UMOWA O WSPÓŁADMINISTROWANIU DANYMI OSOBOWYMI
Załącznik nr do umowy głównej
UMOWA O WSPÓŁADMINISTROWANIU DANYMI OSOBOWYMI
zawarta w Białymstoku w dniu ………………
pomiędzy:
Uniwersytetem Medycznym w Białymstoku z siedzibą w Białymstoku, ul. Xxxxxxxxxxx 1, 15-089 Białystok, reprezentowanym przez ………………………………………………………………………………
zwanym dalej Współadministratorem 1
a
…………………………………………………………………………………………………………………………………………., reprezentowanym przez ………………………………………………………………………………………….
zwanym dalej Współadministratorem 2
zwanych łącznie "Współadministratorami" lub "Stronami"
Mając na uwadze, że Strony wspólnie ustalają cele oraz sposoby przetwarzania danych w związku ze wspólną realizacją umowy głównej nr .....................................z dnia .................., której przedmiotem jest realizacja badań naukowych pomiędzy Stronami, na zasadzie współadministrowania w rozumieniu art. 26 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( dalej zwanego RODO),
Xxxxxx postanowiły zawrzeć Umowę o współadministrowaniu o następującej treści:
§ 1 Opis Współadministrowania
Na warunkach określonych niniejszą Umową Strony określają odpowiedni zakres swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.
Wspólnym celem przetwarzania jest realizacja badań naukowych w zakresie..........................
Cel i sposób przetwarzania przez Współadministratorów danych osobowych wynika z umowy głównej.
Kategorie danych: uczestnicy badań naukowych.
Rodzaj danych:
-dane, które są pozbawione możliwości identyfikacji w możliwie najszerszym zakresie, aby w jak największym stopniu zapewnić, że bez dostępu do identyfikatora niemożliwe jest zidentyfikowanie konkretnej osoby (dane spseudonimizowane)
-xxxx xxxxxx – imię, nazwisko, XXXXX, adres
-dane szczególnych kategorii – dane dotyczące zdrowia, dane genetyczne, próbki biologiczne
W szczególności Xxxxxx ustaliły, że dane przetwarzane będą, w zależności od zadań które wykonują, w poniższy sposób: PONIŻEJ WPISAĆ ZA CO KTÓRA STRONA ODPOWIADA
Współadministrator 1:
uzyska zgodę właściwej Komisji bioetycznej na przeprowadzenie badań,
pozyska uczestników badań,
pozyska dane kliniczne oraz dokona ich pseudonimizacji,
- Współadministrator 2:
będzie uczestniczyć w przygotowaniu wspólnych publikacji naukowych;
Dane osobowe uczestników badań dla celów ochrony danych zostaną spseudonimizowane. Współadministrator 1 przekaże do Współadministratora 2 dane spseudonimizowane Współadministrator 2 nie będzie mógł samodzielnie odwrócić pseudonimizacji i zidentyfikować osób, których dane dotyczą i nie będzie przeprowadzał na danych żadnych prób odwrócenia pseudonimizacji.
§ 2 Obowiązki Współadministratorów
Obowiązki względem osób, których dane dotyczą, obejmujące współprzetwarzanie, to jest obowiązek informacyjny i realizacja praw jednostki, wykonywane będą przez Współadministratora 1. Jeśli osoba objęta współadministrowaniem skieruje swoje żądanie do Współadministratora 2, to Współadministrator 2 przekaże je niezwłocznie Współadministratorowi 1.
Strony ustalają rolę i zakres w realizowaniu obowiązków wynikających z RODO w niniejszy sposób:
Współadministratorzy oświadczają, że przetwarzają dane osobowe zgodnie z zasadami określonymi w art. 5 RODO.
Współadministrator 1 przechowuje wszelką dokumentację dotyczącą współadministrowania, dla potrzeb spełnienia wymogu rozliczalności.
Współadministratorzy nie przekazują danych osobowych poza UE i EOG.
Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Strony mają obowiązek zastosować się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO, i mają obowiązek z wyprzedzeniem informować Strony o planowanych zmianach w taki sposób i w takich terminach, aby zapewnić Stronom realną możliwość reagowania, jeżeli planowane przez Stronę zmiany w opinii przynajmniej jednej ze Stron grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Stronę planującą zmianę.
Strony zobowiązują się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych osobowych jest potrzebny dla realizacji Umowy.
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które mają imienne upoważnienie nadane przez Współadministratora oraz zaciągnęły zobowiązanie do zachowania danych osobowych w tajemnicy.
Każdy Współadministrator zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w tym Rejestru Czynności Przetwarzania Danych.
Każdy ze Współadministratorów zapewnia ochronę danych osobowych i podejmuje środki ochrony danych osobowych, o których mowa w art. 32 RODO, zgodnie z dalszymi postanowieniami Umowy.
Każdy ze Współadministratorów wyznaczył swojego Inspektora Ochrony Danych. Xxxxxx przekazały sobie dane IOD.
Współadministratorzy zapewniają, że osoby dopuszczone do przetwarzania danych osobowych zostały uprzednio przeszkolone z zasad i przepisów o ochronie danych osobowych oraz konsekwencji ich naruszenia, w tym w szczególności z procedury zabezpieczenia danych osobowych oraz swoich rolach w tym zakresie.
Strony uzgadniają, że w przypadku naruszenia ochrony danych osobowych, Współadministrator 1 jest odpowiedzialny za zgłoszenie naruszenia organowi nadzorczemu. Strony zobowiązują się do współpracy w zakresie wypełniania obowiązków związanych z naruszeniem ochrony danych osobowych, zgodnie z dalszymi postanowieniami Umowy.
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Współadministrator 1 odpowiedzialny za zgłoszenie naruszenia organowi nadzorczemu, bez zbędnej zwłoki zawiadamia osobę, której dane osobowych dotyczą o takim naruszeniu. Strony zobowiązują się do współpracy w zakresie wypełniania obowiązków związanych z naruszeniem ochrony danych osobowych, zgodnie z dalszymi postanowieniami Umowy.
§ 3 Powierzenie Przetwarzania
Każda ze Stron może powierzyć przetwarzania danych osobowych innemu podmiotowi przetwarzającemu, w drodze pisemnej umowy powierzenia przetwarzania danych osobowych. W takiej sytuacji Xxxxxx powierzająca ma obowiązek dopilnować realizacji obowiązków związanych z powierzeniem przetwarzania danych osobowych wynikających z RODO oraz poinformować Strony o tożsamości Przetwarzającego.
§ 4 Bezpieczeństwo danych osobowych
Każdy ze Współadministratorów przeprowadził własną analizę ryzyka przetwarzania danych osobowych i stosuje się do jej wyników co do organizacyjnych i technicznych środków ochrony danych osobowych odpowiadających ustalonemu ryzyku naruszenia praw i wolności osób, których dane osobowe dotyczą. Strony aktualizują swoją analizę ryzyka przetwarzania danych osobowych stosownie do potrzeb i wymogów RODO i informują pozostałe Strony o wynikach aktualizacji.
Strony potwierdzają, że poziom zabezpieczeń danych osobowych stosowany przez każdą ze Stron odpowiada ryzyku ustalonemu w wyniku analizy ryzyka, o której mowa w poprzednim ustępie. W szczególności każda Strona oceniła, poinformowała Strony i zobowiązuje się do aktualizowania informacji o zasadności i stosowanych technicznych i organizacyjnych środkach ochrony danych osobowych.
Jeżeli planowany rodzaj przetwarzania danych osobowych objęty współadministrowaniem - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Strony każdorazowo uzgodnią zasady współdziałania przy ocenie skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
§ 5 Czasy Reakcji
Strony zapewniają powiadomienie siebie nawzajem o podejrzeniu naruszenia ochrony danych osobowych w terminie 48 godzin od zgłoszenia podejrzenia, jeżeli prawdopodobieństwo naruszenia jest wysokie, umożliwia Stronom uczestnictwo w czynnościach wyjaśniających. Niezależnie, Strony informują się nawzajem o stwierdzeniu lub wykluczeniu naruszenia w ciągu 4 godzin od poczynienia takich ustaleń.
Zgłoszenie naruszenia organowi nadzorczemu dokonywane będzie przez Współadministratora 1. Jeżeli naruszenie ochrony danych dotyczy Strony, która je stwierdziła, Strona ta bezzwłocznie opracowuje treść zgłoszenia. Każda ze Stron prowadzą rejestr stwierdzonych naruszeń ochrony danych osobowych powstałych w ramach współadministrowania.
Każdy Współadministrator powiadamia Strony w ciągu 48 godzin o każdym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a w szczególności przepisów postępowania karnego lub przepisów dotyczących zapobieganiu terroryzmowi lub praniu pieniędzy.
Każdy Współadministrator powiadamia Strony w ciągu 48 godzin o każdym otrzymanym żądaniu wykonania Prawa jednostki. Przy czym Współadministrator 2 powiadamiając Współadministratora 1 przesyła wszelką niezbędną dokumentację dotyczącą wykonania Prawa jednostki, aby umożliwić Współadministratorowi 1 realizację Prawa jednostki.
§ 6 Osoby Kontaktowe
Dane kontaktowe IOD Współadministratorów.
IOD wyznaczony przez Współadministratora 1 – e-mail: xxx@xxx.xxx.xx
IOD wyznaczony przez Współadministratora 2 – e-mail: ................................
§ 7 Odpowiedzialność
Każdy ze Współadministratorów podlega środkom prawnym i sankcjom określonym w art. 77 - 79 oraz art. 82 - 84 RODO (odpowiedzialność solidarna). W rozliczeniach wzajemnych Strony posługują się zasadą winy. Jeżeli jednak żadnej ze Stron nie można przypisać winy lub stopień winy jest podobny, podział odpowiedzialności będzie dokonywany w częściach równych.
§ 8 Okres Obowiązywania Umowy
Umowa zostaje zawarta na okres trwania umowy głównej.
Umowa może zostać wypowiedziana według zasad rozwiązania umowy głównej, tj. przez Xxxxx ze Stron, w formie pisemnej, z zachowaniem 90‑dniowego wypowiedzenia, rozpoczynającego się w dniu doręczenia pisma drugiej stronie.
§ 9 Postanowienia Końcowe
Załączniki. Umowa posiada następujące załączniki:
Załącznik nr 1 - Informacja o zasadniczej treści wspólnych uzgodnień Współadministratorów wraz z informacją o przetwarzaniu danych osobowych
Umowa wchodzi w życie z dniem jej podpisania przez Xxxxxx.
Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy dokumentowej pod rygorem nieważności.
Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy jest sąd właściwy dla siedziby Współadministratora 1.
Sporządzono po jednym egzemplarzu Umowy dla każdej ze Stron.
Umowa podlega RODO oraz prawu polskiemu, w tym w szczególności przepisom Kodeksu cywilnego.
podpisy:
Załącznik nr 1 Informacja o zasadniczej treści wspólnych uzgodnień Współadministratorów wraz z informacją o przetwarzaniu danych osobowych
Zgodnie z art. 13 lub 14 oraz art. 26 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej zwane RODO) informujemy o tym, że wspólnie przetwarzamy Państwa dane osobowe oraz informujemy o zasadniczej treści wspólnych uzgodnień Współadministratorów.
Współadministratorami Twoich danych osobowych są:
Uniwersytet Medyczny w Białymstoku – xx. Xxxx Xxxxxxxxxxx 0, 00-000 Xxxxxxxxx, (dalej "Współadministrator 1")
...................................................................................................... (dalej „Współadministrator 2”)
Współadministratorzy wspólnie administrują Twoimi danymi osobowymi w celu wspólnej realizacji badań w ramach projektu naukowego pt. „........................................................”.
Twoje dane będą przetwarzane na podstawie:
- art. 6 ust. 1 lit a RODO i art. 9 ust. 2 lit. a – zgoda na przetwarzanie danych,
- art. 9 ust. 2 lit. j RODO – przetwarzanie jest niezbędne do celów badań naukowych na podstawie ustawy Prawo o szkolnictwie wyższym i nauce,
Odbiorcami Twoich danych osobowych mogą być podmioty, którym Współadministratorzy powierzyli przetwarzanie danych, w tym, dostawcy usług informatycznych.
Planujemy przechowywać Twoje dane przez okres niezbędny do realizacji projektu lub do czasu wycofania zgody.
Masz prawo dostępu do swoich danych osobowych, żądania sprostowania swoich danych osobowych, usunięcia, ograniczenia przetwarzania danych osobowych, prawo do przenoszenia danych – na zasadach określonych w RODO.
W zakresie, w jakim podstawą przetwarzania Twoich danych osobowych jest zgoda, masz prawo cofnięcia zgody bez wpływu na zgodność wcześniej dokonanego przetwarzania.
Na podstawie podanych danych osobowych nie będą podejmowane zautomatyzowane decyzje, w tym nie będzie wykonywane profilowanie.
Przysługuje Ci prawo wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych, xx. Xxxxxx 0, 00-000 Xxxxxxxx.
Podanie danych osobowych jest dobrowolne.
W związku z przetwarzaniem Twoich danych osobowych również informujemy, że:
Współadministratorzy oświadczają, że przetwarzają Twoje dane osobowe zgodnie z zasadami dotyczącymi przetwarzania danych osobowych określonymi w art. 5 RODO.
Współdministrator 1 przechowuje zgromadzoną dokumentację dotyczącą
współadministrowania, dla potrzeb spełnienia wymogu rozliczalności.
Współadministratorzy nie przekazują Twoich danych osobowych poza UE i EOG.
Współadministratorzy zobowiązują się do ograniczenia dostępu do Twoich danych osobowych wyłącznie do osób, których dostęp do danych osobowych jest potrzebny dla realizacji wyżej wymienionych celów. Dodatkowo Współadministratorzy zapewniają, że do przetwarzania danych osobowych dopuszczają wyłącznie osoby, które mają imienne upoważnienie nadane przez Administratora oraz, że osoby dopuszczone do przetwarzania danych osobowych zaciągnęły zobowiązanie do zachowania danych osobowych w tajemnicy, a także osoby zostały uprzednio przeszkolone z zasad i przepisów o ochronie danych osobowych.
Współadministratorzy zapewniają odpowiedni poziom bezpieczeństwa danych osobowych.
Współadministratorzy w celu zapewnienia bezpieczeństwa zapewniają, że we wszelkich sprawach dotyczących ochrony Twoich danych osobowych możesz kontaktować się ze Współadministratorami, ale to Współadministrator 1 będzie Ci na wszystko odpisywał i pilnował realizacji Twoich praw. Oznacza to, że najlepiej, abyś kierowała/ł komunikację w zakresie realizacji Twoich praw do: Inspektora Ochrony Danych Współadministratora 1, emailem na adres xxx@xxx.xxx.xx