Wzór umowy powierzenia
Wzór umowy przetwarzania danych osobowych w imieniu administratora
zawarta w Krakowie w dniu ……………………………………………… r. pomiędzy:
Akademią Muzyczną im. Krzysztofa Pendereckiego w Krakowie z siedzibą przy ul. Św. Tomasza 43, 30-021 Kraków, zwaną w dalszej części umowy „Administratorem”, reprezentowaną przez: …………………………………………………………………………………………
a
…………………………………………………………………………………………………………………………………………………………….(dane podmiotu który umowę zawiera), zwanym w dalszej części umowy „Podmiotem przetwarzającym”, reprezentowanym przez: ………………………………………………………………
§1
Przetwarzania danych osobowych w imieniu administratora
- Administrator udostępnia Podmiotowi przetwarzającemu, w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części ,,Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej umowie.
- Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób.
§2
Zakres i cel przetwarzania danych
- Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane: ………………………………………………………………………………………………………………………………..……………….. (należy podać rodzaj danych, np. dane zwykłe oraz dane szczególnych kategorii, należy podać kategorię osób, których dane dotyczą oraz w jakiej są postaci, np. imion i nazwisk, nr PESEL, itp.).
- Powierzone przez Administratora danych dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu :……………………………………………………………………………………………………….. (należy podać cel przetwarzania danych przez podmiot przetwarzający, np. realizacji umowy nr ……… z dnia……..).
§3
Obowiązki podmiotu przetwarzającego dane osobowe w imieniu administratora
- Podmiot przetwarzający dane osobowe w imieniu Administratora zobowiązuje się, przy przetwarzaniu danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
- Podmiot przetwarzający dane osobowe w imieniu Administratora zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
- Podmiot przetwarzający dane osobowe w imieniu Administratora zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
- Podmiot przetwarzający dane osobowe w imieniu Administratora zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 pkt. b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
- Podmiot przetwarzający dane osobowe w imieniu Administratora po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa/zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
- Strony zobowiązują się do wzajemnej współpracy w zakresie przetwarzania danych osobowych objętych niniejszą umową, w szczególności strony zobowiązują się do współpracy w zakresie realizacji obowiązku udzielania odpowiedzi na zapytania osób, których dane osobowe są przetwarzane oraz wywiązywania się z obowiązków, o których mowa w art. 32-36 Rozporządzenia.
- Podmiot przetwarzający dane osobowe w imieniu Administratora po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 24 godzin.
§4
Kontrola
- Administrator ma prawo przeprowadzenia kontroli, czy środki bezpieczeństwa, o których mowa
w § 3 ust. 1, spełniają umowne i ustawowe warunki. O skorzystaniu z prawa przeprowadzenia kontroli, Administrator powinien uprzedzić Podmiot przetwarzający dane osobowe w imieniu administratora z co najmniej 3-dniowym wyprzedzeniem kierując w tym celu do Podmiotu przetwarzającego stosowne pisemne zawiadomienie. Po otrzymaniu zawiadomienia, Podmiot przetwarzający może wystąpić z wnioskiem o przeprowadzenie kontroli w terminie szybszym
niż wyznaczony. - Kontrolę, o której mowa w ust. 1, Administrator winien przeprowadzić mając na uwadze godziny pracy Podmiotu przetwarzającego, w sposób możliwie niezakłócający pracy.
- Podczas kontroli, Podmiot przetwarzający zobowiązuje się udostępnić Administratorowi wszelkie dane pozwalające na ocenę adekwatności zastosowanych środków bezpieczeństwa do istniejącego ryzyka, w szczególności udostępnić: kartoteki, bazy danych, itp.
- Podmiot przetwarzający zobowiązuje się do usunięcia wszelkich uchybień stwierdzonych podczas kontroli i opisanych w pokontrolnym protokole. Usunięcie uchybień powinno nastąpić nie później niż w terminie 7 dni od zakończenia kontroli i przedstawienia przez Administratora protokołu pokontrolnego.
§5
Odpowiedzialność podmiotu przetwarzającego dane osobowe w imieniu Administratora
- Podmiot przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią niniejszej umowy, a w szczególności za udostępnienie powierzonych danych do przetwarzania osobom nieuprawnionym.
- Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora
o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych określonych w niniejszej umowie przez Podmiot przetwarzający,
a także o wszelkich kontrolach i inspekcjach, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. - W przypadku podjęcia przez osobę trzecią działań prawnych wobec Podmiotu przetwarzającego związanych z naruszenia zasad przetwarzania danych osobowych, Podmiot przetwarzający będzie współpracować z Administratorem w celu podjęcia stosownych kroków prawnych zmierzających
w szczególności do oddalenia, bądź odrzucenia roszczeń osoby trzeciej.
§6
Czas obowiązywania umowy
- Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas określony od ………..……. do ……..…..…..
- Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem miesięcznego okresu wypowiedzenia.
- Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, w przypadku gdy Podmiot przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli, o której mowa
w § 4 niniejszej umowy nie usunie ich w wyznaczonym terminie,
2) przetwarza dane osobowe niezgodnie z postanowieniami niniejszej umowy,
3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
§7
Zasada zachowania poufności
- Podmiot przetwarzający dane osobowe w imieniu Administratora zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych
w jakikolwiek inny sposób, a które to dane są związane z niniejszą umową. - Podmiot przetwarzający dane osobowe w imieniu Administratora oświadcza, że w związku
z zobowiązaniem do zachowania w tajemnicy informacji poufnych, o których mowa w ust. 1, nie będą one wykorzystywane, ujawniane, ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej umowy. - Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania informacji poufnych, o których mowa w ust. 1, gwarantowały ich zabezpieczenie, w tym w szczególności zabezpieczenie danych osobowych powierzonych do przetwarzania przed dostępem osób trzecich.
§8
Postanowienia końcowe
- Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
- W sprawach nieuregulowanych w niniejszej umowie zastosowanie będą miały przepisy prawa powszechnie obowiązującego, w tym Rozporządzenia.
- Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla siedziby Administratora.
Administrator: Podmiot
przetwarzający: