Umowa powierzenia przetwarzania danych osobowych dotycząca umowy o wykonanie strony internetowej/platformy wymiany doświadczeń

[Załącznik nr 4]

Umowa powierzenia przetwarzania danych osobowych dotycząca umowy o wykonanie strony internetowej/platformy wymiany doświadczeń

nr ……………………

zawarta dnia …………………………… w pomiędzy:

Szkołą Główną Handlową w Warszawie, al. Xxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx, NIP: 000-000-00-00, REGON: 000001502, reprezentowaną przez:

Xxxxxxxxx Xxxxxxxxxx, Kierownik Projektu

Xxxxx Xxxxxxxxxxx, Kierownik Działu Obsługi Projektów Zwaną dalej Administratorem,

a

nazwa: ..…………………………………………………………………………….…………….

adres: ......…………………………………………………………………………………………

REGON: …………………………..........…………………………………...………………….

NIP: ..........…………………………………………………………………………….………….

Reprezentowaną przez: ……………………………………………………………………

zwanym/ą dalej Przetwarzającym, łącznie zwane Stronami.

§ 1 POSTANOWIENIA OGÓLNE

1. W związku z zawarciem przez Strony w dniu ……………………… umowy o wykonanie strony internetowej / platformy wymiany doświadczeń („platforma”), zwanej dalej umową główną, administrator powierza przetwarzanie danych osobowych Przetwarzającemu na zasadach i w celu określonych w niniejszej Umowie powierzenia przetwarzania danych osobowych, w trybie art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)(Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), zwanego dalej RODO.

2. Przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z umową główną, niniejszą Umową powierzenia przetwarzania danych osobowych, RODO oraz z innymi przepisami prawa powszechnie obowiązującego, odnoszącymi się do ochrony danych osobowych.

§ 2 ZAKRES I CEL PRZETWARZANIA DANYCH

1. Administrator powierza Przetwarzającemu przetwarzanie danych osobowych następujących

kategorii osób fizycznych: użytkownicy platformy.

2. Administrator powierza Przetwarzającemu przetwarzanie następujących rodzajów danych osobowych użytkowników platformy:

1) imię i nazwisko;

2) adres poczty elektronicznej.

3) stanowisko

4) nazwa i adres uczelni

3. Powierzone przez Administratora dane osobowe mogą być przetwarzane przez Przetwarzającego wyłącznie w celu udzielania wsparcia technicznego przez okres 24 miesięcy, zgodnie z § 1 ust. 6 lit. d umowy głównej.

4. Powierzenie przetwarzania danych osobowych obejmuje następujące czynności, które może wykonywać Przetwarzający na danych osobowych w związku z realizacją celu, o którym mowa w ust. 2 i 3: organizowanie, porządkowanie, przeglądanie.

5. Przetwarzający może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie. Rozszerzenie zakresu lub zmiana celu przetwarzania danych osobowych dopuszczalne jest jedynie poprzez zmianę Umowy, dokonaną z zachowaniem formy pisemnej.

§ 3 OBOWIĄZKI PRZETWARZAJĄCEGO

1. Przetwarzający jest zobowiązany do przetwarzania danych osobowych wyłącznie na

udokumentowane polecenie lub instrukcje Administratora.

2. Jeżeli Przetwarzający poweźmie wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji, Przetwarzający natychmiast informuje Administratora o stwierdzonej wątpliwości (w sposób udokumentowany i z uzasadnieniem), pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu.

3. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.

4. Przetwarzający oświadcza, że nie przekazuje danych osobowych, których dotyczy niniejsza Umowa powierzenia przetwarzania danych osobowych, do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy).

5. Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych

danych osobowych.

6. Przetwarzający zapewnia, że dane osobowe w jego imieniu będą przetwarzać wyłącznie osoby fizyczne, których dostęp jest niezbędny do realizacji celu, o którym mowa w § 2 Umowy.

7. Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą miały dostęp do danych oraz przeszkolenia tych osób w zakresie ich obowiązków związanych z przetwarzaniem danych osobowych.

8. Przetwarzający zobowiązuje się zapewnić, aby osoby, które upoważnia do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub były związane ustawowym obowiązkiem zachowania poufności, zarówno w trakcie zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu – lub w trakcie i po wygaśnięciu innej umowy łączącej upoważnione osoby z Podmiotem przetwarzającym.

9. Przetwarzający zobowiązuje się do prowadzenia rejestru kategorii czynności przetwarzania

danych osobowych dokonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO.

10. Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO, w tym w szczególności dotyczących: bezpieczeństwa przetwarzania danych osobowych, zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu, zawiadamiania osób fizycznych o naruszeniach ochrony danych osobowych, dokonywania oceny skutków dla ochrony danych.

§ 4 REALIZACJA PRAW PODMIOTÓW DANYCH

1. Przetwarzający jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, adekwatnie do sposobu przetwarzania, umożliwiających wsparcie Administratora, w realizacji obowiązku odpowiadania na żądania osób fizycznych w zakresie wykonywania przysługujących im praw.

2. Przetwarzający zapewni pełną współpracę i pomoc w zakresie odpowiedzi na skargi lub wykonania żądania podmiotów danych.

3. Przetwarzający niezwłocznie, jednakże w terminie nie dłuższym niż 5 dni roboczych od otrzymania żądania osoby fizycznej, przekazuje Administratorowi każde takie żądanie osoby fizycznej dotyczące jej praw wynikających z art. 15-22 RODO wraz z informacjami potrzebnymi do udzielenia odpowiedzi na żądanie, którymi dysponuje Przetwarzający.

§ 5 NARUSZENIE OCHRONY DANYCH OSOBOWYCH

1. Przetwarzający informuje Administratora bez zbędnej zwłoki, nie później niż w ciągu 24 godzin, o wszelkich zidentyfikowanych zdarzeniach mogących skutkować odpowiedzialnością Administratora lub Przetwarzającego na podstawie przepisów związanych z ochroną danych osobowych, a także o kontrolach dotyczących przetwarzania danych osobowych.

2. W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie bezpieczeństwa danych osobowych Przetwarzający zobowiązany jest niezwłocznie, nie później niż w terminie 24 godzin, poinformować Administratora o:

1) charakterze naruszenia ochrony danych osobowych, w tym określić kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych objętych naruszeniem;

2) możliwych konsekwencjach naruszenia ochrony danych osobowych;

3) podjętych czynnościach mających na celu usunięcie naruszenia i zabezpieczenie danych osobowych w sposób należyty przed dalszymi naruszeniami;

4) wdrożonych procedurach mających na celu przeciwdziałanie podobnym naruszeniom w przyszłości.

3. Informacje, o których mowa w ust. 1 i ust. 2, Przetwarzający przesyła na adres poczty

elektronicznej: xxx@xxx.xxx.xx.

4. Administrator ma prawo do kontroli, czy przetwarzanie przez Przetwarzającego powierzonych danych osobowych jest zgodne z postanowieniami niniejszej Umowy powierzenia przetwarzania danych osobowych oraz przepisami prawa dotyczącymi ochrony danych osobowych.

5. Warunkiem przeprowadzenia kontroli jest pisemne zawiadomienie Przetwarzającego w terminie nie krótszym niż 7 dni przed planowanym terminem jej przeprowadzenia. Przetwarzający udziela niezbędnej pomocy, wyjaśnień i współpracuje przy czynnościach kontrolnych wykonywanych przez Administratora lub w jego imieniu.

6. Kontrola może być przeprowadzona w dni robocze, w godzinach pracy, w sposób powodujący możliwie najmniejsze utrudnienia w normalnej działalności Przetwarzającego.

7. Z czynności kontrolnych sporządza się protokół, którego jeden egzemplarz doręcza się Przetwarzającemu.

8. Przetwarzający w terminie 7 dni od daty otrzymania może wnieść zastrzeżenia do protokołu, z zastrzeżeniem ust. 9.

9. W razie stwierdzenia naruszenia ochrony danych osobowych Przetwarzający usuwa je niezwłocznie.

10. Przetwarzający odpowiada za szkody wyrządzone wskutek niewykonania lub nienależytego wykonania obowiązków wynikających z niniejszej Umowy powierzenia przetwarzania danych osobowych oraz z obowiązujących przepisów, w tym za szkody powstałe w wyniku udostępnienia danych osobowych osobom nieupoważnionym, ich zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów, nieuprawnioną zmianą danych, uszkodzeniem lub zniszczeniem, które nastąpiły z winy Przetwarzającego.

11. Przetwarzający zwolni Administratora z odpowiedzialności wobec osób, których dane są przetwarzane w związku z Umową z tytułu jakiejkolwiek szkody poniesionej przez te osoby, a wynikającej lub związanej z naruszeniem przez Przetwarzającego przepisów dotyczących ochrony danych osobowych lub postanowień Umowy.

§ 6 DALSZE POWIERZENIE PRZETWARZANIA

1. Przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody Administratora na dalsze powierzenie konkretnemu podmiotowi i szczegółowo określającej zasady dalszego powierzania przetwarzania danych.

2. Niezależnie od obowiązku uzyskania zgody, o której mowa w ust. 1, przed rozpoczęciem korzystania z usług innego podmiotu przetwarzającego Przetwarzający przeprowadzi odpowiednią weryfikację, aby zapewnić, że inny podmiot przetwarzający jest w stanie zapewnić odpowiedni poziom ochrony danych osobowych.

3. Przetwarzający zapewnia, iż w przypadku korzystania z usług innego podmiotu przetwarzającego, na ten inny podmiot nałożone zostają, na mocy umowy zawartej między Przetwarzającym a tym podmiotem, takie same obowiązki ochrony danych jak w niniejszej Umowie.

4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się z obowiązków ochrony danych przez inny podmiot przetwarzający, z którego usług korzysta.

5. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

§ 7 ODPOWIEDZIALNOŚĆ

1. W przypadku skierowania wobec Administratora jakichkolwiek roszczeń cywilnoprawnych przez osoby trzecie, lub wszczęcia wobec Administratora jakichkolwiek postępowań przez organy publiczne - w szczególności organy nadzorcze, o których mowa w Rozdziale VI RODO - z powodu naruszenia przez Przetwarzającego obowiązków wynikających z Umowy, RODO lub innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych, Przetwarzający zwolni Administratora z ponoszenia jakiejkolwiek odpowiedzialności cywilnoprawnej i administracyjnoprawnej lub naprawi szkodę poniesioną z powyższego tytułu przez Administratora, w tym zwróci koszty wypłaconego odszkodowania oraz uzasadnione koszty pomocy prawnej, poniesione przez Administratora w związku z roszczeniem.

2. Przetwarzający jest odpowiedzialny ponadto za szkody powstałe na skutek udostępnienia lub wykorzystania danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienia powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.

3. Przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w Umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania u Przetwarzającego tych

danych osobowych, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych

Osobowych lub inny organ nadzorczy do spraw ochrony danych osobowych.

§ 8 CZAS OBOWIĄZYWANIA UMOWY

1. Niniejsza Umowa obowiązuje przez okres obowiązywania umowy głównej, o ile nie zostanie wcześniej rozwiązana zgodnie z ust. 2 lub 3.

2. Niniejsza Umowa rozwiązuje się z dniem rozwiązania umowy głównej.

3. Administrator może rozwiązać Umowę ze skutkiem natychmiastowym w przypadku istotnego

naruszenia przez Xxxxxxx przetwarzający jej postanowień.

4. W przypadku rozwiązania niniejszej Umowy lub ustania celu powierzenia przetwarzania danych osobowych, o którym mowa w § 2, a w szczególności zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, zakończenia realizacji umowy, Przetwarzający zobowiązany jest do zwrócenia danych osobowych Administratorowi, a następnie do niezwłocznego usunięcia wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że obowiązek dalszego przechowywania tych danych osobowych wynika z powszechnie obowiązujących przepisów prawa.

5. W terminie 14 dni od powstania obowiązku usunięcia danych zgodnie z ust. 4, Przetwarzający przekaże Administratorowi kopię protokołu potwierdzającego zniszczenie danych lub informację o obowiązku dalszego przechowywania danych ze wskazaniem okresu przechowywania i podstawy prawnej.

§ 9 POSTANOWIENIA KOŃCOWE

1. Umowa wchodzi w życie z dniem podpisania przez obie Strony i ma zastosowanie w odniesieniu do wszystkich danych osobowych powierzonych Przetwarzającemu do przetwarzania w zakresie i celu wskazanym w § 2 Umowy.

2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.

3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy

dla Administratora.

4. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze

stron.

Za Administratora: Za Przetwarzającego: