Umowa powierzenia przetwarzania danych osobowych, zwana dalej „Umową” zawarta w Białymstoku w dniu ………………


Umowa powierzenia przetwarzania danych osobowych,

zwana dalej „Umową”

zawarta w Białymstoku w dniu ………………

pomiędzy:

Uniwersytetem Medycznym w Białymstoku, ul. Xxxxxxxxxxx 0, 00–000 Xxxxxxxxx, zwanym
w dalszej części umowy „Administratorem danych” reprezentowanym przez

Xxxx Xxxxxxx Xxxxxxxxxxxxx – Xxxxxxxxx

a

…………………….,

…………………………

reprezentowanym(-ą) przez: ………………………………….,

zwanym(-ą) w dalszej części umowy „Podmiotem przetwarzającym”.


§1

Przedmiot, zakres i cel przetwarzania danych


  1. Przedmiotem umowy jest powierzenie przez Uniwersytet Medyczny w Białymstoku danych osobowych do przetwarzania Podmiotowi przetwarzającemu, w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „Rozporządzeniem”) na zasadach i w celu określonym w niniejszej umowie.

  2. Podmiot przetwarzający będzie przetwarzał powierzone na podstawie umowy dane studentów, doktorantów i pracowników Uniwersytetu Medycznego w Białymstoku wyłącznie w celu realizacji umowy z dnia ………………….., której przedmiotem jest przygotowanie i przeprowadzenie III Międzynarodowej Nocy Karaoke UMB (3rd MUB’s International Karaoke Night) w ramach projektu pt. „Wrota UMB są zawsze otwarte. Wsparcie rozwoju Welcome Centre i potencjału uczelni do obsługi zagranicznych studentów i naukowców”, dane zwykłe w zakresie niezbędnym do realizacji umowy zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

  3. Zakres powierzonych danych może objąć następujące kategorie: imię, nazwisko, rodzaj uczestnika (student, doktorant, pracownik, absolwent), e-mail, numer telefonu.

  4. W przypadku konieczności rozszerzenia zakresu powierzonych danych osobowych, strony zobowiązują się podpisać aneks do umowy powierzenia przetwarzania danych osobowych.

  5. Na powierzonych danych osobowych mogą być wykonywane następujące czynności przetwarzania: zebranie danych, przechowywanie i pobieranie danych, utrzymywanie na serwerze, zarządzanie i przetwarzanie za pomocą narzędzi informatycznych, przekazywanie formularzy lub innych dokumentów z danymi do Administratora, w czasie realizacji usługi.

§2

Obowiązki podmiotu przetwarzającego


  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.

  2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

  3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane
    w celu realizacji niniejszej umowy.

  4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy
    przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.

  5. Podmiot przetwarzający oświadcza, że w związku z zobowiązaniem do zachowania
    w tajemnicy danych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa.

  6. Podmiot przetwarzający zobowiązuje się stosować ochronę powierzonych danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem (zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych) za pomocą odpowiednich środków technicznych lub organizacyjnych.

  7. Podmiot przetwarzający zobowiązuje się do pomocy Administratorowi danych
    w niezbędnym zakresie w wywiązywaniu się z obowiązków odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.


§3

Zgłaszanie naruszeń


  1. Podmiot przetwarzający zobowiązuje się po stwierdzeniu naruszenia ochrony danych osobowych do zgłoszenia tego Administratorowi danych bez zbędnej zwłoki, nie później niż w ciągu 24 godzin.

  2. Informacja przekazana Administratorowi danych powinna zawierać co najmniej:

  1. opis charakteru naruszenia oraz - o ile to możliwe - wskazanie kategorii
    i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy,

  2. opis możliwych konsekwencji naruszenia,

  3. opis zastosowanych lub proponowanych do zastosowania przez Podmiot przetwarzający środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków.

§4

Prawo kontroli


  1. Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu
    i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.

  2. Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum 7-dniowym jego uprzedzeniem.

  3. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów.

  4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni.


§5

Dalsze powierzenie danych do przetwarzania


  1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.

  2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

  3. Podwykonawca, o którym mowa w §5 ust.1 umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej umowie.

  4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.


§ 6

Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

  2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych powierzonych przez Administratora danych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych,
    o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych.


§7

Czas obowiązywania umowy

Rozwiązanie umowy


  1. Umowa zawarta jest na czas określony, tj. do dnia 30 kwietnia 2023 r.

  2. Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem miesięcznego okresu wypowiedzenia.

  3. Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Podmiot przetwarzający:

  1. pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;

  2. przetwarza dane osobowe w sposób niezgodny z umową;

  3. powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych.

  1. Podmiot przetwarzający uprawniony jest do przetwarzania powierzonych danych do dnia wygaśnięcia lub rozwiązania umowy.

  2. W terminie 14 dni od ustania umowy, Podmiot przetwarzający zobowiązany jest do usunięcia powierzonych danych, ze wszystkich nośników, programów, aplikacji w tym również kopii, chyba że obowiązek ich dalszego przetwarzania wynika z odrębnych przepisów prawa.


§8

Postanowienia końcowe

  1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

  2. W sprawach nieuregulowanych zastosowanie będą miały przepisy prawa powszechnie obowiązującego, w tym Rozporządzenia.

  3. Wszelkie zmiany umowy wymagają formy pisemnej pod rygorem nieważności.



_______________________ ____________________

Administrator danych Podmiot przetwarzający






Projekt finansowany przez Narodową Agencję Wymiany Akademickiej

w ramach Programu Welcome to Poland (2020).

Document Metadata

Filed: November 14th, 2022