UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Warszawie dnia pomiędzy:
Szkołą Główna Gospodarstwa Wiejskiego w Warszawie z siedzibą przy xx. Xxxxxxxxxxxxxxxx 000, 00-000 Xxxxxxxx, NIP 000-000-00-00, REGON 000001784, zwaną dalej „Administratorem” lub „Zamawiającym” reprezentowaną przez:
Dziekana Wydziału Technologii Żywności – Dr hab. Xxxxxx Xxxxxxxxx
oraz
Zakładem pracy: …………………………………………………………………………………………….
(nazwa zakładu pracy)
dalej zwaną dalej „Procesorem” lub „Wykonawcą”, reprezentowaną przez:
………………………………………………………………………………………………………........…..
(imię i nazwisko osoby reprezentującej Zakład pracy
Administrator i Procesor są zwani dalej łącznie „Stronami”, a każdy z nich z osobna „Stroną”.
§1. PRZEDMIOT UMOWY
1. Administrator i Procesor zawierają umowę powierzenia przetwarzania danych osobowych, zwaną dalej “Umową”, na mocy której Administrator powierza Procesorowi przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), na zasadach opisanych szczegółowo w treści niniejszej umowy oraz w zakresie wskazanym w Załączniku nr 1.
2. Powierzenie danych osobowych Procesorowi następuje w celu wykonania umowy zawartej pomiędzy Stronami dnia …………………… roku (zwaną dalej „Umową główną”) w przedmiocie prowadzenia studenckiej praktyki zawodowej studenta Wydziału Technologii Żywności
………………………………………………..…………………………………………………………….
(Imię i nazwisko, nr albumu)
kierunku:………………………………………………………………………………………………........
3. Zakres powierzenia, wskazany w Załączniku nr 1, może zostać w każdym momencie rozszerzony lub ograniczony przez Administratora. Ograniczenie lub rozszerzenie może być dokonane poprzez przesłanie przez Administratora do Procesora nowej wersji Załącznika nr 1 w formie elektronicznej (na adres e-mail wskazany w Załączniku nr 1 do niniejszej Umowy). W przypadku braku akceptacji nowej treści Załącznika nr 1, o czym mowa powyżej, Procesora jest zobowiązany do poinformowania o powyższym fakcie Administratora w formie elektronicznej lub pisemne ciągu 7 dni od daty wysłania nowej treści Załącznika nr 1 przez Administratora. Niezłożenie przez Procesora oświadczenia w przedmiocie braku zgody na nową treść Załącznika nr 1będzie oznaczało, że Procesor zaakceptował zmianę powierzenia.
W przypadku zmiany treści Umowy głównej w trakcie obowiązywania niniejszej Umowy, mającej bezpośredni wpływ na ograniczenie przedmiotu niniejszej Umowy – zastosowanie maja postanowienia
§11 ust. 10 Umowy.
4. Procesor może przetwarzać powierzone mu dane osobowe wyłącznie w zakresie i celu określonym w niniejszej Umowie oraz w celu i zakresie niezbędnym do świadczenia usług określonych w Umowie głównej jak również na wyłączone polecenie Administratora.
§2. OŚWIADCZENIA I OBOWIĄZKI PROCESORA
1. Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie niniejszej Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”);
2. Procesor jest zobowiązany:
a) przetwarzać powierzone dane osobowe zgodnie z RODO i polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, niniejszą Umową oraz instrukcjami Administratora zgodnie z powszechnie obowiązującymi przepisami prawa i niniejsza Umową. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e- mail Procesora wskazany w Załączniku nr 1); z zastrzeżeniem § 3 poniżej Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania (na potrzeby Umowy „Dni Robocze” należy rozumieć dni od poniedziałku do piątku, poza dniami ustawowymi wolnymi od pracy); jeżeli w ocenie Procesora termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku nr 1) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora;
b) przetwarzać powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora (tj. przekazane w formie instrukcji, o których mowa powyżej lub w innym pisemnym lub elektronicznym dokumencie dostarczonym Procesorowi przez Administratora), chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Procesora wynika z przepisów prawa, informuje on Administratora drogą elektroniczną - przed rozpoczęciem przetwarzania - o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
c) przetwarzać powierzone mu dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Procesora i jego personel lub Administratora, z zachowaniem zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa;
d) udzielać dostępu do powierzonych danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy lub Umowy Głównej oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Procesora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne;
e) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; obowiązek zachowania tajemnicy obowiązuje również po rozwiązaniu Umowy lub Umowy Głównej.
f) wdrożyć, zgodnie z wytycznymi wskazanymi w Załączniku 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO);
g) wspierać Administratora (poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Procesora z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków przez Administratora; w związku z realizacją tego obowiązku Procesor jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Procesor powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Procesora; Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora;
h) pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO), tj. w szczególności w zakresie:
I. zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku nr 3);
II. dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Procesora w odniesieniu do zgłaszania naruszeń zostały określone w §8 Umowy);
III. dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym;
i) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o:
I. nazwie oraz danych kontaktowych Procesora oraz innych podmiotów przetwarzających (w przypadku podpowierzenia danych osobowych, o którym mowa w §4 Umowy) oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie;
II. kategoriach przetwarzań dokonywanych w imieniu Administratora;
III. gdy ma to zastosowanie - przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej;
IV. ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych.
j) udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych;
k) umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w §6 Umowy;
l) niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail wskazany w Załączniku nr 1) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxxx został naruszony;
m) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych;
n) przechowywać dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora (jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania), Procesor poinformuje Administratora przed jego podjęciem, a następnie zastosuje się do polecenia Administratora.
§3. ŚRODKI ORGANIZACYJNE I TECHNICZNE
1. Procesor wdraża i stosuje adekwatne środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiedniego do ryzyka naruszenia praw lub wolności osób fizycznych, których dane osobowe są przetwarzane na podstawie Umowy. Wykaz środków, które zobowiązany jest wdrożyć Procesor został określony w Załączniku nr 3.
2. Oceniając, czy stopień bezpieczeństwa, o którym mowa w pkt. 1 jest odpowiedni, Procesor jest zobowiązany uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
3. Procesor powinien również wdrożyć – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych określonych w RODO oraz w celu ochrony praw osób, których dane dotyczą (zasada ochrony danych osobowych w fazie projektowania określona w art. 25 ust. 1 RODO), a także odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania określonego w Załączniku nr 1 (zasada domyślnej ochrony danych określona w art. 25 ust. 2 RODO).
4. Wdrażając środki organizacyjne i techniczne, o których mowa powyżej, Procesor:
a) przestrzega wytycznych Administratora w za zakresie sposobu zabezpieczenia procesów przetwarzania danych osobowych zgodnie z przepisami obowiązującego prawa, o których mowa w §2. ust. 1. powinien uwzględnić stan wiedzy technicznej oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będzie przetwarzał na podstawie niniejszej Umowy.
b) W przypadku stwierdzenia, że stosowane środki mogą być nieadekwatne do rozpoznanych zagrożeń, Procesor informuje o tym Administratora i w porozumieniu z Administratorem dostosowuje odpowiednio zabezpieczenia przetwarzania danych osobowych.
c) Administrator ma prawo wydawać Procesorowi wiążące instrukcje dotyczące wdrożenia dodatkowych środków zabezpieczających. Procesor powinien wdrożyć takie środki w rozsądnym czasie, w terminie uzgodnionym z Administratorem.
§4. PODPOWIERZENIE
Dalsze powierzenie przez Procesora przetwarzania danych osobowych innym podmiotom przetwarzającym możliwe jest wyłącznie po uzyskaniu uprzedniej zgody Administratora wyrażonej w formie pisemnej pod rygorem nieważności. Wzór listy dalszych podmiotów przetwarzających stanowi załącznik nr 2 do niniejszej umowy.
§5. TRANSFER DANYCH OSOBOWYCH
1. Procesor nie może przekazywać (transferować) danych osobowych do państwa trzeciego, które znajduje się poza Europejskim Obszarem Gospodarczym („EOG”), chyba że Administrator udzieli mu uprzedniej, pisemnej pod rygorem nieważności, zgody zezwalającej na taki transfer.
2. Jeśli Administrator udzieli Procesorowi uprzedniej zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać transferu tych danych osobowych tylko wtedy, gdy:
a) państwo docelowe zapewnia adekwatny poziom ochrony danych osobowych do tego, który obowiązuje w Unii Europejskiej; lub
b) Administrator i Procesor lub dalszy podmiot przetwarzający zawarli umowę w oparciu o standardowe klauzule umowne lub wdrożyli inny mechanizm, który zgodnie z przepisami prawa legalizuje transfer danych do państwa trzeciego;
§6. AUDYT
1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Procesora z Umową oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Procesora.
2. Administrator poinformuje Procesora co najmniej 3 Dni Robocze przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli w ocenie Procesora audyt nie może zostać przeprowadzony we wskazanym terminie Procesor powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku nr 1) wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
3. Audyty, o których mowa w § 6 ust. 1 mogą być wykonywane przez Administratora (osoby przez niego wyznaczone) w miejscu przetwarzania danych osobowych objętych powierzeniem w Dni Robocze w godzinach od 8 do 16.
4. Procesor ma obowiązek współpracować z Administratorem i upoważnionymi przez niego audytorami, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Procesora.
5. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują upoważnieni przedstawiciele obu Stron. Procesor zobowiązuje się w rozsądnym czasie, w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
6. Administrator ma także prawo żądać od Procesora składania pisemnych wyjaśnień dotyczących realizacji Umowy. Procesor zobowiązuje się odpowiedzieć niezwłocznie, jednak nie później niż w terminie 3 Dni Roboczych, na każde pytanie Administratora dotyczące przetwarzania powierzonych mu na podstawie Umowy danych osobowych.
7. Procesor jest zobowiązany zapewnić w umowie z dalszym podmiotem przetwarzającym możliwość przeprowadzania przez Administratora audytu zgodności przetwarzania danych osobowych przez dalszy podmiot przetwarzający z Umową na zasadach określonych w powyżej.
8. Koszty związane z przeprowadzeniem audytu ponosi podmiot, który dane koszty ponosi, bez prawa do żądania zwrotu takich kosztów ani zapłaty jakiegokolwiek dodatkowego wynagrodzenia z tytułu poniesienia takich kosztów przez Administratora.
§7. POUFNOŚĆ
1. Procesor ma obowiązek ochrony informacji poufnych, niezależnie od formy ich przekazania i przetwarzania, rozumianych jako informacje takie jak:
a) powierzone przez Administratora dane osobowe, w tym szczególne kategorie danych osobowych (w rozumieniu art. 9 ust. 1 RODO);
b) informacje stanowiące tajemnicę przedsiębiorstwa Administratora (w rozumieniu ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, tj. Dz.U. Nr 153, poz. 1503, ze zm.);
c) informacje wymagające ochrony ze względu na ich znaczenie dla interesów Administratora, w tym wszelkie dane ekonomiczne, techniczne, organizacyjne finansowe i handlowe, materiały i dokumenty lub inne informacje bez względu na fakt, czy są one utrwalone w formie pisemnej lub w jakikolwiek inny sposób, zapisane w jakiejkolwiek formie i na jakimkolwiek nośniku, dotyczące Administratora lub jego klientów, kontrahentów, dostawców, a także informacje dotyczące usług, polityki cenowej, sprzedaży, wynagrodzeń pracowników, które Procesor otrzymał w okresie obowiązywania Umowy, lub o których dowiedział się, czy też do których miał dostęp lub będzie w ich posiadaniu, w związku z prowadzonymi rozmowami i negocjacjami, a które nie są powszechnie znane;
2. Procesor w szczególności zapewnia, że:
a) wszelkie przekazane, udostępnione lub ujawnione mu przez Administratora informacje poufne będą chronione i zachowane w tajemnicy, w sposób zgodny z obowiązującymi przepisami prawa oraz postanowieniami Umowy;
b) uzyskane informacje poufne zostaną użyte i wykorzystane wyłącznie w celu, w jakim zostały przekazane, udostępnione lub ujawnione;
c) posiadane informacje poufne nie zostaną przekazane lub ujawnione żadnej osobie trzeciej - bezpośrednio ani pośrednio (z zastrzeżeniem wyjątków przewidzianych w Umowie) - bez uprzedniej zgody Administratora, wyrażonej w formie pisemnej;
d) będzie chronić na swój koszt informacje poufne poprzez dołożenie najwyższego poziomu staranności.
3. Procesor zobowiązuje się nie kopiować, ani w inny sposób nie powielać dostarczonych przez Administratora informacji poufnych lub ich części, z wyjątkiem przypadków, kiedy jest to konieczne w celu, dla jakiego zostały przekazane lub w innym celu ściśle związanym z przedmiotem współdziałania Stron. Wszelkie wykonane w takim przypadku kopie lub reprodukcje informacji poufnych, utrwalonych na jakichkolwiek nośnikach informacji, łącznie nośnikami elektronicznymi, pozostają własnością Administratora i zostaną wydane, zniszczone lub skutecznie usunięte z nośników informacji na jego żądanie, nie później niż w terminie 3 Dni Roboczych od zgłoszenia Procesorowi takiego żądania.
4. Informacje poufne mogą zostać przekazane tylko upoważnionym pracownikom Procesora, osobom zatrudnionym przez Procesora na podstawie umów cywilnoprawnych, podwykonawcom Procesora, którzy z uwagi na zakres swych obowiązków, bądź zadania im powierzone będą zaangażowani w wykonanie Umowy na rzecz Administratora, i którzy zostaną wcześniej wyraźnie poinformowani o charakterze informacji poufnych oraz o zobowiązaniach Procesora do zachowania ich w tajemnicy wynikających z
Umowy oraz zobowiążą się do przestrzegania zasad ochrony informacji poufnych, w tym procedur bezpieczeństwa wynikających z obowiązujących przepisów prawa i Umowy głównej. Administrator upoważnia Procesora do udzielania dalszych upoważnień do przetwarzania informacji poufnych. Procesor ponosi całkowitą odpowiedzialność za działania i zaniechania ww. osób.
5. Procesor będzie zwolniony z obowiązku zachowania w tajemnicy informacji poufnych w przypadku, gdy obowiązek ujawnienia informacji poufnych wynikać będzie z bezwzględnie obowiązujących przepisów prawa, bądź też orzeczenia lub decyzji uprawnionego sądu lub organu. O każdorazowym powzięciu informacji o takim obowiązku Procesor jest zobowiązany niezwłocznie, nie później niż w terminie 24 godzin od dowiedzenia się o nim, powiadomić Administratora. W takim przypadku Procesor obowiązany jest do:
a) ujawnienia tylko takiej części informacji poufnych, jaka jest wymagana przez prawo;
b) podjęcia wszelkich możliwych działań w celu zapewnienia, iż ujawnione informacje poufne będą traktowane w sposób poufny i wykorzystywane tylko w zakresie uzasadnionym celem ujawnienia.
6. Dostęp Procesora do informacji, o których mowa w pkt. poprzedzającym, nastąpi wyłącznie w celu umożliwienia przetwarzającemu prawidłowego wykonania zobowiązań wynikających z Umowy oraz Umowy głównej oraz w zakresie niezbędnym do ich wykonania.
7. Z zastrzeżeniem pkt poprzedzającego, zobowiązanie do zachowania poufności nie wygasa po zakończeniu Umowy i jest nieograniczone w czasie.
8. W razie naruszenia przez Xxxxxxxxx któregokolwiek z zobowiązań wynikających z Umowy dotyczących obowiązku zachowania poufności, Procesor będzie zobowiązany do zapłaty Administratorowi kary umownej w wysokości 5 000,00 zł za każdy taki przypadek naruszenia. Administrator zastrzega sobie prawo dochodzenia odszkodowania uzupełniającego, do pełnej wysokości szkody, na zasadach ogólnych.
§8. ZGŁASZANIE NARUSZEŃ
1. Procesor jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażaniu właściwych środków naprawczych.
2. Po stwierdzeniu naruszenia ochrony powierzonych mu przez Administratora danych osobowych Procesor, bez zbędnej zwłoki, jednak nie później niż w ciągu 24 godzin od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno zawierać co najmniej informacje o:
a) dacie, czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych;
b) charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób, których dane dotyczą, oraz kategoriach i przybliżonej liczbie wpisów danych osobowych, których dotyczy naruszenie;
c) systemie informatycznym, w którym wystąpiło naruszenie (jeżeli naruszenie nastąpiło w związku z przetwarzaniem danych w systemie informatycznym);
d) przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
e) charakterze i zakresie danych osobowych objętych naruszeniem;
f) kategoriach osób, których dotyczą dane osobowe objęte naruszeniem, a w razie możliwości także wskazania podmiotów danych, których dotyczyło naruszenie;
g) możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób, których dane dotyczą;
h) środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz proponowanych działaniach zapobiegawczych i naprawczych;
i) danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
3. Jeżeli Procesor nie jest w stanie w tym samym czasie przekazać Administratorowi wszystkich informacji, o których mowa powyżej, powinien je udzielać sukcesywnie, bez zbędnej zwłoki.
4. Procesor bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
5. Procesor jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych. Procesor jest zobowiązany na każde żądanie Administratora niezwłocznie udostępnić mu dokumentację, o której mowa w zdaniu poprzednim.
6. Procesor zobowiązuje się dokonać zgłoszenia naruszenia ochrony powierzonych mu przez Administratora danych osobowych według zasad określonych w niniejszym paragrafie w formie elektronicznej na adres e- mail Inspektora Ochrony Danych Administratora: xxx@xxxx.xx
§9. CZAS TRWANIA UMOWY ORAZ ZASADY ODPOWIEDZIALNOŚCI
1. Niniejsza Xxxxx zostaje zawarta na czas określony i przestaje obowiązywać wraz z zakończeniem obowiązywania Umowy głównej.
2. Administrator może rozwiązać Umowę z zachowaniem 1-miesięcznego okresu wypowiedzenia.
3. Administrator uprawniony jest do wypowiedzenia Umowy ze skutkiem natychmiastowym w przypadku zaistnienia ważnych powodów, w tym także w razie naruszenia przez Procesora lub dalszy podmiot przetwarzający przepisów RODO, innych obowiązujących przepisów prawa lub niniejszej Umowy, a w szczególności, gdy:
a) organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że Procesor lub dalszy podmiot przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
b) prawomocne orzeczenie sądu powszechnego wykaże, że Procesor nie przestrzega zasad przetwarzania danych osobowych;
c) Administrator, w wyniku przeprowadzenia audytu, o którym mowa w §6 Umowy stwierdzi, że Procesor nie przestrzega zasad przetwarzania danych osobowych wynikających z Umowy lub obowiązujących przepisów prawa lub Procesor nie zastosuje się do zaleceń pokontrolnych, o których mowa w §6 ust. 5;
4. Naruszenie przez Procesora postanowień niniejszej Umowy, RODO lub innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych stanowi podstawę do wypowiedzenia Umowy głównej.
5. W dniu zakończenia obowiązywania Umowy Procesor powinien zgodnie z dyspozycją Administratora zwrócić lub zniszczyć, w sposób odrębnie ustalony z Administratorem, wszelkie dane osobowe i ich kopie, chyba że właściwe przepisy prawa krajowego lub unijnego nakazują przechowywanie tych danych osobowych.
6. Na prośbę Administratora Procesor przesyła pisemne potwierdzenie zniszczenia danych osobowych w terminie przez niego wskazanym.
7. W przypadku ograniczenia zakresu powierzenia przetwarzania przez Administratora, w trybie określonym w Umowie, postanowienia o rozwiązaniu Umowy stosuje się odpowiednio do danych, które wskutek ograniczenia zakresu nie mogą już być przetwarzane przez Procesora.
8. W przypadku dokonania zmian treści Umowy głównej w trakcie obowiązywania niniejszej Umowy, która to zmiana ma bezpośredni wpływ na ograniczenie przedmiotu niniejszej Umowy, postanowienia o rozwiązaniu niniejszej Umowy stosuje się odpowiednio do tych danych, które wskutek ograniczenia przedmiotu niniejszej Umowy nie mogą już być przetwarzane przez Procesora. W przypadku zmiany, która powoduje konieczność rozszerzenia zakresu powierzenia przetwarzania danych, postanawia §1 ust. 3 powyżej stosuje się odpowiednio.
9. W przypadku dalszego powierzenia przetwarzania danych osobowych Procesor zobowiązuje się do zawarcia w umowach z dalszymi podmiotami przetwarzającymi postanowień, zgodnie z którymi umowy dalszego przetwarzania danych będą ulegały automatycznemu rozwiązaniu w razie zakończenia obowiązywania niniejszej Umowy. Procesor ponosi pełną odpowiedzialność za działania i zaniechania dalszego podmiotu przetwarzającego.
10. Procesor odpowiada za szkody, jakie powstaną u Administratora, osób, których dane dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzania przez Procesora lub dalszy podmiot przetwarzający danych osobowych objętych powierzeniem na podstawie Umowy, a w szczególności w związku z udostępnianiem danych osobowych osobom nieupoważnionym.
11. W przypadku naruszenia obowiązujących przepisów prawa lub niniejszej Umowy z przyczyn leżących po stronie Procesora, w następstwie, czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą finansową, Procesor zobowiązuje się pokryć Administratorowi poniesione z tego tytułu koszty.
12. W przypadku niewykonania lub nienależytego wykonania przez Procesora zobowiązań wynikających z niniejszej Umowy, Procesor zobowiązuje się do zapłaty kary umownej w wysokości 5 000,00 zł (słownie: pięć tysięcy złotych) za każdy taki przypadek. Przez nienależyte wykonanie Umowy należy w szczególności rozumieć sytuację, gdy organ nadzoru nad przestrzeganiem zasad przetwarzania danych osobowych stwierdzi, że przetwarzanie danych osobowych w zakresie realizowanym przez Procesora nie jest zgodne z tymi zasadami. Administrator zastrzega sobie prawo do dochodzenia odszkodowania przewyższającego wysokość przysługującej Procesorowi kary umownej, o której mowa powyżej, na zasadach ogólnych.
13. Procesor zobowiązuje się do zapłaty kar umownych wynikających z Umowy (§ 7 ust. 8 oraz § 9 ust. 12) w terminie 7 dni od dnia daty otrzymania wezwania do zapłaty/noty obciążeniowej wystawionej przez Administratora, wystawionych po zaistnieniu podstaw do ich naliczenia.
§10. ADRESY STRON I DANE OSÓB
1. Wszelka korespondencja w sprawach związanych z Umową będzie kierowana na adresy Stron wskazane w Załączniku nr 1.
2. Procesor w kontaktach z Administratorem oraz Administratora w kontaktach z Procesorem w zakresie ustaleń Umowy reprezentować będą osoby wskazane w Załączniku nr 1. Zmiana adresów i danych tych
osób nie stanowi zmiany Umowy. O każdej zmianie powyższych danych Strony powiadomią się na piśmie, za potwierdzeniem odbioru lub drogą elektroniczną.
§11. POSTANOWIENIA KOŃCOWE
1. Niniejsza Umowa podlega prawu polskiemu. Umowa została sporządzona w dwóch egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.
2. W sprawach, które nie zostały uregulowane Umową, znajdują zastosowanie odpowiednie przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów prawa z zakresu ochrony danych osobowych.
3. Zmiany Umowy są możliwe wyłącznie w formie pisemnej pod rygorem nieważności, z zastrzeżeniem sytuacji, w których Umowa wprost przewiduje inną formę dokonywania zmian.
4. Procesor nie może przenieść praw lub obowiązków wynikających z niniejszej Umowy bez uprzedniej zgody Administratora wyrażonej w formie pisemnej pod rygorem nieważności.
5. O ile Umowa główna nie stanowi inaczej, wszelkie spory w związku z niniejszą Umową zostaną poddane pod rozstrzygnięcie sądu powszechnego miejscowo właściwego ze względu na siedzibę Administratora.
6. Niniejsza Umowa zastępuje wszelkie wcześniejsze ustalenia pomiędzy Stronami w zakresie nie objętym.
Administrator – Osoba reprezentująca uczelnię Procesor – Osoba reprezentująca Zakład pracy
/Dziekan - Xx xxx. Xxxxx Xxxxxxxx/
ZAŁĄCZNIK NR 1
ZAKRES POWIERZENIA DANYCH OSOBOWYCH ORAZ DANE KONTAKTOWE STRON
1. Charakter oraz cele przetwarzania: w celu realizacji studenckich praktyk zawodowych w Zakładzie pracy (wymiar 160 godzin w systemie 8 godzin dziennie) na podstawie umowy głównej.
2. Kategorie osób, których dane dotyczą:
Studenci odbywający praktyki w Zakładzie pracy.
3. Rodzaj danych osobowych:
w przypadku studentów SGGW: imię i nazwisko, nr albumu, kierunek studiów, uczelnia
4. Obszar, na którym przetwarzane będą dane osobowe: miejsce realizacji studenckiej praktyki zawodowej (terytorium RP).
5. Na danych tych będą wykonywane następujące operacje: archiwizacja na potrzeby realizacji celów dydaktycznych (1 rok) w szczególności wglądy, przechowywanie, inne właściwe do należytego wykonania umowy.
6. Jakiekolwiek powiadomienia lub notyfikacje dokonywane na podstawie niniejszej Umowy mogą być doręczane osobiście, za pomocą kuriera, listu poleconego za potwierdzeniem odbioru, drogą elektroniczną na adres email (chyba, że co innego wynika z treści Umowy i została zastrzeżona szczególna forma lub sposób komunikacji) - na adresy wskazane w treści Umowy głównej – zmiana Umowy głównej w tym zakresie wywołuje skutki dla niniejszej Umowy.
7. Dane przedstawicieli Stron:
a) Procesora w kontaktach z Administratorem w zakresie wykonywania Umowy reprezentować będzie: osoba upoważniona do kontaktów wskazana przez Procesora zgodnie z treścią § 3 ust. 4 Umowy głównej;
b) Administratora w kontaktach z Procesorem w zakresie wykonywania Umowy reprezentować będzie: osoba upoważniona do kontaktów wskazana przez Administratora zgodnie z treścią § 3 ust. 4 Umowy głównej;
ZAŁĄCZNIK NR 2
WYKAZ DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH
(nie dotyczy w przypadku braku podpowierzenia zgodnie z §4 Umowy)
1. …
2. …
3. …
ZAŁĄCZNIK NR 3
WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH, KTÓRE ZOBOWIĄZANY JEST WDROŻYĆ PROCESOR
W celu zapewnienia odpowiedniego stopnia zabezpieczenia powierzonych danych Procesor jest zobowiązany wdrożyć następujące środki techniczne i organizacyjne: