Uniwersytet Zielonogórski w Zielonej Górze

Uniwersytet Zielonogórski w Zielonej Górze

65-417 Zielona Góra, ul. Licealna 9, xxx.xx.xxxxx.xx

Umowa

powierzenia przetwarzania danych osobowych,

zawarta w dniu ………………………. w Zielonej Górze pomiędzy:

Uniwersytetem Zielonogórski, 00-000 Xxxxxxx Xxxx, xx. Xxxxxxxx 0; REGON 000000000; tel. 000000000, fax: 000000000; xxx.xx.xxxxx.xx .

– zwanym dalej „Administratorem,”

a

…………………………………………………………………………………………………………………

…………………………………………

– zwanym dalej „Przetwarzającym”

Administrator i Przetwarzający są zwani dalej łącznie „Stronami”, a każdy z nich z osobna „Stroną”.

Zważywszy, że w dniu ……….., Strony zawarły Porozumienie o organizacji zawodowych praktyk studenckich na podstawie skierowania uczelni (zwane dalej: „Porozumieniem”) oraz mając na uwadze fakt, że w związku z wykonywaniem Porozumienia mogą być przetwarzane przez Przetwarzającego dane osobowe, Strony postanawiają, co następuje:

§ 1

_{Oświadczenia stron.}

1. Administrator oświadcza, że jest Administratorem danych oraz, że jest uprawniony do ich przetwarzania w zakresie, w jakim powierzył je Przetwarzającemu.

2. Przetwarzający oświadcza, że znane są mu przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwanym dalej „ Rozporządzeniem ”lub „RODO ”, w szczególności w zakresie obowiązków Podmiotu Przetwarzającego, którego obowiązki na mocy niniejszej umowy przyjmuje. Przetwarzający zapewnia, że daje wystarczające gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia (oraz innych obowiązujących w tym zakresie przepisów prawa) i chroniło prawa osób, których dane dotyczą.

3. Przetwarzający zobowiązuje się pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. W szczególności zobowiązuje się przekazać Administratorowi informacje o stosowanych środkach zabezpieczenia danych osobowych, przypadkach naruszenia ochrony danych osobowych w ciągu 24 godzin od zaistnienia incydentu oraz zawiadomienia o tym osób, których dane osobowe dotyczą, o ile zażąda tego Administrator. Nadto zobowiązuje się on udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków administratora, a określone w RODO oraz umożliwić Administratorowi lub audytorowi przez niego upoważnionemu przeprowadzanie audytów, w tym inspekcji, a także przyczyni się do nich. Przetwarzający zobowiązuje się do stosowania się do zaleceń Administratora dotyczących zasad przetwarzania powierzonych danych osobowych oraz dotyczących poprawy zabezpieczenia danych osobowych, sporządzonych w wyniku kontroli przeprowadzonych przez Administratora lub upoważnionego przez niego audytora.

§ 2

_{Powierzenie przetwarzania danych osobowych}

1. Administrator danych powierza Przetwarzającemu, w trybie art. 28 Rozporządzenia dane osobowe do przetwarzania wyłącznie w celach związanych z realizacją niniejszej Umowy i Porozumienia i wyłącznie w zakresie, jaki jest niezbędny do realizacji tych celów na podstawie udokumentowanego polecenia Administratora. Przetwarzanie danych osobowych następowało będzie w formie papierowej jak również przy wykorzystaniu systemów informatycznych. Przez przetwarzanie danych osobowych rozumie się wszelkie operacje wykonywanych na danych osobowych, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Przetwarzający oświadcza, że zdaje sobie sprawę z faktu, że Administrator jako Uczelnia Publiczna przetwarza x.xx. dane osobowe studentów i pracowników.

2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

§ 3

_{Zakres i cel przetwarzania danych}

1. Przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane obejmujące - dane :

1. Imię

2. Nazwisko,

3. Nr albumu,

4. Kierunek, stopień, rok i tryb studiów.

§ 4

_{Obowiązki Przetwarzającego}

1. Przetwarzający przetwarza dane wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora.

2. Przetwarzający oświadcza, że nie przekazuje danych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy („EOG”)). Przetwarzający oświadcza również, że nie korzysta z podwykonawców, którzy przekazują dane poza EOG.

3. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.

4. Przetwarzający oświadcza, że osobom przez niego zatrudnionym lub z nim współpracującym przy przetwarzaniu powierzonych danych osobowych nadane zostaną upoważnienia do przetwarzania danych osobowych oraz że osoby te zostaną zapoznane z przepisami o ochronie danych osobowych, w szczególności dotyczącymi odpowiedzialności za ich nieprzestrzeganie; nadto osoby te zobowiążą się do przestrzegania w/w przepisów oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia. Przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych w wykonaniu umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają ustawowemu obowiązkowi zachowania tajemnicy.

5. Planując dokonanie zmian w sposobie przetwarzania danych, Przetwarzający ma obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą bezpieczeństwu danych lub zwiększają ryzyko naruszenia praw lub wolności osób.

6. Przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru czynności przetwarzania danych osobowych (wymóg art. 30 RODO). Przetwarzający udostępniania na żądanie Administratora prowadzony rejestr czynności przetwarzania danych przetwarzającego, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Przetwarzającego.

7. W miarę możliwości Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.

8. Przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w ciągu 24 h.

9. Przetwarzający zobowiązuje się ponadto do niezwłocznego informowania Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

§ 5

_{Obowiązki Administratora}

Administrator zobowiązany jest współdziałać z Przetwarzającym w wykonaniu umowy, udzielać Przetwarzającemu wyjaśnień w razie wątpliwości co do legalności poleceń Administratora, jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.

§ 6

_{Bezpieczeństwo danych}

1. Przetwarzający zapewnia, iż przeprowadził analizę ryzyka przetwarzania powierzonych danych i stosuje stosownie do jej wyników, organizacyjne i techniczne środków ochrony danych.

2. Na żądanie Przetwarzający przedstawi Administratorowi informacje i dokumenty potwierdzające, że Przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Kopie przedstawionych dokumentów i dowody przedstawienia informacji,

3. Administrator przechowuje dla potrzeb spełnienia wymogu rozliczalności.

§ 7

_{Prawo kontroli}

1. Administrator w oparciu o art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.

2. Prawo do kontroli Administrator będzie realizować w godzinach pracy Przetwarzającego z minimum
   3 dniowym jego uprzedzeniem.

3. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.

4. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia

_{obowiązków określonych w art. 28 Rozporządzenia.}

§ 8

_{Dalsze powierzenie danych do przetwarzania}

1. Przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podmiotom przetwarzającym jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora.

2. Podmiotom przetwarzającym, o którym mowa ust. 1 winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Przetwarzającego w niniejszej umowie.

3. Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podmiotach przetwarzających obowiązków ochrony danych.

§ 9

_{Odpowiedzialność Przetwarzającego}

1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie
   z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

2. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych skierowanych do Przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych.

3. Przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które RODO nakłada bezpośrednio na Przetwarzającego lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub nie zastosowaniem właściwych środków bezpieczeństwa. Przetwarzający będzie zobowiązany do bezzwłocznego zwrotu kwot poniesionych przez Administratora tytułem nałożonych na niego kar z tytułu niedopełnienie przez Przetwarzającego obowiązków wynikających z niniejszej Umowy oraz RODO - na każdego jego żądanie w terminie 7 dni od dnia otrzymania takiego żądania.

§ 10

_{Czas obowiązywania umowy}

1. Umowa zostaje zawarta na czas obowiązywania Porozumienia. W celu uniknięcia wątpliwości, rozwiązanie Porozumienia skutkuje rozwiązaniem Umowy.

2. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Przetwarzający:

   1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

   2. przetwarza dane osobowe w sposób niezgodny z umową lub RODO;

   3. _{powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych;}

§ 11

Usunięcie Danych

Przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zobowiązuje się, zależnie od decyzji Administratora, usunąć lub zwrócić Administratorowi wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.

§ 12

_{Postanowienia końcowe}

1. Zmiany i uzupełnienia postanowień niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.

3. Umowa zostaje zawarta w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

………………………………………………….. ………………………………………………….

Administrator Przetwarzający

4