wzór)
(wzór)
Umowa powierzenia przetwarzania danych osobowych
Załącznik do Umowy NR …………, zwanej dalej: Umową główną
zawarta w Olsztynie w dniu ……………. r. pomiędzy:
Uniwersytetem Warmińsko-Mazurskim w Olsztynie z siedzibą przy ul. Xxxxxxxxxxxxx 0, 00-000 Xxxxxxx, NIP: 000-00-00-000, REGON: 510884205,
którego reprezentuje …………………………,
zwanym dalej Podmiotem przetwarzającym
a
……… z siedzibą przy ul. ………, ………
NIP: ………, REGON: ………,
którego reprezentuje …………………………,
zwanym dalej Administratorem
została zawarta umowa powierzenia przetwarzania danych osobowych o następującej treści:
§ 1
Powierzenie przetwarzania danych osobowych
Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (zwanego w dalszej części ,,Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
Administrator oświadcza, że jest Administratorem danych, które powierza Podmiotowi przetwarzającemu do przetwarzania.
Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z umową główną, niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
§2
Zakres i cel przetwarzania danych
Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane: ……………….. (należy podać rodzaj danych np. dane zwykłe oraz dane szczególnych kategorii, należy podać kategorię osób, których dane dotyczą oraz w jakiej są postaci np. imion i nazwisk, nr PESEL itp.).
Powierzone przez Administratora danych dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu wykonania usługi polegającej na dezynfekcji chemicznej, czyli postępowaniu mającym na celu zniszczenie mikroorganizmów znajdujących się w materiale powierzonym przez Administratora.
§ 3
Obowiązki podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
Strony zobowiązują się do wzajemnej współpracy w zakresie przetwarzania danych osobowych objętych niniejszą Umową, w szczególności Strony zobowiązują się do współpracy w zakresie realizacji obowiązku udzielania odpowiedzi na zapytania osób, których dane osobowe są przetwarzane oraz wywiązywania się z obowiązków, o których mowa w art. 32-36 Rozporządzenia.
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 24 godzin.
§ 4
Kontrola
Administrator ma prawo przeprowadzenia kontroli, czy środki bezpieczeństwa, o których mowa w § 3 ust.1, spełniają umowne i ustawowe warunki. O skorzystaniu z prawa przeprowadzenia kontroli, Administrator powinien uprzedzić Podmiot przetwarzający z co najmniej 3-dniowym wyprzedzeniem kierując w tym celu do Podmiotu przetwarzającego stosowne pisemne zawiadomienie. Po otrzymaniu zawiadomienia, Podmiot przetwarzający może wystąpić z wnioskiem o przeprowadzenie kontroli w terminie szybszym niż wyznaczony.
Kontrolę, o której mowa w ust. 1, Administrator winien przeprowadzić mając na uwadze godziny pracy Podmiotu przetwarzającego, w sposób możliwie niezakłócający pracy.
Podczas kontroli, Podmiot przetwarzający zobowiązuje się udostępnić Administratorowi wszelkie dane pozwalające na ocenę adekwatności zastosowanych środków bezpieczeństwa do istniejącego ryzyka, w szczególności udostępnić: kartoteki, bazy danych itp.
Podmiot przetwarzający zobowiązuje się do usunięcia wszelkich uchybień stwierdzonych podczas kontroli i opisanych w pokontrolnym protokole. Usunięcie uchybień powinno nastąpić nie później niż w terminie 7 dni od zakończenia kontroli i przedstawienia przez Administratora protokołu pokontrolnego.
§ 5
Podpowierzenie danych osobowych
Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania podwykonawcom jedynie po uzyskaniu uprzedniej pisemnej zgody Administratora.
Umowa o dalsze powierzenie danych osobowych może zostać zawarta wyłącznie w celu wykonania niniejszej Umowy i może obejmować jedynie te dane - ich rodzaj, zakres oraz cel przetwarzania - o których mowa w umowie zawartej z Podmiotem przetwarzającym.
Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Podmiot Przetwarzający prawo Unii Europejskiej lub prawo państwa członkowskiego Unii Europejskiej, któremu podlega Podmiot przetwarzający. W takim przypadku, przed rozpoczęciem przetwarzania, Podmiot przetwarzający informuje Administratora o tym obowiązku, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
Podwykonawca, winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie, a także dawać gwarancję należytego wykonania obowiązków ochrony danych osobowych.
Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
§ 6
Odpowiedzialność podmiotu przetwarzającego
Podmiot przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią niniejszej Umowy, a w szczególności za udostępnienie powierzonych danych do przetwarzania osobom nieuprawnionym.
Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w niniejszej Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania w ramach niniejszej Umowy danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych.
W przypadku podjęcia przez osobę trzecią działań prawnych wobec Podmiotu przetwarzającego i/lub Administratora związanych z naruszenia zasad przetwarzania danych osobowych, Podmiot przetwarzający będzie współpracować z Administratorem w celu podjęcia stosownych kroków prawnych zmierzających w szczególności do oddalenia bądź odrzucenia przez właściwy sąd roszczeń osoby trzeciej, wniesienia środka odwoławczego lub zawarcia ugody, jak również innych działań prawnych.
§ 7
Czas obowiązywania umowy
Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas nieokreślony/określony od ……..do ……../obowiązywania umowy głównej nr ……..
Każda ze Stron może wypowiedzieć niniejszą Umowę z zachowaniem terminu przewidzianego jak dla umowy głównej.
Administrator może rozwiązać niniejszą Umowę wraz z umową główną ze skutkiem natychmiastowym, w przypadku gdy Podmiot przetwarzający:
pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, o której mowa w § 4 niniejszej Umowy nie usunie ich w wyznaczonym terminie,
przetwarza dane osobowe niezgodnie z postanowieniami niniejszej Umowy,
powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
§ 8
Zasady zachowania poufności
Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, a które to dane są związane z niniejszą Umową (dalej zwane „Informacjami Poufnymi”).
Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania w tajemnicy Informacji Poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów jak i z niniejszej Umowy.
Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do obioru, przekazywania oraz przechowywania Informacji Poufnych gwarantowały ich zabezpieczenie, w tym w szczególności zabezpieczenie danych osobowych powierzonych do przetwarzania przed dostępem osób trzeci nieupoważnionych do zapoznania się z ich treścią.
§ 9
Postanowienia końcowe
Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze Stron.
W sprawach nieuregulowanych w niniejszej Umowie zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla Administratora.
– 5 –