszelkie szkody wyrządzone pozostałym Współadministratorom oraz osobom trzecim, wynikające z naruszenia prawa lub Porozumienia, na zasadach określonych przepisami prawa (zasady ogólne). W szczególności, jeśli w wyniku działania lub zaniechania Współadministratora inny Współadministrator poniósł szkodę (w tym: zapłacił karę, uiścił odszkodowanie, poniósł koszty związane ze zmianą w procesach przetwarzania Danych Osobowych lub poniósł koszty dedykowanej obsługi prawnej), może on żądać jej naprawienia od Współadministratora, którego działanie lub zaniechanie taką szkodę spowodowało.
2. Każdy ze Współadministratorów ponosi odpowiedzialność za działania i zaniechania swoich pracowników i wszelkich innych osób, przy pomocy których wykonuje niniejsze Porozumienie, jak za własne.
3. Wydawanie Uczelni przez KGHM wiążących rekomendacji wynikających z niniejszego Porozumienia nie wyłącza odpowiedzialności Uczelni za swoje działania na ich podstawie i nie przenosi, chociażby w części, takiej odpowiedzialności na KGHM, chyba, że Uczelnia po otrzymaniu takiej rekomendacji zgłosiła wobec niej uzasadniony sprzeciw w formie pisemnej lub mailowej pod rygorem nieważności, i wykazała, że działanie zgodnie z rekomendacją stanowi naruszenie Porozumienia i będzie skutkować szkodą.
§8
UPRAWNIENIA KONTROLNE
1. Każdy ze Współadministratorów jest uprawniony do kontroli przetwarzania Danych Osobowych przez innego Współadministratora, zgodnie z Porozumieniem, obejmującej w szczególności kontrolę właściwej dokumentacji oraz prawo uzyskania niezbędnych wyjaśnień dotyczących realizacji postanowień Porozumienia.
2. Każda ze Stron Umowy zobowiązana jest umożliwić przeprowadzenie kontroli. Strony wspólnie ustalą dogodny dla Stron termin kontroli. W przypadkach pilnych, każda ze Stron jest zobowiązana do udzielenia odpowiedzi na każde pytanie, które otrzyma od drugiej Strony, bez zbędnej zwłoki.
3. Nadzór nad procesami przetwarzania Danych Osobowych objętych Porozumieniem wykonywany jest w pierwszej kolejności przez Inspektorów Ochrony Danych, jeśli zostali powołani przez Strony.
§9
ZMIANY POROZUMIENIA
1. O ile Porozumienie nie stanowi inaczej, wszelkie zmiany lub uzupełnienia Porozumienia wymagają sporządzenia pisemnego aneksu do Porozumienia podpisanego przez obie Strony, pod rygorem nieważności. Rozwiązanie Porozumienia za zgodą Stron jak również odstąpienie od niego albo jego wypowiedzenie wymaga każdorazowo zachowania formy pisemnej, pod rygorem nieważności.
2. Nie stanowi zmiany Porozumienia jego aktualizacja dotycząca wyłącznie kwestii organizacyjnych lub administracyjnych, takich jak w szczególności zmiana formy prawnej Stron, ich adresów, nazw etc. Takie aktualizacje wchodzą w życie z chwilą ich wprowadzenia. O każdej takiej aktualizacji Porozumienia i jego tekście jednolitym Strona poinformuje drugą Stronę.
§10
OBOWIĄZYWANIE POROZUMIENIA
1. Porozumienie zostaje zawarte na czas obowiązywania Umowy tj. nr rej. KGHM-BZ-U-0610-2023
§11
POSTANOWIENIA KOŃCOWE
1. Porozumienie podlega prawu polskiemu.
2. W sprawach nieuregulowanych Porozumieniem znajdują zastosowanie odpowiednie przepisy powszechnie obowiązującego prawa i Umowy.
3. W przypadku, gdy te same kwestie zostały odmiennie uregulowane w Umowie oraz w Porozumieniu, stosuje się postanowienia Porozumienia.
4. Jeżeli jedno lub więcej postanowień Porozumienia będzie lub stanie się nieważne albo bezskuteczne, nie wpływa to na ważność lub skuteczność pozostałych postanowień Porozumienia. Postanowienie nieważne albo bezskuteczne zostanie zastąpione postanowieniem, które będzie najbardziej zbliżone do osiągnięcia celu założonego przez Strony.
5. Strony dołożą starań, aby spory związane w wykonywaniem niniejszego
Porozumienia rozstrzygnąć w sposób polubowny, w terminie trzydziestu (30)
dni od zaistnienia sporu. W przypadku braku porozumienia, spory rozstrzygane
będą przez sąd powszechny właściwy według siedziby KGHM.
6. Z dniem podpisania niniejszego Porozumienia traci moc obowiązującą Umowa powierzenia przetwarzania danych osobowych nr KGHM-BZ-U-0233-2018 z dnia 04.07.2018r.
7. Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
PODPISY STRON
Składając swoje podpisy Strony akceptują treść powyższej Umowy wraz z załącznikami, które stanowią jej integralną część.
UCZELNIA: KGHM:
……………………………………………………. Dyrektor Departamentu Umów
…………………………………………………….
Radca Prawny