Umowa powierzenia

Załącznik nr 5

do Umowy 5A/5B na 13 str.

Umowa powierzenia

zawarta w dniu pomiędzy:

Wojskowym Instytutem Medycyny Lotniczej mającym swoją siedzibę w Warszawie przy xx. Xxxxxxxxxxxx 00/00 (00-000 Xxxxxxxx), wpisanym do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod nr KRS 0000180451, posiadającym nadany numer identyfikacji podatkowej NIP 118–00–59–744 oraz REGON 010132188,

reprezentowanym przez: płk dr x. xxx. Xxxxxx XXXXXXXXXX – Dyrektor

zwanym w dalszej części Umowy „Powierzającym”.

a

………………………………………………………………………………………………….

zwanym w dalszej części Umowy „Procesorem”

(Powierzający i Procesor zwani są dalej łącznie „Stronami”, a każdy z osobna „Stroną”)

§ 1

PRZEDMIOT POWIERZENIA I OŚWIADCZENIA STRON

1. Powierzający oświadcza, że jest uprawniony do powierzenia przetwarzania danych osobowych w zakresie wskazanym w Załączniku nr 1 i na zasadach wskazanych w niniejszej Umowie powierzenia powierza Procesorowi do przetwarzania dane osobowe.

2. Zakres powierzenia, wskazany w Załączniku nr 1, może zostać w każdym momencie rozszerzony albo ograniczony przez Powierzającego. Zmiana Załącznika nr 1 w zakresie ograniczenia albo rozszerzenia zakresu może być dokonana poprzez przesłanie przez Powierzającego do Procesora nowej zmienionej wersji Załącznika nr 1 w formie elektronicznej (na adres e-mail wskazany w Załączniku nr 2). W przypadku braku reakcji Procesora w ciągu 3 dni roboczych (dalej również:

„Dni Robocze”) od daty wysłania wiadomości przez Powierzającego przyjmuje się, że Procesor zaakceptował zmianę zakresu powierzenia.

3. Procesor działa zgodnie z obowiązkami wynikającymi z RODO oraz powiązanymi z nim powszechnie obowiązującymi przepisami prawa polskiego.

4. W związku z faktem, iż w oparciu o art. 28 RODO, wskazujący na obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych, Powierzający powierza Procesorowi przetwarzanie danych w drodze umowy zawartej na piśmie, niniejsza Umowa powierzenia stanowi wypełnienie obowiązków wynikających z powołanych przepisów.

5. Dane osobowe przetwarzane są w celu realizacji Umowy. Procesor zobowiązuje się do przetwarzania powierzonych mu danych osobowych w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy.

6. W stosunku do danych osobowych podejmowane mogą być następujące kategorie czynności przetwarzania: utrwalanie, przechowywanie, opracowywanie, udostępnianie.

7. Z tytułu przetwarzania danych osobowych Procesorowi nie przysługuje prawo do odrębnego wynagrodzenia poza wskazanym w Umowie (w tym również w przypadku zmiany zakresu przetwarzania).

§ 2

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ STRON

1. Procesor oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

2. W przypadku, gdy Procesor stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO, lub zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42 RODO, jest to wystarczające do wykazania zapewnienia gwarancji, o których mowa w ustępie poprzedzającym. Analogicznie, jeżeli Powierzający stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO, Procesor zobowiązany jest do przetwarzania danych osobowych zgodnie z ww. kodeksem (w zakresie w jakim nie stoi on w sprzeczności z zatwierdzonym kodeksem postępowania, o którym mowa w zdaniu pierwszym powyżej).

3. Procesor zobowiązany jest:

1) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Powierzającego (niniejsza Umowa powierzenia), co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Ewentualne instrukcje, dotyczące powierzonych danych osobowych, będą przekazywane Procesorowi przez Powierzającego drogą elektroniczną, na adres wskazany w Załączniku nr 2. Procesor powinien wdrożyć instrukcje niezwłocznie, nie później jednak niż w terminie 5 Dni Roboczych. Jeżeli Procesor nie będzie w stanie wdrożyć instrukcji ze wskazanym terminie, powinien poinformować Powierzającego o tym fakcie, za pośrednictwem informacji przesłanej na adres e-mail wskazany w Załączniku nr 2 i wskazać uzasadnienie, dlaczego wdrożenie instrukcji Powierzającego nie było możliwe. Procesor może również zaproponować nowy termin wdrożenia instrukcji Powierzającego, który musi zostać zaakceptowany drogą elektroniczną (wysyła e-mail na adres wskazany w Załączniku nr 2) przez Powierzającego,

2) niezwłocznie informować Powierzającego o obowiązku prawnym udostępnienia danych osobowych, o którym mowa w pkt. 1) powyżej, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny,

3) dopuszczać do przetwarzania danych osobowych wyłącznie osoby odpowiednie, upoważnione do tego,

4) dopuszczać do przetwarzania danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy, lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

5) jeżeli dane osobowe powierzone Procesorowi do przetwarzania stanowią także tajemnicę bankową, procesowania ich z zachowaniem najwyższej staranności, w tym zakresie zasad bezpieczeństwa i zabezpieczeń systemów informatycznych oraz innych obowiązków wynikających z przepisów prawa i Umowy,

6) podejmować wszelkie środki wymagane, zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności:

a) pseudonimizację i szyfrowanie danych osobowych,

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

c) zdolność do szybkiego przywrócenia danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,

7) przestrzegać warunków korzystania z usług podmiotu, któremu podpowierza przetwarzanie danych osobowych, wskazanych w ust. 14 i 15 poniżej,

8) w razie potrzeby i na żądanie Powierzającego pomagać Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, których dane dotyczą, w tym w zakresie prawa dostępu przysługującego osobie, której dane dotyczą, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania,

9) niezwłocznie informować Powierzającego o tym, iż osoba, której dane dotyczą, skierowała do Procesora korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji,

10) w razie potrzeby i na żądanie Powierzającego pomagać Powierzającemu wywiązywać się z następujących obowiązków:

a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych i organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Powierzającego, zgodnie z art. 32 RODO,

b) zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 RODO,

c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO,

d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych zgodnie z art. 35 RODO,

e) przeprowadzaniu konsultacji z organem nadzorczym zgodnie art. 36 RODO,

11) udostępniać Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków w zakresie powierzenia przetwarzania danych. Procesor jest zobowiązany udostępnić wszelkie informacje i dokumenty w terminie 2 Dni Roboczych od przesłania żądania Powierzającego na adres wskazany w Załączniku nr 2.

4. W przypadku, gdy Procesor stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO, lub zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42 RODO, jest to wystarczające do wykazania wywiązywania się z obowiązków, o których mowa w ust 3 pkt. 6 powyżej.

5. Procesor zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Powierzającego, zawierający następujące informacje:

1) imię i nazwisko lub nazwę oraz dane kontaktowe Procesora oraz Powierzającego, a gdy ma to zastosowanie – przedstawiciela Procesora oraz inspektora ochrony danych,

2) kategorie przetwarzań dokonywanych w imieniu Powierzającego,

3) gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO dokumentację odpowiednich zabezpieczeń,

4) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO - chyba że do Powierzającego znajduje zastosowanie wyjątek, o którym mowa w art. 30 ust. 5 RODO.

6. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania właściwych środków naprawczych. Procesor jest zobowiązany do udostępnienia procedur, o których mowa w zdaniu poprzedzającym, na żądanie Powierzającego przekazane za pośrednictwem e-maila na adres wskazany w Załączniku nr 2. Procesor jest zobowiązany do udzielenia odpowiedzi w terminie 3 Dni Roboczych od przesłania przez Powierzającego żądania.

7. Po stwierdzeniu naruszenia ochrony danych osobowych Procesor bez zbędnej zwłoki, jednak nie później niż 24 godzin od powzięcia wiadomości o naruszeniu, zgłasza ten fakt Powierzającemu, wskazując w zgłoszeniu:

1) opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,

2) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,

3) opis możliwych konsekwencji naruszenia ochrony danych osobowych,

4) opis środków zastosowanych lub proponowanych przez Procesora w celu zapobieżeniu naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

8. Zgłoszenie naruszenia ochrony danych osobowych następuje na adres mailowy wskazany w Załączniku nr 2.

9. Jeśli informacji, o których mowa w ust. 7 powyżej, nie da się udzielić w tym samym czasie, Procesor ma obowiązek ich udzielać Powierzającemu sukcesywnie bez zbędnej zwłoki.

10. Do czasu przekazania Procesorowi instrukcji postępowania w związku z naruszeniem ochrony danych, Procesor podejmuje, bez zbędnej zwłoki, wszelkie działania mające na celu ograniczenie i naprawnienie negatywnych skutków naruszenia.

11. Bez wyraźnej instrukcji Powierzającego Procesor nie jest zobowiązany do informowania o naruszeniu ochrony danych osobowych organu nadzorczego ani osób, których dane dotyczą.

12. Procesor dokumentuje wszelkie naruszenia ochrony powierzonych mu przez Powierzającego danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, jak również udostępnia tę dokumentację Powierzającemu na jego żądanie.

13. Procesor ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działanie i zaniechanie.

14. Procesor jest uprawniony do dokonania dalszego powierzenia (podpowierzenia) przetwarzania danych osobowych innemu podmiotowi (dalej również: „Podprocesor”) wyłącznie na podstawie uprzedniej ogólnej zgody Powierzającego, która, zgodnie z Załącznikiem nr 3, może stanowić Załącznik nr 4 do niniejszej Umowy. Lista podmiotów, z których korzysta Procesor zgodnie z Załącznikiem nr 3, może stanowić Załącznik nr 5 do niniejszej Umowy. Powyższe nie wyklucza prawa Procesora do upoważnienia innych podmiotów do przetwarzania danych osobowych powierzonych w ramach niniejszej Umowy, jednak upoważnienie to musi odbyć się zgodnie z zasadami przewidzianymi w art. 28 ust. 2 RODO. W sytuacji, w której Powierzający wyrazi sprzeciw wobec korzystania przez Procesora z Podprocesora, Procesor nie jest uprawniony do zawarcia umowy z Podprocesorem, którego dotyczy sprzeciw.

15. Jeśli do wykonania, w imieniu Powierzającego, konkretnych czynności przetwarzania Procesor dokona dalszego powierzenia (podpowierzenia) przetwarzania danych osobowych Podprocesorowi, to Procesor zapewnia, iż Podprocesor wypełnia te same obowiązki ochrony danych osobowych, jakie zostały nałożone na Procesora w Umowie, w szczególności obowiązek zapewnienia wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie przez niego danych osobowych było zgodne z wymogami RODO. Procesor ponosi pełną odpowiedzialność za wypełnienie tych obowiązków ochrony danych osobowych przez Podprocesora.

16. W przypadku, gdy Procesor dokonał dalszego powierzenia danych osobowych, Procesor zapewnia, iż Podprocesor wypełniać będzie, bezpośrednio w stosunku do Powierzającego, obowiązki wymienione w ust. 7 oraz ust. 9-10 i ust. 12 powyżej.

17. Procesor zapewni również w umowie z Podprocesorem możliwość realizacji przez Powierzającego bezpośredniej kontroli względem dalszego podmiotu przetwarzającego (w tym możliwość przeprowadzania audytów, o których mowa w § 3 niniejszej Umowy). Procesor jest zobowiązany poinformować Podprocesora, że informacje, w tym dane osobowe, na jego temat mogą być udostępnione Powierzającemu w celu wykonania przez niego uprawnień, o których mowa w zdaniu poprzedzającym.

18. Zgodnie z RODO:

1) Procesor odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał poza zgodnymi z prawem instrukcjami Powierzającego lub wbrew tym instrukcjom,

2) Procesor ma obowiązek współdziałać z Powierzającym na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również zapewnia, że obowiązek ten będzie wypełniać bezpośrednio Podprocesor w stosunku do Powierzającego,

3) W przypadku, gdy za szkodę spowodowaną przetwarzaniem odpowiadają zarówno Powierzający, jak i Procesor, ponoszą oni odpowiedzialność solidarną za całą szkodę,

4) W przypadku, gdy Powierzający zapłacił odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Procesora zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność zgodnie z pkt 1) powyżej.

19. Procesor ma obowiązek niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych.

20. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami Kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.

§ 3

PRAWO KONTROLI

1. Powierzający posiada prawo kontroli właściwego przetwarzania przez Procesora powierzonych mu danych osobowych. Procesor na każdy pisemny wniosek Powierzającego zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 5 Dni Roboczych od dnia otrzymania wniosku Powierzającego.

2. Zgodnie z RODO:

1) Procesor umożliwia Powierzającemu lub upoważnionemu przez Powierzającego audytorowi przeprowadzenie audytów, w tym inspekcji, i zobowiązuję się współpracować z Powierzającym w zakresie dotyczącym wyłącznie realizacji niniejszej Umowy. Powierzający zobowiązuje się, że jako upoważniony audytor nie zostanie wyznaczony podmiot prowadzący pośrednio lub bezpośrednio działalność konkurencyjną w stosunku do działalności prowadzonej przez Procesora. Ewentualne czynności kontrolne będą prowadzone na koszt i ryzyko Powierzającego,

2) termin przeprowadzenia kontroli zostanie ustalony z Procesorem, jednak kontrola nie może odbyć się później niż 5 Dni Roboczych od przekazania Procesorowi żądania na adres mailowy wskazany w Załączniku nr 2,

3) Procesor niezwłocznie informuje Powierzającego, jeśli wydane Procesorowi polecenie, w oparciu o § 2 ust. 3 pkt 10) niniejszego rozdziału lub w oparciu o pkt. 1 powyżej, stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów.

3. Po przeprowadzonym audycie przedstawiciel Powierzającego lub upoważniony przez Powierzającego przedstawiciel audytora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Procesor zobowiązuje się w terminie uzgodnionym z Powierzającym, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.

4. Powierzający ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji niniejszej Umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Powierzającego dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.

5. Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Powierzającego (lub podmiot zewnętrzny, któremu Powierzający zleci wykonanie audytu) audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w § 3 ust. 1 – 3.

6. Koszty związane z przeprowadzeniem audytu ponosi podmiot, który zlecił przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.

§ 4

WSPARCIE POWIERZAJĄCEGO W WYKONYWANIU PRAW OKREŚLONYCH W ROZDZIALE III RODO

1. Zgodnie z art. 28 ust. 3 pkt. e RODO biorąc pod uwagę charakter przetwarzania, Procesor w miarę możliwości pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

2. Procesor jest zobowiązany do wsparcia Powierzającego w zakresie realizacji następujących praw podmiotów danych osobowych:

a) obowiązku informacyjnego przewidzianego w art. 13 i art. 14 RODO;

b) prawa dostępu do danych;

c) prawa do sprostowania danych;

d) prawa do usunięcia danych;

e) prawa do ograniczenia przetwarzania;

f) obowiązku poinformowania o sprostowaniu lub usunięciu danych lub o ograniczeniu przetwarzania;

g) prawa do przenoszenia danych;

h) prawa do sprzeciwu;

i) kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych, w tym profilowaniu.

3. Żądanie Powierzającego w zakresie uzyskania wsparcia w związku z realizacją praw wymienionych w pkt. 2 zostanie niezwłocznie przekazane Procesorowi na adres mailowy wskazany w Załączniku nr 2.

4. Procesor w ciągu 2 Dni Roboczych od otrzymania żądania potwierdzi jego otrzymanie Powierzającemu.

5. Procesor w terminie 5 Dni Roboczych od terminu wskazanego w pkt. 4 poinformuje Powierzającego o wykonaniu przekazanego żądania.

6. Jeżeli Procesor nie jest w stanie zrealizować żądania przekazanego mu przez Powierzającego jest on zobowiązany do przygotowania i przekazania Powierzającemu wyjaśnienia opisującego przyczyny dla których zrealizowanie żądania Powierzającego było niemożliwe.

§ 5

TRANSFER DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

1. Procesor nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym (dalej również: „EOG”), chyba że Powierzający udzieli mu uprzedniej, pisemnej pod rygorem nieważności, zgody zezwalającej na taki transfer.

2. Jeśli Powierzający udzieli Procesorowi uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:

a) państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej lub

b) Powierzający i Procesor lub Podprocesor zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego.

§ 6

ADRESY STRON I DANE OSÓB

1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku nr 2.

2. Procesora w kontaktach z Powierzającym oraz Powierzający w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku nr 2.

3. Zmiana adresów i danych tych osób nie stanowi zmiany Umowy. O każdej zmianie danych zawartych w Załączniku nr 2, Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną.

§ 7

CZAS TRWANIA POWIERZENIA I WYPOWIEDZENIE POWIERZENIA

1. Powierzenie trwa przez czas obowiązywania Umowy.

Po zakończeniu świadczenia usług związanych z przetwarzaniem Procesor ma obowiązek usunąć lub zwrócić Powierzającemu – zależnie od decyzji Powierzającego – wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych danych osobowych.

2. Procesor przesyła Powierzającemu pisemne potwierdzenie zniszczenia danych osobowych. Potwierdzenie powinno zostać przesłane na adres e-mail wskazany w Załączniku nr 2.

3. Powierzający jest uprawniony do rozwiązania Umowy bez wypowiedzenia, jeżeli Procesor nie wypełnia obowiązków wskazanych w § 2, lub uniemożliwia Powierzającemu skorzystania z prawa kontroli wskazanego w § 3.

4. W przypadku podpowierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z Podprocesorami postanowień, zgodnie z którymi umowy podpowierzenia danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy.

§ 8

POSTANOWIENIA KOŃCOWE

1. Załączniki: Załącznik 1, Załącznik 2, Załącznik 3, Załącznik 4*), Załącznik 5*), stanowią integralną część Umowy.

2. Niniejsza Umowa wchodzi w życie z dniem jej zawarcia.

3. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

4. Niniejsza Umowa została sporządzona w trzech jednobrzmiących egzemplarzach.

W imieniu Powierzającego W imieniu Xxxxxxxxx

*) - jeżeli zgodnie z Załącznikiem nr 3 nie wypełniono to należy wskazane pozycje należy wykreślić.

Załącznik nr 1

ZAKRES PRZETWARZANIA

Kategoria osób, których dane dotyczą	Rodzaj danych osobowych
Np. dane dotyczące pacjentów	Np. imiona, nazwiska, adresy zameldowania

Załącznik nr 2

DANE KONTAKTOWE STRON

1. Dane kontaktowe Stron:

a) wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Powierzającego na następujące dane kontaktowe: Wojskowy Instytut Medycyny Lotniczej, xx. Xxxxxxxxxxxx 00/00, 00-000 Xxxxxxxx, tel. ………………………..

b) wszelka korespondencja w sprawach związanych z Umową będzie kierowana do Procesora na następujące dane kontaktowe: …………………………………………………………………..

2. Dane przedstawicieli Stron:

a) procesora w kontaktach z Powierzającym w zakresie ustaleń Umowy reprezentować będą następujące osoby: ………………………………………………………………………………

………………………………………………………………...…………………………………

b) powierzającego w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą następujące osoby: ………………………………………………………………………………

Załącznik nr 3

ARKUSZ WERYFIKACJI PROCESORA Dane Procesora (Podmiotu Przetwarzającego Xxxx Xxxxxxx): ……………………..
Obszar	Lp.	Treść pytania	Odpowiedź podmiotu przetwarzającego dane osobowe	Uwagi / Komentarze
Ochrona danych osobowych	Kwestie organizacyjne
	1.	Czy Procesor wyznaczył Inspektora Ochrony Danych?	Tak / Nie
	2.	Jeżeli nie został wyznaczony IOD, to prosimy o wskazanie innej osoby do kontaktu w kwestiach związanych z ochroną danych osobowych.
	3.	Czy Procesor wprowadził środki techniczne i organizacyjne, które będą spełniały wymogi RODO oraz innych aktów regulujących legalne przetwarzanie danych osobowych oraz będą chroniły prawa osób, których dane dotyczą?	Tak / Nie
	4.	Czy Procesor korzysta z dalszych procesorów w procesie przetwarzania danych osobowych na zlecenie administratora danych osobowych?	Tak / Nie	Jeżeli TAK to musi być wypełniony załącznik nr 4 i 5 (w zależności od procesu)
	5.	Jeżeli Procesor korzysta z Podprocesorów to czy są oni zlokalizowani w ramach EOG?	Tak / Nie	TAK, jeżeli w pkt 4 udzielono odpowiedzi TAK.
	6.	Czy Podprocesorzy stosują środki techniczne i organizacyjne spełniające wymogi RODO?	Tak / Nie	TAK, jeżeli w pkt 4 udzielono odpowiedzi TAK.
	7.	Jeżeli transfer danych odbywa się poza EOG to na jakiej podstawie prawnej?	Tak / Nie
	Kwestie proceduralne
	1.	Czy Procesor prowadzi rejestr czynności dla powierzonych operacji przetwarzania danych	Tak /

Nie

		osobowych?
	2.	Czy Procesor wdrożył procedury dotyczące zarzadzania incydentami bezpieczeństwa?	Tak / Nie
	Kwestie bezpieczeństwa
	1.	Czy Procesor wprowadził środki zapewniające, że systemy IT używane do przetwarzania danych osobowych są zgodne z RODO oraz innymi aktami regulującymi przetwarzanie danych osobowych?	Tak / Nie
	2.	Czy Procesor przechodzi regularne audyty z zakresu bezpieczeństwa danych? Jeśli tak to czy może udostępnić raporty?	Tak / Nie

Oświadczenie:

W imieniu Xxxxxxxxx oświadczam, że powyżej przekazane informacje są zgodne z prawdą. W przypadku zmiany któregokolwiek z ww. elementów, zobowiązuje się niezwłocznie (nie później niż w terminie 7 dni od wystąpienia zdarzenia) powiadomić o tym administratora danych osobowych.

data podpis

Załącznik nr 4

PISEMNA ZGODA POWIERZAJĄCEGO NA KORZYSTANIE PRZEZ PROCESORA Z USŁUG PODPROCESORÓW

Działając w imieniu Powierzającego, zgodnie z § 2 ust. 14 Umowy, niniejszym wyrażam zgodę na korzystanie przez Procesora z Podprocesorów w ramach świadczenia usług na podstawie niniejszej Umowy.

Oświadczam, iż Procesor przedstawił mi listę Podprocesów, z których usług korzysta. Lista stanowi Załącznik nr 3 do Umowy.

W imieniu Powierzającego

……………..… , data

Załącznik nr 5

LISTA PODPROCESORÓW Z USŁUG KTÓRYCH KORZYSTA PROCESOR

1. (…)