Umowa powierzenia przetwarzania danych osobowych zawarta dnia ……………, w …………..……………. pomiędzy stronami: Panią/Panem ………………………………………… dyrektorem szkoły …..…………………………......, zwanym w dalszej części umowy „Administratorem” a Panią/Panem ………………………………., zwaną/zwanym w dalszej części umowy „Podmiotem przetwarzającym”. Strony zgodnie postanawiają, co następuje: § 1 Powierzenie przetwarzania danych osobowych 1. Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L. z 2016 r. Nr 119, poz. 1), dalej: „RODO”, Administrator danych powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej umowie. 2. Dane osobowe, o których mowa w ust. 1, obejmują dane osobowe szczególnej kategorii, dotyczące zdrowia uczniów. Szczegółowy wykaz danych osobowych zawiera załącznik do niniejszej umowy. 3. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową oraz z przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 4. Podmiot przetwarzający oświadcza, iż stosuje wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. 5. Administrator i Podmiot przetwarzający oświadczają, iż dane osobowe przetwarzają przy pomocy środków technicznych i organizacyjnych spełniających wymogi określone w RODO. § 2 Zakres i cel przetwarzania danych 1. Powierzone przez Administratora dane osobowe uczniów będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu należytego udzielania świadczeń zdrowotnych. 2. Przetwarzanie danych osobowych w oparciu o niniejszą umowę odbywa się w zakresie operacji lub zestawów operacji wykonywanych na danych osobowych, tj. zbieranie, dostęp, przechowywanie oraz ich modyfikowanie – za zgodą osoby, której dane osobowe dotyczą, za zgodą Administratora bądź na polecenie Administratora. 3. Zmiana powierzonych do przetwarzania danych wymaga pisemnego aneksu. § 3 Obowiązki stron 1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, Podmiot przetwarzający zobowiązuje się do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym w szczególności środki wskazane w art. 32 RODO. 2. Podmiot przetwarzający nie jest uprawniony do korzystania z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody Administratora. 3. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora. Podmiot przetwarzający nie może przekazywać powierzonych mu danych osobowych osobom trzecim ani do państw trzecich. 4. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji Administratora, trwale usuwa bądź zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 5. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO. 6. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi. 7. Zgłoszenie, o którym mowa w ust. 6, musi co najmniej: 1) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, 2) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych, 3) opisywać środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. § 4 Czas obowiązywania umowy 1. Niniejsza umowa obowiązuje od dnia ……………. . 2. Umowa zostaje zawarta na czas nieokreślony. 3. Każda ze stron może rozwiązać niniejszą umowę z zachowaniem miesięcznego okresu wypowiedzenia ze skutkiem na koniec miesiąca kalendarzowego. 4. W przypadku rozwiązania umowy, o którym mowa w ust. 3, Podmiot przetwarzający zobowiązany jest do usunięcia bądź zwrotu posiadanych przez niego danych osobowych przekazanych do przetwarzania przez Administratora. 5. Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający: 1) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie, 2) przetwarza dane osobowe w sposób niezgodny z przepisami prawa, w szczególności w sposób niezgodny z postanowieniami RODO bądź umową, 3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych. 6. W przypadku rozwiązania umowy w trybie, o którym mowa w ust. 5, Podmiot przetwarzający zobowiązany jest do usunięcia bądź zwrotu posiadanych przez niego danych osobowych, które zostały przekazane do przetwarzania przez Administratora. § 5 Postanowienia końcowe 1. W sprawach nieuregulowanych zastosowanie będą miały przepisy RODO, Ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz.U. z 2019 r. poz. 1145 ze zm.) oraz inne powszechnie obowiązujące przepisy prawa. 2. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla Administratora danych. 3. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron. Podpisy stron: