Umowa powierzenia przetwarzania danych osobowych



Umowa powierzenia przetwarzania danych osobowych


zawarta dnia ................................... w Warszawie pomiędzy:

Instytutem Badań Edukacyjnych z siedzibą w Warszawie przy xx. Xxxxxxxxxxxx 0, 00-000 Xxxxxxxx, wpisanym do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla x.xx. Warszawy, XIII Wydział Gospodarczy KRS, pod numerem 0000113990, posługującym się numerami NIP 000-000-00-00 oraz REGON 000178235

reprezentowanym przez:

...........................................-..................................................

zwany dalej „Administratorem” lub “IBE”

a

..............................................................

..............................................................

zwany dalej „Przetwarzającym”

zwani łącznie w dalszej części umowy „Stronami”

Mając na uwadze, że Strony zawarły Umowę (zwaną dalej: „Umową Główną”), której realizacja wymaga przetwarzania przez Przetwarzającego danych osobowych powierzonych przez Administratora, Strony zawierają niniejszą umowę powierzenia przetwarzania danych (zwaną dalej: „Umową” lub „Umową powierzenia”) o następującej treści:


§ 1

Przedmiot, charakter, cel i zakres przetwarzania danych osobowych

  1. Administrator powierza i poleca Przetwarzającemu, w trybie art. 28 RODO, przetwarzanie danych osobowych na zasadach, w zakresie i w celu wskazanym w niniejszej Umowie oraz Umowie Głownej, a Przetwarzający zobowiązuje się do przetwarzania powierzonych mu danych osobowych zgodnie z RODO i innymi przepisami prawa powszechnie obowiązującego, które chronią prawa lub wolności osób, których dane dotyczą oraz zgodnie z Umową.

  2. Powierzone dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie poprzez wględ do danych, w związku z realizacją przedmiotu Umowy Głównej.

  3. Zakres danych osobowych powierzonych do przetwarzania obejmuje dane zwykłe zgromadzone w narzędziu informatycznym (narzędzie obsługujące opisy syntetycznych charakterystyk kwalifikacji pełnych właściwych dla szkolnictwa wyższego), tj.: dane użytkowników narzędzia w zakresie: imię, nazwisko, adres e-mail.

§2

Sposób wykonania umowy w zakresie przetwarzania danych osobowych

  1. Przetwarzający nie ustala celów i sposobów przetwarzania powierzonych danych osobowych.

  2. Przetwarzanie danych odbywa się zgodnie z instrukcjami Administratora. Jeżeli zdaniem Przetwarzającego instrukcja taka stanowi naruszenie RODO lub jakichkolwiek innych przepisów mających wpływ na ochronę danych, informuje o tym natychmiast Administratora danych.

  3. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, w szczególności te, o których mowa w art. 32 RODO.

  4. Przetwarzający oświadcza i gwarantuje, iż dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie niniejszej Umowy, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

  5. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby upoważnione przez Przetwarzającego, posiadające imienne upoważnienie do przetwarzania danych osobowych, które zostały zobowiązane przez Przetwarzającego do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną z Przetwarzającym. Przetwarzający zapewnia ponadto, że osoby o których mowa w niniejszym ustępie, będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej.

  6. Przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Administratora, za szkody powstałe w związku z nieprzestrzeganiem RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z Umową.

  7. Za naruszenie przez pracowników, zleceniobiorców, współpracowników lub podwykonawców warunków Umowy Przetwarzający odpowiada jak za działania własne.

  8. Przetwarzający zobowiązuje się:

  1. prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO;

  2. prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych;

  3. pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO;

  4. udzielić Administratorowi, na każde żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w Umowie, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby przez niego upoważnione do przetwarzania danych osobowych, obowiązków dotyczących ochrony danych osobowych;

  5. niezwłocznie poinformować Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych, w szczególności prowadzonych przez organ nadzorczy.

§ 3

Zgłoszenie naruszenia ochrony danych osobowych

  1. W przypadku stwierdzenia jakiegokolwiek naruszenia ochrony danych osobowych Przetwarzający lub podwykonawca Przetwarzającego zgłasza je Administratorowi bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Administratorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Przetwarzający może je udzielać sukcesywnie bez zbędnej zwłoki.

  2. Przetwarzający zobowiązuje się do przeprowadzenia analizy skutków naruszenia praw i wolności podmiotów danych i przekazania wyników tej analizy do Administratora, w terminie 36 godzin od wykrycia zdarzenia.

§ 4

Prawo kontroli

  1. Zgodnie z art. 28 ust. 3 lit. h) RODO Administrator danych ma prawo kontroli, mającej na celu weryfikację, czy Przetwarzający spełnia obowiązki wynikające z niniejszej Umowy.

  2. Przetwarzający umożliwi Administratorowi lub podmiotom przez Administratora upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli zgodności przetwarzania powierzonych danych osobowych z RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z Umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.

  3. Kontrolerzy Administratora lub podmiotów przez Administratora upoważnionych, mają w szczególności prawo:

  1. wstępu, w godzinach pracy Przetwarzającego do pomieszczeń, w których znajdują się zasoby uczestniczące w operacjach przetwarzania powierzonych danych;

  2. żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Przetwarzającego oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego;

  3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;

  4. przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.

  1. Przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli.

  2. Powyżej określone zasady kontroli Przetwarzającego mają zastosowanie do przeprowadzanych przez Administratora kontroli podwykonawców Przetwarzającego.


§ 5

Transfer i dalsze powierzenie przetwarzania danych

  1. Administrator wyraża zgodę na powierzenie danych osobowych objętych niniejszą Umową do dalszego przetwarzania przez podwykonawców Przetwarzającego, w celu wykonania niniejszej Umowy, przy czym podwykonawcy Przetwarzającego powinni spełniać te same gwarancje i obowiązki, jakie zostały nałożone na Przetwarzającego niniejszą Umową. Lista takich podmiotów (podprocesorów) stanowi załącznik nr 2 do Umowy.

  2. W przypadku zmiany lub dodania innych podwykonawców biorących udział w przetwarzaniu danych powierzonych przez Administratora Przetwarzający informuje o zamierzonych zmianach, dając Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian w terminie 7 dni roboczych od przekazania informacji o zamierzonych zmianach.

  3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na udokumentowane polecenie Administratora, chyba że taki obowiązek nakłada na Przetwarzającego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

  4. Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków spoczywających na podwykonawcy, wynikających z niniejszej Umowy.


§ 6

Czas trwania umowy

  1. Niniejsza Umowa obowiązuje w okresie obowiązywania Umowy głownej.

  2. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Przetwarzający:

  1. pomimo zobowiązania do usunięcia uchybień podczas kontroli nie zaprzestaje niewłaściwego przetwarzania powierzonych danych osobowych w wyznaczonym terminie;

  2. przetwarza dane osobowe w sposób niezgodny z Umową lub przepisami prawa;

  3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.

  1. Przetwarzający po zakończeniu realizacji Umowy niezwłocznie usuwa wszelkie dane osobowe oraz ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego lub Umowa Główna nakazują przechowywanie danych osobowych.

§ 7

Postanowienia końcowe

  1. Umowę podpisano w dwóch jednobrzmiących egzemplarzach.

  2. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy Administratora.






……………………………… ……………………………….

Administrator Przetwarzający



Załączniki:

Załącznik nr 1 - Wykaz podwykonawców Przetwarzającego (podprocesorów)

Załącznik nr 1 – Wykaz podwykonawców Przetwarzającego (podprocesorów)



LISTA PODPROCESORÓW PRZETWARZAJĄCYCH DANE OSOBOWE



Lp.

Nazwa podmiotu, adres, nip, dane kontaktowe

Zakres powierzonych danych

Cel przetwarzania/Usługa

1




2.







Instytut Badań Edukacyjnych instytut badawczy
xx. Xxxxxxxxxx 0, 00-000 Xxxxxxxx | tel.: x00 00 000 00 00 | xxxxxxxxxxx@xxx.xxx.xx | xxx.xxx.xxx.xx
NIP 000-000-00-00 | Regon 000178235 | KRS 0000113990 Sąd Rejonowy dla x.xx. Warszawy w Warszawie

Strona 2 z 4


Document Metadata

Filed: August 22nd, 2022