Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w w dniu pomiędzy:
Ministrem Przedsiębiorczości i Technologii z siedzibą w Warszawie, Xxxx Xxxxxx Xxxxxx 0/0, 00-000 Xxxxxxxx działającym w imieniu i na rzecz Administratora, tj. Ministra Inwestycji i Rozwoju , reprezentowanym przez … działającym na podstawie upoważnienia nr… ., którego kopia stanowi Załącznik nr 1 do niniejszej Umowy,
a ….
…, reprezentowanym przez … , zgodnie z …, stanowiącym Załącznik nr 2 do umowy, zwanym dalej „Podmiotem przetwarzającym”, zaś wspólnie zwanymi dalej „Stronami”.
w związku z zawarciem umowy z dnia … o powierzenie grantu … Strony postanawiają, co następuje:
Użyte w Umowie określenia oznaczają:
§ 1.
Definicje
1) dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
2) naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;
3) organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych;
4) pracownik - osobę świadczącą pracę na podstawie stosunku pracy;
5) przetwarzanie danych osobowych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
6) rozporządzenie - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str.1);
7) ustawa – ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
§ 2.
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 rozporządzenia, dane osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z umową, rozporządzeniem, ustawą oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, że podjął środki zabezpieczające, wymagane na mocy art. 32 rozporządzenia.
§ 3.
Zakres, cel i czas trwania przetwarzania danych osobowych
1. Zakres danych osobowych powierzonych Podmiotowi przetwarzającemu do przetwarzania obejmuje imiona i nazwiska, adresy, numery telefonów oraz adresy poczty elektronicznej ekspertów, trenerów, nauczycieli i dyrektorów szkół i pracowników instytucji uczestniczących w realizacji Projektu pilotażowego Szkoła dla Innowatora.
2. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji projektu pilotażowego Szkoła dla Innowatora, zgodnie z umową powierzenia grantu.
3. Powierzone przez Administratora dane osobowe będą przetwarzane do dnia 31 grudnia 2023 r. 31 sierpnia.
§ 4.
Obowiązki Podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Do przetwarzania powierzonych danych osobowych mogą być dopuszczeni jedynie pracownicy Podmiotu przetwarzającego, posiadający imienne upoważnienia do przetwarzania danych osobowych.
4. Podmiot przetwarzający wyda upoważnienia osobom, które będą przetwarzały powierzone dane osobowe.
5. Podmiot przetwarzający przekaże Administratorowi listę osób, które upoważnił do przetwarzania powierzonych danych osobowych.
6. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b rozporządzenia, powierzone do przetwarzania dane przez osoby, które upoważni do przetwarzania powierzonych danych osobowych, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
7. Podmiot przetwarzający po zakończeniu realizacji umowy zwraca Administratorowi wszelkie powierzone dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że przepisy prawa unijnego lub prawa krajowego nakazują przechowywanie danych osobowych przez dłuższy okres.
8. Podmiot przetwarzający niezwłocznie przekazuje Administratorowi oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone niniejszą umową.
9. Podmiot przetwarzający pomaga Administratorowi, w niezbędnym zakresie, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw, o których mowa w rozdziale III rozporządzenia, oraz wywiązywania się z obowiązków określonych w art. 32-36 rozporządzenia.
10. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania danych osobowych.
§ 5.
Naruszenia ochrony danych osobowych
1. Podmiot przetwarzający niezwłocznie poinformuje Administratora o wszelkich przypadkach naruszenia ochrony danych osobowych, a także obowiązków Podmiotu przetwarzającego dotyczących ochrony powierzonych do przetwarzania danych osobowych.
2. Podmiot przetwarzający, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Administratorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 rozporządzenia, zawierać informacje umożliwiające Administratorowi określenie, czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
3. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Administratora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, za które odpowiedzialność ponosi Podmiot przetwarzający, na wniosek i zgodnie z zaleceniami Administratora, Podmiot przetwarzający zawiadomi, bez zbędnej zwłoki, osoby, których to naruszenie ochrony danych osobowych dotyczy.
§ 6.
Prawo kontroli
1. Administrator lub podmiot przez niego upoważniony ma prawo do przeprowadzenia kontroli lub audytu, w celu sprawdzenia spełniania obowiązków określonych w art. 28 rozporządzenia.
2. Podmiot przetwarzający udostępnia Administratorowi lub podmiotowi przez niego upoważnionemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia.
3. Administrator lub podmiot przez niego upoważniony realizować będzie kontrole lub audyty w miejscach, gdzie są przetwarzane powierzone dane osobowe, w godzinach pracy Podmiotu przetwarzającego.
4. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi przetwarzającemu co najmniej 7 dni kalendarzowych przed rozpoczęciem czynności.
5. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Podmiot przetwarzający zobowiązań wynikających z rozporządzenia lub umowy, Podmiot przetwarzający umożliwi Administratorowi lub podmiotowi przez niego upoważnionemu, dokonanie niezapowiedzianej kontroli.
6. Administrator lub podmiot przez niego upoważniony, mają w szczególności prawo:
1) dostępu do systemów informatycznych, w których przetwarzane są powierzone do przetwarzania dane osobowe, przeprowadzenia niezbędnych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z rozporządzeniem oraz umową;
2) żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych lub pracowników Podmiotu przetwarzającego w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii.
7. Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie dłuższym niż 7 dni.
§ 7.
Dalsze powierzenie danych osobowych do przetwarzania
1. Podmiot przetwarzający może powierzyć powierzone dane osobowe do dalszego przetwarzania innym podmiotom jedynie w celu wykonania umowy, pod warunkiem, że wskazany podmiot daje gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 28 ust. 1 rozporządzenia.
2. Podmiot przetwarzający informuje Administratora o zamiarach powierzenia przetwarzania powierzonych danych osobowych, o którym mowa w ust. 1, oraz o wszelkich planowanych zmianach w tym zakresie.
3. Administrator ma prawo wyrażenia, bez zbędnej zwłoki, sprzeciwu wobec zgłaszanych przez Podmiot przetwarzający zamiarów, o których mowa w ust. 2.
4. Podmiot przetwarzający zobowiązuje się zawrzeć z innymi podmiotami, o których mowa w ust. 1, pisemną umowę zgodną z celami i warunkami opisanymi w niniejszej umowie.
5. Podmiot przetwarzający przekaże Administratorowi kopię umowy, o której mowa w ust. 4, w terminie 7 dni od dnia jej zawarcia.
6. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem
przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
7. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na innych podmiotach, o których mowa w ust. 1, obowiązków ochrony danych osobowych.
§ 8.
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową, a w szczególności za udostępnienie powierzonych danych osobowych osobom nieupoważnionym.
2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzorczy.
§ 9.
Rozwiązanie umowy
Administrator może rozwiązać umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
1) nie wdrożył środków wymaganych na mocy art. 32 rozporządzenia;
2) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli lub audytu nie usunie ich w wyznaczonym terminie;
3) przetwarza dane osobowe w sposób niezgodny z umową;
4) powierzył przetwarzanie danych osobowych innemu podmiotowi przetwarzającemu bez uzyskania zgody Administratora.
§ 10.
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich danych osobowych otrzymanych od Administratora lub od współpracujących z nim osób.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy powierzonych danych osobowych nie będą one wykorzystywane, ujawniane ani udostępniane w innym celu niż wykonanie umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub umowy.
§ 11.
Roszczenia regresowe
Administrator, który wypłacił pełne odszkodowanie za szkodę, którą osoba trzecia poniosła wskutek przetwarzania powierzonych danych osobowych w sposób naruszający rozporządzenie lub ustawę, w szczególności w przypadku nałożenia przez organ nadzorczy kary administracyjnej na podmiot przetwarzający, może żądać zwrotu wypłaconego
odszkodowania, spełnionego świadczenia, kary grzywny lub administracyjnej kary pieniężnej w rozumieniu rozporządzenia i ustawy, od podmiotów przetwarzających uczestniczących w tym samym przetwarzaniu.
§ 12.
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2017 r. poz. 459, z późn. zm.), rozporządzenia lub ustawy.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Administratora.
Załączniki:
1. Załącznik nr 1
2. Załącznik nr 2