UMOWA PODPOWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA PODPOWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zwana dalej „Umową”, zawarta w dniu 2021 r. w Warszawie, pomiędzy:
Skarbem Państwa - Instytutem Wymiaru Sprawiedliwości z siedzibą w Warszawie, xx. Xxxxxxxxxx Xxxxxxxxxxxx 00, 00-000 Xxxxxxxx (NIP: 000-00-00-000), zwanym dalej
„Zamawiającym”, reprezentowanym przez Dyrektora Instytutu Wymiaru Sprawiedliwości – xx xxx. Xxxxxx Xxxxxx,
a
(*)1 ………………………….., prowadzącym/-ą działalność gospodarczą pod firmą
„………………………….”, ul. ……………………………………. (NIP:
……………………….; REGON: ), zwanym/-ą dalej: „Wykonawcą”,
(*)2 ………………………….. spółką ………………… z siedzibą …………………….., ul.
……………………………………., zarejestrowaną pod nr KRS ………………..………..
(NIP: ……………………….; REGON: …………………….), zwaną dalej: „Wykonawcą”, reprezentowaną przez ,
zwanych dalej łącznie „Stronami”.
stosownie do przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w celu wykonania art. 28 tego rozporządzenia, a także mając na uwadze, że IWS jest organizatorem seminarium naukowego pn. „Ekspresja religijna versus wolność słowa”, które odbędzie się w terminie 02 marca 2022 r. oraz że IWS uprawniony jest do dalszego powierzenia przetwarzania danych osobowych uczestników tego wydarzenia, a Strony zawarły Umowę, do wykonania której niezbędne jest przetwarzanie danych osobowych przez Podmiot przetwarzający
Strony zawierają Umowę o następującej treści:
§ 1
Definicje
1. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.5.2016, s. 1, z późn. zm.);
2. Umowa główna – umowa nr …………………………. zawarta w dniu… 2022 r. w Warszawie pomiędzy Stronami, której przedmiotem jest
kompleksowa organizacja i obsługa seminarium naukowego pn. „Ekspresja religijna versus wolność słowa”.
1 W zależności od formy wykonywania działalności gospodarczej przez Wykonawcę;
2 W zależności od formy wykonywania działalności gospodarczej przez Wykonawcę.
3. Dane osobowe – w rozumieniu art. 4 pkt 1 RODO – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
4. Przetwarzanie – w rozumieniu art. 4 pkt 2 RODO – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
5. Inny podmiot przetwarzający – podmiot, któremu Podmiot przetwarzający w związku z realizacją Umowy powierzył w całości lub częściowo przetwarzanie.
§ 2
Przedmiot umowy, zakres i cel przetwarzania danych
1. Administrator powierza Podmiotowi przetwarzającemu, w imieniu i na rzecz Administratora, na warunkach i w celach opisanych w niniejszej Umowie przetwarzanie danych osobowych w zakresie: imię i nazwisko, adres e mail, nazwa uczelni, stopień naukowy, afiliacja, numer kontaktowy telefonu, temat abstraktów, miejscowość, województwo, kraj.
2. Dane osobowe, o których mowa w ust. 1, będą dotyczyły następujących kategorii osób: uczestnicy videokonferencji prowadzonej w ramach seminarium naukowego pn.
„Ekspresja religijna versus wolność słowa.
3. Podmiot przetwarzający przetwarza dane powierzone przez Administratora wyłącznie na udokumentowane polecenie Administratora, w celu realizacji Umowy głównej i w zakresie niezbędnym do tego celu.
4. Powierzenie Podmiotowi przetwarzającemu danych przez Administratora na podstawie Umowy stanowi polecenie ich przetwarzania.
5. Umowa zostaje zawarta w celu zapewnienia bezpieczeństwa danych osobowych powierzonych Podmiotowi przetwarzającemu przez Administratora.
6. Administrator i Podmiot przetwarzający zobowiązują się do przestrzegania postanowień i wymogów Umowy, RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 z późn. zm.) oraz innych przepisów prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
§ 3
Oświadczenia Administratora
1. Administrator oświadcza, że przetwarza dane osobowe, które mają zostać powierzone do przetwarzania Podmiotowi przetwarzającemu na podstawie niniejszej Umowy, zgodnie z przepisami prawa, a w szczególności zgodnie z RODO.
2. Administrator zobowiązuje się, że podczas realizacji Umowy będzie ściśle współpracować z Podmiotem przetwarzającym.
3. Administrator umocowuje Podmiot przetwarzający do wydawania oraz odwoływania osobom dopuszczonym do przetwarzania danych osobowych, upoważnień do przetwarzania danych osobowych.
§ 4
Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązany jest:
1) stosować środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, zgodnie z art. 32 RODO, gwarantujące zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
2) regularnie testować, mierzyć i oceniać skuteczność zastosowanych środków technicznych i organizacyjnych i uwzględniać ryzyko związane ze zmianami w procesie przetwarzania;
3) dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych;
4) nadać upoważnienia do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy oraz dopuszczać do przetwarzania danych osobowych jedynie osoby upoważnione;
5) zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, przetwarzanych danych przez upoważnione przez niego osoby, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Podmiotem przetwarzającym;
6) prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO;
7) pomagać Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32 – 36 RODO;
8) niezwłocznie informować Administratora o:
a) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem pkt 9,
b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem.
9) bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosić Administratorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Administratorowi określenie, czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych;
10) po rozwiązaniu lub wygaśnięciu Umowy niezwłocznie zwrócić Administratorowi powierzone dane osobowe i trwale usunąć je z wszystkich nośników, zarówno w postaci elektronicznej, jak i papierowej. Zobowiązanie to obejmuje również Inne podmioty przetwarzające. W terminie 14 dni od zakończenia Umowy Podmiot przetwarzający przedłoży Administratorowi protokół z usunięcia powierzonych danych osobowych z
zasobów Podmiotu przetwarzającego, w szczególności serwerów, macierzy dyskowych, dysków twardych komputerów, kont poczty elektronicznej, komunikatorów.
11) zobowiązanie opisane w pkt 10 nie dotyczy danych osobowych, które są niezbędne Podmiotowi przetwarzającemu dla celów wykonywania obowiązków wynikających z przepisów prawa.
§ 5
Prawo kontroli
1. Administrator, zgodnie z art. 28 ust. 3 lit. h RODO, ma prawo kontroli zgodności przetwarzania powierzonych danych osobowych z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego oraz Umową.
2. Prawo kontroli realizowane będzie w godzinach pracy Podmiotu przetwarzającego i z minimum 7 – dniowym pisemnym jego uprzedzeniem.
3. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, nie dłuższym niż 7 dni.
4. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 6
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający nie przekazuje powierzonych do przetwarzania danych osobowych do państwa trzeciego lub organizacji międzynarodowych (poza Europejski Obszar Gospodarczy, dalej EOG). Jeżeli Podmiot przetwarzający ma zamiar lub obowiązek przekazania powierzonych do przetwarzania danych osobowych poza EOG poinformuje o tym Administratora w celu umożliwienia Administratorowi podjęcia decyzji lub działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania danych osobowych.
2. Podmiot przetwarzający nie może bez zgody Administratora powierzyć danych osobowych do dalszego przetwarzania Innemu podmiotowi przetwarzającemu w celu wykonania całości lub części Umowy.
3. W przypadku powierzenia wykonania całości lub części Umowy Innemu podmiotowi przetwarzającemu za zgodą Administratora, Inny podmiot przetwarzający winien spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
4. W sytuacji opisanej w ust. 1 Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na Innym podmiocie przetwarzającym obowiązków ochrony danych.
§ 7
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Administratora, za wszelkie szkody powstałe w związku z nieprzestrzeganiem ustawy z dnia 10 maja 2018 r. o ochronie danych, RODO, przepisów prawa powszechnie
obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z Umową.
2. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
§ 8
Obowiązywanie Umowy
1. Umowa zostaje zawarta na czas obowiązywania Umowy głównej.
2. Administrator może wypowiedzieć niniejszą Umowę ze skutkiem natychmiastowym, w przypadku naruszenia przez Podmiot przetwarzający postanowień Umowy.
3. Rozwiązanie niniejszej Umowy ze skutkiem natychmiastowym jest równoznaczne z rozwiązaniem Umowy głównej.
§ 9
Postanowienia końcowe
1. Wszelkie zmiany i uzupełnienia Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności, z zachowaniem warunków oraz dopuszczalności zmiany Umowy.
2. Wykonanie niniejszej Umowy jest nieodpłatne. W związku z jej wykonaniem Podmiot przetwarzający nie nabywa wobec Administratora innych roszczeń niż określone w Umowie głównej.
3. W sprawach nieuregulowanych Umową, zastosowanie znajdują przepisy o ochronie danych osobowych oraz Kodeksu cywilnego.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z Umowy będzie sąd właściwy dla Administratora.
5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
………………………………………….. ………………………………………..
IWS Podmiot przetwarzający