Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja 2020 r. nr POWR.05.01.00-00-0025/19-00 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zwane dalej „RODO”, Realizator powierza Placówce medycyny pracy przetwarzanie danych osobowych osób uczestniczących Projekcie, w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych. 2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy zobowiązuje się do przestrzegania zasad wskazanych w umowie, RODO, przepisach ustawy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych. 3. Placówka medycyny pracy nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych 4. Placówka medycyny pracy zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO. 5. Placówka zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. 6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, posiadające imienne upoważnienie do przetwarzania danych osobowych. 7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka w swojej siedzibie. 8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę z osobą wskazaną w ust. 6. Placówka medycyny pracy winna posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy. 9. Realizator zobowiązuje Placówkę, by osoby upoważnione przez nią do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Placówką. 10. Placówka ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych. 11. Placówka zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO. 12. Placówka przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 13. Realizator, w imieniu Powierzającego, zobowiązuje Placówkę do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 14. Placówka jest zobowiązana do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia. 15. Placówka niezwłocznie informuje Realizatora o: 1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17; 2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem; 3) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24. 16. Placówka zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią i osoby przez nią upoważnione do przetwarzania danych osobowych, obowiązków dotyczących ochrony danych osobowych. 17. Placówka, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka może je udzielać sukcesywnie bez zbędnej zwłoki. 18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, na wniosek Realizatora, bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi. 19. Placówka pomaga Realizatorowi oraz Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO. 20. Placówka pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO. 21. Placówka umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli. 22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21. 23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawo: 1) wstępu, w godzinach pracy Placówki, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową; 2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii; 3) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych. 24. Placówka medycyny pracy zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.
Appears in 3 contracts
Samples: Collaboration Agreement, Collaboration Agreement, Collaboration Agreement
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja z dnia 23 czerwca 2020 r. nr POWR.05.01.00-00-0025/190005/20-00 00/1040/2020/218 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zwane dalej „RODO”” , Realizator powierza Placówce medycyny pracy POZ przetwarzanie danych osobowych osób uczestniczących Projekcieuczestników (imię, nazwisko, adres zamieszkania, nr telefonu, dane o stanie zdrowia),, w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.
2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy POZ zobowiązuje się do przestrzegania zasad wskazanych w umowie, RODO, przepisach ustawy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych.
3. Placówka medycyny pracy POZ nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
4. Placówka medycyny pracy POZ zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka POZ oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, POZ posiadające imienne upoważnienie do przetwarzania danych osobowych.
7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę POZ do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka POZ w swojej siedzibie.
8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę POZ z osobą wskazaną w ust. 6. Placówka medycyny pracy winna POZ winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
9. Realizator zobowiązuje PlacówkęPOZ, by osoby upoważnione przez nią niego do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z PlacówkąPOZ.
10. Placówka POZ ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana POZ zobowiązany jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka POZ przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu PowierzającegoXxxxxxxxxxxxxx, zobowiązuje Placówkę POZ do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.
14. Placówka POZ jest zobowiązana zobowiązany do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka POZ niezwłocznie informuje Realizatora o:
1a) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;,
2b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;,
3c) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka POZ zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią niego i osoby przez nią niego upoważnione do przetwarzania danych osobowych, osobowych obowiązków dotyczących ochrony danych osobowych.
17. PlacówkaPOZ, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka POZ może je udzielać sukcesywnie bez zbędnej zwłoki.
18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, POZ na wniosek Realizatora, Realizatora bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi.
19. Placówka POZ pomaga Realizatorowi oraz Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO.
20. Placówka POZ pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
21. Placówka POZ umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę POZ obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka POZ umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21.
23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawo:
1a) wstępu, w godzinach pracy PlacówkiPOZ, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;,
2b) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki Beneficjenta oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;,
3c) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
24. Placówka medycyny pracy POZ zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.
Appears in 2 contracts
Samples: Umowa Współpracy, Umowa Współpracy
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja 2020 r. nr POWR.05.01.00-00-0025/19-00 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia 16.1 Zamawiający jako administrator danych osobowych (tj. Instytucją Pośredniczącądalej także jako „Administrator”) oraz w związku z przepisem art. 28 Rozporządzenia powierza Wykonawcy, na postawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowychXX.Xxx.XX.X.xx 119 ) zwane (dalej „RODO”), Realizator powierza Placówce medycyny pracy przetwarzanie danych osobowych, rozumianych jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”) wyłącznie w zakresie określonym umową, związanym ze świadczeniem usług ochrony osób i mienia na terenie Zamawiającego.
16.2 Przez przetwarzanie danych osobowych osób uczestniczących Projekcierozumie się wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, odczyt danych, wgląd w dane i ich usuwanie, w imieniu rozumieniu art. 4 pkt. 2 RODO (dalej „przetwarzanie danych osobowych”).
16.3 Zamawiający powierza Wykonawcy do przetwarzania w zakresie wglądu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy odczytu dane osobowe zawarte w systemie monitoringu Zamawiającego, a także zebrane w formie papierowej; dane osobowe zawarte w zleconych do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, prowadzenia książkach wydawania i zdawania kluczy.
16.4 Wykonawca będzie przetwarzał dane osobowe w drodze odrębnego Porozumienia w sprawie ramach powierzenia przetwarzania danych osobowych wyłącznie w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył celu i w zakresie niezbędnym do wykonania umowy. Wykonawca nie może zmieniać celu ani zakresu danych osobowych powierzonych do przetwarzania.
16.5 Wykonawca oświadcza, że dysponuje środkami umożliwiającymi prawidłowe przetwarzanie danych osobowychosobowych powierzonych przez Administratora, w zakresie i celu określonym umową.
2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy zobowiązuje się do przestrzegania zasad wskazanych w umowie, RODO, przepisach ustawy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych.
3. Placówka medycyny pracy nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych
4. Placówka medycyny pracy 16.6 Wykonawca zobowiązuje się:
1) podejmować wszelkie środki techniczne i organizacyjne, przy przetwarzaniu powierzonych danych osobowychaby zapewnić odpowiedni stopień bezpieczeństwa, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, w tym środki o których mowa w art. 32 RODO.;
5. Placówka zapewnia wystarczające gwarancje wdrożenia odpowiednich 2) umożliwić Administratorowi na każde żądanie dokonania oceny stosowanych środków technicznych i organizacyjnych, by aby przetwarzanie spełniało wymogi RODO i chroniło prawa osóbodbywało się zgodnie z prawem, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkęa także uaktualniać te środki, posiadające imienne upoważnienie o ile są one niewystarczające do przetwarzania tego, aby zapewnić zgodne z prawem przetwarzanie powierzonych danych osobowych.
7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka w swojej siedzibie.
8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę z osobą wskazaną w ust. 6. Placówka medycyny pracy winna posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
9. Realizator zobowiązuje Placówkę, by osoby upoważnione przez nią do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Placówką.
10. Placówka ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu Powierzającego, zobowiązuje Placówkę do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.
14. Placówka jest zobowiązana do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka niezwłocznie informuje Realizatora o:
1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;
2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;
3) wynikach kontroli prowadzonych przez podmioty uprawnione pomagać Administratorowi w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią i osoby przez nią upoważnione do przetwarzania danych osobowych, obowiązków dotyczących ochrony danych osobowych.
17. Placówka, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka może je udzielać sukcesywnie bez zbędnej zwłoki.
18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, na wniosek Realizatora, bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi.
19. Placówka pomaga Realizatorowi oraz Powierzającemu wywiązać wywiązywaniu się z obowiązków określonych w art. 32 - 32-36 RODO., w szczególności Wykonawca zobowiązuje się przekazywać Administratorowi informacje oraz wykonywać jego polecenia dotyczące stosowanych środków zabezpieczenia danych osobowych, przypadków naruszenia ochrony danych osobowych oraz zawiadamiania o tym organu nadzorczego lub osób, których dane osobowe dotyczą, przeprowadzenia oceny skutków dla ochrony danych oraz uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu;
20. Placówka pomaga Realizatorowi 4) pomagać Administratorowi, poprzez odpowiednie środki techniczne i Powierzającemu wywiązać organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III art. 15-22 RODO;
5) umożliwić przeprowadzenie audytów lub inspekcji w zakresie zgodności operacji przetwarzania danych osobowych z prawem i umową, które mogą być przeprowadzone także przez podmioty trzecie upoważnione przez Administratora;
6) zwrócić po zakończeniu umowy wszelkie dane osobowe oraz usunąć wszelkie ich kopie;
7) informować niezwłocznie Administratora, jeżeli zdaniem Wykonawcy wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych; informacja w tym przedmiocie powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Wykonawcy został naruszony;
8) stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, po uprzednim poinformowaniu Administratora, dotyczących Przetwarzania Danych Osobowych, w szczególności w zakresie stosowania RODO;
9) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierające informacje o:
a) nazwie oraz danych kontaktowych podmiotu przetwarzającego oraz innych podmiotów przetwarzających (w przypadku podpowierzenia) oraz Administratora, a także inspektora ochrony danych, jeżeli ma to zastosowanie,
b) kategoriach przetwarzań dokonywanych w imieniu Administratora,
c) gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
d) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych.
16.7 Wykonawca nie jest zobowiązany do wykonania polecenia Administratora dotyczącego stosowanych środków zabezpieczenia danych osobowych, w sytuacji gdyby ich zastosowanie mogło spowodować zagrożenie bezpieczeństwa danych osobowych.
16.8 Wykonawca zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanymi poleceniami Administratora. Poprzez zawarcie niniejszej umowy Administrator poleca przetwarzanie danych osobowych Wykonawcy, a także każdej osobie działającej z upoważnienia Wykonawcy mającej dostęp do tych danych. Niniejsze postanowienie Strony zgodnie uznają za udokumentowane polecenie Administratora, w rozumieniu art. 28 ust. 3 lit. a w związku z art. 29 RODO.
21. Placówka umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności 16.9 Poprzez zawarcie niniejszej umowy Zamawiający nie udziela Wykonawcy zgody na podpowierzenie przetwarzania powierzonych danych osobowych z ustawą o ochronie w zakresie koniecznym do realizacji niniejszej umowy. Przez podpowierzenie przetwarzania danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi osobowych rozumie się powierzenie przez Wykonawcę (podmiot przetwarzający) przetwarzania danych osobowych dalszemu podmiotowi – podprocesorowi.
16.10 Wykonawca jest zobowiązany do wdrożenia i stosowania procedur służących wykrywaniu naruszeń ochrony danych osobowych oraz z umowąwdrażaniu właściwych środków naprawczych. Zawiadomienie Wykonawca jest zobowiązany do udostępniania procedur, o zamiarze przeprowadzenia kontroli lub audytu których mowa w zdaniu poprzednim, na każde żądanie Administratora, nie później niż w terminie 2 dni roboczych od dnia złożenia takiego żądania. Po stwierdzeniu naruszenia ochrony powierzonych danych Wykonawca bez zbędnej zwłoki, jednak w miarę możliwości nie później niż w terminie 24 godzin od wykrycia naruszenia, zgłasza je Administratorowi. Zgłoszenie powinno być przekazane podmiotowi kontrolowanemu zawierać co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21.
23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawoinformacje o:
1) wstępudacie, w godzinach pracy Placówki, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania czasie trwania oraz lokalizacji naruszenia ochrony danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania charakterze i skali naruszenia, tj. w szczególności o kategoriach i przybliżonej liczbie osób których dane dotyczą oraz o kategoriach i przybliżonej liczbie wpisów danych osobowych, przedstawiciela Placówki oraz pracowników których dotyczy naruszenie, a w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich razie możliwości, także wskazania podmiotów danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopiiobjętych naruszeniem;
3) przeprowadzania oględzin urządzeńsystemie informatycznym, nośników w którym wystąpiło naruszenie;
4) przewidywanym czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;
5) charakterze i zakresie danych osobowych objętych naruszeniem;
6) możliwych konsekwencjach naruszenia, z uwzględnieniem konsekwencji dla osób których dane dotyczą;
7) środkach podjętych w celu zminimalizowania konsekwencji naruszenia oraz systemu informatycznego służącego proponowanych działaniach zapobiegawczych i naprawczych;
8) danych kontaktowych osoby mogącej udzielić dalszych informacji o naruszeniu.
16.11 Do czasu uzyskania instrukcji od Administratora, Wykonawca bez zbędnej zwłoki podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia. Wykonawca jest zobowiązany do dokumentowania wszelkich naruszeń ochrony powierzonych mu danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych. Wykonawca jest zobowiązany na każde żądanie Administratora udostępnić mu dokumentację o której mowa w zdaniu poprzedzającym. Wykonawca bez wyraźnej instrukcji Administratora nie będzie powiadamiał o naruszeniu osób, których dane dotyczą ani organu nadzorczego.
16.12 Zamawiający upoważnia Wykonawcę do nadawania upoważnień do przetwarzania danych osobowych.
24. Placówka medycyny pracy zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia osobowych wyłącznie osobom o odpowiednich kwalifikacjach i odpowiednio przeszkolonych do prawidłowego wykonania umowy oraz jednocześnie osobom, które zapewnią zachowanie poufności powierzonych danych osobowych oraz sposobu sposobów ich przetwarzania sporządzone zabezpieczania. Wykonawca we własnym zakresie prowadzi wykaz upoważnionych osób.
16.13 Wykonawca oświadcza, że osoby zatrudnione przy Przetwarzaniu Danych Osobowych zostały zapoznane z przepisami o ochronie danych osobowych oraz z odpowiedzialnością za ich nieprzestrzeganie, zobowiązały się do ich przestrzegania oraz do bezterminowego zachowania w wyniku kontroli lub audytu przeprowadzonych tajemnicy Przetwarzanych Danych Osobowych i sposobów ich zabezpieczenia, na potwierdzenie, czego odebrał od ww. osób stosowne oświadczenia.
16.14 Wykonawca jest zobowiązany wdrożyć i stosować wszelkie środki i zabezpieczenia związane z przetwarzaniem danych osobowych, odpowiednie do rodzaju przetwarzanych danych, które są wymagane przez Realizatoraaktualnie obowiązujące przepisy z zakresu ochrony danych osobowych, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisówa w szczególności określone w RODO i przepisach krajowych.
Appears in 1 contract
Samples: Umowa O Zamówienie Publiczne
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja 2020 r. nr POWR.05.01.00-00-0025/19-00 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz Zamawiający jako Administrator Danych powierza przetwarzania danych osobowych Wykonawcy jako Podmiotowi Przetwarzającemu, w związku z przepisem trybie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) ogólnego rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zwane dalej „RODO”, Realizator powierza Placówce medycyny pracy przetwarzanie danych osobowych osób uczestniczących Projekcie, w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.r.
2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy Wykonawca zobowiązuje się do przestrzegania zasad wskazanych w umowieprzetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO, przepisach ustawy o ochronie danych osobowych Rozporządzeniem oraz innych przepisów z innymi przepisami prawa powszechnie obowiązującego dotyczących ochrony danych osobowychobowiązującego, które chronią prawa osób, których dane dotyczą.
3. Placówka medycyny pracy nie decyduje Wykonawca oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia oraz innych przepisów, o celach i środkach przetwarzania powierzonych danych osobowychktórych mowa w ust. 2.
4. Placówka medycyny pracy Wykonawca będzie przetwarzał powierzone na podstawie umowy dane pracowników Zamawiającego oraz dane osób obsługiwanych systemem bibliotecznym SOWASQL (czytelników i opiekunów prawnych czytelników).
5. Powierzone dane przetwarzane będą przez Wykonawcę wyłącznie w celu montażu książkomatu, przeprowadzanych prac serwisowych oraz szkolenia pracowników Zamawiającego.
6. Wykonawca zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, osobowych do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, posiadające imienne upoważnienie do przetwarzania danych osobowychRozporządzenia.
7. Realizator Wykonawca po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe uzyskane na podstawie regulacji Umowy oraz usuwa wszelkie ich istniejące kopie w imieniu Powierzającego (tjciągu 14 dni. Instytucji Pośredniczącej) umocowuje Placówkę do wydawania i odwoływania osobomPo wykonaniu zobowiązania, o których którym mowa w ust. 6zdaniu poprzedzającym, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka w swojej siedzibieWykonawca złoży Zamawiającemu pisemne oświadczenie potwierdzające trwałe usunięcie wszystkich danych.
8. Imienne upoważnieniaWykonawca po stwierdzeniu naruszenia ochrony danych osobowych oraz o każdym podejrzeniu naruszenia ochrony danych osobowych niezwłocznie, nie później niż w ciągu 24 godzin od chwili uzyskania takich informacji, powiadamia Zamawiającego o których mowa potencjalnym naruszeniu lub naruszeniu ochrony danych osobowych oraz umożliwia Zamawiającemu uczestnictwo w czynnościach wyjaśniających i informuje Zamawiającego o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu faktycznego naruszenia.
9. Zamawiający jako Administrator Danych zgodnie z art. 28 ust. 73 lit. h Rozporządzenia ma prawo kontroli, są ważne czy środki zastosowane przez Wykonawcę jako Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy i Rozporządzenia.
10. Zamawiający realizować będzie prawo kontroli w godzinach pracy Wykonawcy i z minimum 7 dniowym jego uprzedzeniem.
11. Wykonawca zobowiązuje się do dnia odwołaniausunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Zamawiającego nie dłuższym niż 14 dni.
12. Wykonawca zobowiązuje się do udostępnienia Zamawiającemu wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
13. Wykonawca może powierzyć dane osobowe do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy oraz po uzyskaniu uprzedniej pisemnej zgody Zamawiającego. Zgoda Zamawiającego musi mieć formę pisemną pod rygorem nieważności,
14. Wykonawca jest odpowiedzialny za przetwarzanie danych osobowych niezgodnie z treścią Umowy, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę z osobą wskazaną przepisami Rozporządzenia lub innymi przepisami, a w ust. 6. Placówka medycyny pracy winna posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem szczególności za udostępnienie powierzonych do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowyosobom nieupoważnionym.
915. Realizator Wykonawca zobowiązuje Placówkęsię do niezwłocznego poinformowania Zamawiającego o wszelkich:
16. Wykonawca zobowiązuje się do zachowania w tajemnicy wszelkich informacji, by osoby upoważnione przez nią do przetwarzania danych, materiałów, dokumentów i danych osobowych zobowiązane zostały otrzymanych od Wykonawcy i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
17. Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych osobowych oraz poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Wykonawcy w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych wynika z Placówką.
10. Placówka ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych obowiązujących przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu Powierzającego, zobowiązuje Placówkę do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.
14. Placówka jest zobowiązana do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka niezwłocznie informuje Realizatora o:
1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;
2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;
3) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią i osoby przez nią upoważnione do przetwarzania danych osobowych, obowiązków dotyczących ochrony danych osobowych.
17. Placówka, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka może je udzielać sukcesywnie bez zbędnej zwłokiUmowy.
18. W przypadku wystąpienia naruszenia ochrony Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych osobowych, mogącego powodować poufnych gwarantowały zabezpieczenie danych poufnych w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, na wniosek Realizatora, bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony tym w szczególności danych osobowych dotyczypowierzonych do przetwarzania, o ile Realizator o to wystąpi.
19. Placówka pomaga Realizatorowi oraz Powierzającemu wywiązać przed dostępem osób trzecich nieupoważnionych do zapoznania się z obowiązków określonych w art. 32 - 36 RODOich treścią.
20. Placówka pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
21. Placówka umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21.
23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawo:
1) wstępu, w godzinach pracy Placówki, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
3) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
24. Placówka medycyny pracy zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.
Appears in 1 contract
Samples: Umowa
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja 2020 r. nr POWR.05.01.00-00-0025/190003/20-00 00/1094/2020/474 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zwane dalej „RODO”” , Realizator powierza Placówce medycyny pracy AOS przetwarzanie danych osobowych osób uczestniczących Projekcieuczestników (imię, nazwisko, adres zamieszkania, nr telefonu, dane o stanie zdrowia), w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.
2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy AOS zobowiązuje się do przestrzegania zasad wskazanych w umowie, RODO, przepisach ustawy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych.
3. Placówka medycyny pracy AOS nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
4. Placówka medycyny pracy AOS zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka AOS oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, placówkę AOS posiadające imienne upoważnienie do przetwarzania danych osobowych.
7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę placówkę AOS do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka placówka AOS w swojej siedzibie.
8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę placówkę AOS z osobą wskazaną w ust. 6. Placówka medycyny pracy winna AOS powinna posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
9. Realizator zobowiązuje Placówkęplacówkę AOS, by osoby upoważnione przez nią niego do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z PlacówkąAOS.
10. Placówka AOS ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka AOS zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka AOS przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu Powierzającego, zobowiązuje Placówkę do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.
14. Placówka jest zobowiązana do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka niezwłocznie informuje Realizatora o:
1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;
2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;
3) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią i osoby przez nią upoważnione do przetwarzania danych osobowych, obowiązków dotyczących ochrony danych osobowych.
17. Placówka, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka może je udzielać sukcesywnie bez zbędnej zwłoki.
18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, na wniosek Realizatora, bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi.
19. Placówka pomaga Realizatorowi oraz Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO.
20. Placówka pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
21. Placówka umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21.
23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawo:
1) wstępu, w godzinach pracy Placówki, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
3) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
24. Placówka medycyny pracy zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.
Appears in 1 contract
Samples: Umowa Współpracy
Powierzenie danych osobowych. 1. Administratorem danych ze zbioru Program Operacyjny Wiedza, Edukacja, Rozwój jest Minister właściwy do spraw rozwoju regionalnego (zwany dalej „Powierzającym”). Powierzający w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych Instytucji Pośredniczącej.
2. Na podstawie umowy z dnia 6 maja 2020 24 kwietnia 2019 r. nr POWR.05.01.00-00-0025/190025/18-00 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowychdanych) zwane (dalej jako „RODO”), Realizator umocowany przez Instytucję Pośredniczącą powierza Placówce medycyny pracy POZ przetwarzanie danych osobowych osób uczestniczących Projekcie, w imieniu i na rzecz Powierzającego (tjPowierzającego, na warunkach i celach opisanych w niniejszym paragrafie w ramach zbioru Program Operacyjny Wiedza Edukacja Rozwój.
3. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem Przetwarzanie danych osobowych w odniesieniu do zbioru Program Operacyjny Wiedza Edukacja Rozwój jest minister właściwy do spraw rozwoju regionalnegodopuszczalne na podstawie:
a. rozporządzenia nr 1303/2013;
b. rozporządzenia nr 1304/2013;
c. ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (Dz. U. z 2017 r. poz. 1460, który Instytucji Pośredniczącejz późn. zm.);
4. Powierzone dane osobowe mogą być przetwarzane przez POZ wyłącznie w celu realizacji przedmiotu niniejszej umowy, a przez to w celu realizacji Projektu, w drodze odrębnego Porozumienia zakresie:
a. Dane związane z badaniem kwalifikowalności wydatków w sprawie powierzenia przetwarzania Projekcie:
1 Kwalifikowalność środków w Projekcie zgodnie z Wytycznymi w zakresie kwalifikowalności wydatków w ramach Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego oraz Funduszu Spójności na lata 2014-2020
b. Dane uczestników instytucjonalnych (w tym osób fizycznych prowadzących jednoosobową działalność gospodarczą): Szczegółowy zakres danych osobowych odwzorowany jest w Wytycznych w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020. Dodatkowo:
1 Przynależność do grupy docelowej zgodnie ze Szczegółowym Opisem Osi Priorytetowych Programu Operacyjnego Wiedza Edukacja Rozwój 2014- 2020/zatwierdzonym do realizacji Rocznym Planem Działania/zatwierdzonym do realizacji wnioskiem o dofinansowanie projektu
c. Dane uczestników indywidualnych. Szczegółowy zakres danych odwzorowany jest w Wytycznych w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020. Dodatkowo:
1 Przynależność do grupy docelowej zgodnie ze Szczegółowym Opisem Osi Priorytetowych Programu Operacyjnego Wiedza Edukacja Rozwój 2014- 2020/zatwierdzonym do realizacji Rocznym Planem Działania/zatwierdzonym do realizacji wnioskiem o dofinansowanie projektu
d. Uczestnicy szkoleń, konkursów i konferencji (osoby biorące udział w szkoleniach, konkursach i konferencjach w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.2020, inne niż uczestnicy w rozumieniu definicji uczestnika określonej w Wytycznych w zakresie monitorowania postępu rzeczowego realizacji programów operacyjnych na lata 2014-2020). 1 Imię 2 Nazwisko 3 Nazwa instytucji/organizacji 4 Adres e-mail 5 Telefon 6 Specjalne potrzeby
25. Przy przetwarzaniu danych osobowych Placówka medycyny pracy POZ zobowiązuje się do przestrzegania zasad wskazanych w umowieniniejszym paragrafie, RODO, przepisach ustawy w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych osobowych, dalej: „ustawa o ochronie danych osobowych”, RODO oraz innych przepisów przepisach prawa powszechnie obowiązującego dotyczących dotyczącego ochrony danych osobowych.
36. Placówka medycyny pracy POZ zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
7. POZ ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Powierzającego, za szkody powstałe w związku z nieprzestrzeganiem ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z niniejszą umową.
8. POZ nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
49. Placówka medycyny pracy POZ nie jest umocowany do dalszego powierzenia danych osobowych objętych treścią niniejszej umowy innemu podmiotowi.
10. POZ zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, posiadające imienne upoważnienie do przetwarzania danych osobowych.
7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka w swojej siedzibie.
8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę z osobą wskazaną w ust. 6. Placówka medycyny pracy winna posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
9. Realizator zobowiązuje Placówkę, by osoby upoważnione przez nią do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Placówką.
10. Placówka ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana jest do prowadzenia rejestru POZ prowadzi rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka POZ przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO...
13. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez POZ posiadające imienne upoważnienie do przetwarzania danych osobowych.
14. Realizator, umocowany przez Instytucję Pośredniczącą, umocowuje POZ do wydawania i odwoływania osobom, o których mowa w ust. 13, upoważnień do przetwarzania danych osobowych w zbiorze, o którym mowa w ust. 2. Upoważnienia przechowuje POZ w swojej siedzibie. Wzór upoważnienia do przetwarzania danych osobowych oraz wzór odwołania upoważnienia do przetwarzania danych osobowych zostały określone odpowiednio w załączniku nr 9 i 10 do umowy.
15. Realizator w imieniu Xxxxxxxxxxxxxx zobowiązuje POZ, by osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z POZ.
16. Imienne upoważnienia, o których mowa w ust. 14, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego POZ z osobą wskazaną w ust. 13. POZ winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia zakończenia jej archiwizowania.
17. Realizator, umocowany przez Instytucję Pośredniczącą, w imieniu Powierzającego, Powierzającego zobowiązuje Placówkę POZ do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. z art. 13 i art. 14 RODO.
1418. Placówka W celu zrealizowania, wobec uczestnika Projektu, obowiązku informacyjnego, o którym mowa w art. 13 i art. 14 RODO POZ jest zobowiązana zobowiązany odebrać od uczestnika Projektu oświadczenie, którego wzór stanowi załącznik nr 7 do umowy, a następnie przekazać je Realizatorowi wraz z pozostałą dokumentacją dotyczącą udzielania indywidualnych konsultacji zgodnie z § 10 niniejszej umowy. Zmiana wzoru oświadczenia nie wymaga aneksowania umowy.
19. POZ jest zobowiązany do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
1520. Placówka POZ niezwłocznie informuje Realizatora o:
1) a. wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 1722;
2) b. wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;
3) c. wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 2431.
1621. Placówka POZ zobowiązuje się do udzielenia Realizatorowi, Instytucji Pośredniczącej lub Powierzającemu na każde jego ich żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią niego i osoby przez nią niego upoważnione do przetwarzania danych osobowych, osobowych obowiązków dotyczących ochrony danych osobowych.
1722. PlacówkaPOZ, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi Powierzającemu określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka POZ może je udzielać sukcesywnie bez zbędnej zwłoki.
1823. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora Powierzającego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, POZ na wniosek Realizatora, Realizatora lub Instytucji Pośredniczącej zgodnie z zaleceniami Powierzającego bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator lub Instytucja Pośrednicząca o to wystąpi.
1924. Placówka POZ pomaga Realizatorowi oraz Realizatorowi, Instytucji Pośredniczącej i Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO.
2025. Placówka POZ pomaga Realizatorowi Realizatorowi, Instytucji Pośredniczącej i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
2126. Placówka POZ umożliwi Realizatorowi oraz Realizatorowi, Instytucji Pośredniczącej, Powierzającemu lub podmiotom przez nich upoważnionym, upoważnionym w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
2227. W przypadku powzięcia przez Realizatora Realizatora, Instytucję Pośredniczącą lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę POZ obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego dotyczących ochrony danych osobowych lub z umowy, Placówka POZ umożliwi Realizatorowi, Instytucji Pośredniczącej, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytukontroli, w celu określonym w ust. 2126.
2328. Kontrolerzy Realizatora, Instytucji Pośredniczącej Pośredniczącej, Powierzającego, lub podmiotów przez nich upoważnionych upoważnionych, mają w szczególności prawo:
1a) wstępu, w godzinach pracy PlacówkiPOZ, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, osobowych RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;
2b) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki POZ oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego faktycznego;
c) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
3d) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
29. Uprawnienia kontrolerów Realizatora, Instytucji Pośredniczącej, Powierzającego lub podmiotu przez nich upoważnionego, o których mowa w ust. 24, nie wyłączają uprawnień wynikających z wytycznych w zakresie kontroli wydanych na podstawie art. Placówka medycyny pracy 5 ust. 1 ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (Dz. U. z 2018 r. poz. 1431, z późn. zm.)
30. POZ może zostać poddany kontroli lub audytowi zgodności przetwarzania powierzonych do przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych w miejscach, w których są one przetwarzane przez instytucje uprawnione do kontroli lub audytu na podstawie odrębnych przepisów.
31. POZ zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję PośredniczącąPrzetwarzającą, Powierzającego lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.przepisów
Appears in 1 contract
Samples: Umowa Współpracy
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja z dnia 23 c 2020 r. nr POWR.05.01.00-00-0025/190005/20-00 00/1040/2020/218 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zwane dalej „RODO”” , Realizator powierza Placówce medycyny pracy POZ przetwarzanie danych osobowych osób uczestniczących Projekcieuczestników (imię, nazwisko, adres zamieszkania, nr telefonu, dane o stanie zdrowia),, w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.
2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy POZ zobowiązuje się do przestrzegania zasad wskazanych w umowie, RODO, przepisach ustawy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych.
3. Placówka medycyny pracy POZ nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
4. Placówka medycyny pracy POZ zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka POZ oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, POZ posiadające imienne upoważnienie do przetwarzania danych osobowych.
7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę POZ do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka POZ w swojej siedzibie.
8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę POZ z osobą wskazaną w ust. 6. Placówka medycyny pracy winna POZ winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
9. Realizator zobowiązuje PlacówkęPOZ, by osoby upoważnione przez nią niego do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z PlacówkąPOZ.
10. Placówka POZ ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana POZ zobowiązany jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka POZ przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu PowierzającegoXxxxxxxxxxxxxx, zobowiązuje Placówkę POZ do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.
14. Placówka POZ jest zobowiązana zobowiązany do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka POZ niezwłocznie informuje Realizatora o:
1a) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;,
2b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;,
3c) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka POZ zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią niego i osoby przez nią niego upoważnione do przetwarzania danych osobowych, osobowych obowiązków dotyczących ochrony danych osobowych.
17. PlacówkaPOZ, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka POZ może je udzielać sukcesywnie bez zbędnej zwłoki.
18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, POZ na wniosek Realizatora, Realizatora bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi.
19. Placówka POZ pomaga Realizatorowi oraz Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO.
20. Placówka POZ pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
21. Placówka POZ umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę POZ obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka POZ umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21.
23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawo:
1a) wstępu, w godzinach pracy PlacówkiPOZ, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;,
2b) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki Beneficjenta oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;,
3c) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
24. Placówka medycyny pracy POZ zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.
Appears in 1 contract
Samples: Umowa Współpracy
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja 2020 r. nr POWR.05.01.00-00-0025/190003/20-00 00/1094/2020/474 zawartej pomiędzy Realizatorem a Skarbem Państwa – Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) zwane dalej „RODO”” , Realizator powierza Placówce medycyny pracy MLD przetwarzanie danych osobowych osób uczestniczących Projekcieuczestników (imię, nazwisko, adres zamieszkania, nr telefonu, dane o stanie zdrowia),, w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.
2. Przy przetwarzaniu danych osobowych Placówka medycyny pracy MLD zobowiązuje się do przestrzegania zasad wskazanych w umowie, RODO, przepisach ustawy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych.
3. Placówka medycyny pracy MLD nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
4. Placówka medycyny pracy MLD zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka MLD oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
6. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, MLD posiadające imienne upoważnienie do przetwarzania danych osobowych.
7. Realizator w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę MLD do wydawania i odwoływania osobom, o których mowa w ust. 6, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka MLD w swojej siedzibie.
8. Imienne upoważnienia, o których mowa w ust. 7, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę MLD z osobą wskazaną w ust. 6. Placówka medycyny pracy winna MLD winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
9. Realizator zobowiązuje PlacówkęMLD, by osoby upoważnione przez nią niego do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z PlacówkąMLD.
10. Placówka MLD ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana MLD zobowiązany jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
12. Placówka MLD przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu Powierzającego, zobowiązuje Placówkę MLD do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.
14. Placówka MLD jest zobowiązana zobowiązany do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka MLD niezwłocznie informuje Realizatora o:
1a) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;,
2b) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;,
3c) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka MLD zobowiązuje się do udzielenia Realizatorowi, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią niego i osoby przez nią niego upoważnione do przetwarzania danych osobowych, osobowych obowiązków dotyczących ochrony danych osobowych.
17. PlacówkaMLD, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka MLD może je udzielać sukcesywnie bez zbędnej zwłoki.
18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, MLD na wniosek Realizatora, Realizatora bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi.
19. Placówka MLD pomaga Realizatorowi oraz Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO.
20. Placówka MLD pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
21. Placówka MLD umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
22. W przypadku powzięcia przez Realizatora lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę MLD obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Placówka MLD umożliwi Realizatorowi, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 21.
23. Kontrolerzy Realizatora, Instytucji Pośredniczącej lub podmiotów przez nich upoważnionych mają w szczególności prawo:
1a) wstępu, w godzinach pracy PlacówkiMLD, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;,
2b) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki Beneficjenta oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;,
3c) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
24. Placówka medycyny pracy MLD zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez Realizatora, Instytucję Pośredniczącą, lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisów.
Appears in 1 contract
Samples: Umowa Współpracy
Powierzenie danych osobowych. 1. Na podstawie umowy z dnia 6 maja 2020 r. Działając na mocy upoważnienia, o którym mowa w § 21 ust. 11 Umowy o nr POWR.05.01.00-00-0025/19-00 00- 0013/18 zawartej pomiędzy Realizatorem Zleceniodawcą a Skarbem Państwa Państwa– Ministrem Zdrowia (tj. Instytucją Pośredniczącą) oraz w związku z przepisem Pośredniczącą)oraz mając na uwadze treść art. 28 Rozporządzenia ust 4Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (dalej "RODO")., Zleceniodawca powierza Zleceniobiorcy przetwarzanie danych osobowych) zwane dalej „RODO”, Realizator powierza Placówce medycyny pracy przetwarzanie danych osobowych osób uczestniczących Projekcie, w imieniu i na rzecz Powierzającego (tj. Instytucji Pośredniczącej) na poniżej opisanych warunkach. Jednocześnie administratorem danych osobowych jest minister właściwy do spraw rozwoju regionalnego, który Instytucji Pośredniczącej, w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 powierzył przetwarzanie danych osobowych.
2. Przy przetwarzaniu Niniejsza Umowa stanowi udokumentowane polecenie przetwarzania danych osobowych Placówka medycyny pracy zobowiązuje się do przestrzegania zasad wskazanych osobowych, o którym mowa w umowie, art. 28 ust. 3 lit a RODO, przepisach ustawy dla celów wsparcia i realizacji Umowy o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowychktórej mowa w ust 1, w szczególności do przeprowadzania badań ewaluacyjnych. Cel ten jest adekwatny do realizacji niniejszej Umowy.
3. Placówka medycyny pracy Zleceniobiorca nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
4. Placówka medycyny pracy Zleceniobiorca zobowiązuje się, się przy przetwarzaniu powierzonych danych osobowych, do ich stosownego zabezpieczenia poprzez stosowanie odpowiednich środków technicznych organizacyjnych i organizacyjnych technicznych, zapewniających adekwatny stopień bezpieczeństwa poziom bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.
5. Placówka Zleceniobiorca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało proces przetwarzania spełniał wymogi RODO i chroniło prawa oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 z późn. zm.), a tym samym pozwalał na ochronę praw osób, których dane dotycządotyczą oraz zobowiązuje się do ich przestrzegania.
6. Zleceniobiorca ponosi odpowiedzialność, tak wobec osób trzecich jak i wobec Powierzającego (tj. Instytucji Pośredniczącej), za szkody powstałe w wyniku nieprzestrzegania zasad przetwarzania opisanych w niniejszej Umowie, RODO, Ustawie o ochronie danych osobowych oraz innych przepisów prawa powszechnie obowiązującego.
7. Zleceniodawca w imieniu Powierzającego (tj. Instytucji Pośredniczącej) zobowiązuje Zleceniobiorcę do prowadzenia Rejestru Kategorii Czynności Przetwarzania, zgodnie z wymogami o których mowa w art. 30 ust. 2 RODO.
8. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Placówkę, Zleceniodawcę posiadające imienne upoważnienie do przetwarzania danych osobowych.
79. Realizator Zleceniodawca w imieniu Powierzającego (tj. Instytucji Pośredniczącej) umocowuje Placówkę Zleceniobiorcę do wydawania i odwoływania osobom, o których mowa w ust. 68, imiennych upoważnień do przetwarzania danych osobowych. Upoważnienia przechowuje Placówka w Zleceniobiorca swojej siedzibie.
810. Imienne upoważnienia, o których mowa w ust. 79, są ważne do dnia odwołania, nie dłużej jednak niż do dnia obowiązywania niniejszej umowy. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Placówkę Zleceniobiorcę z osobą wskazaną w ust. 68. Placówka medycyny pracy winna Zleceniobiorca winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia ukończenia realizacji niniejszej umowy.
911. Realizator Zleceniodawca zobowiązuje PlacówkęZleceniobiorcę do zobowiązywania osób, by osoby upoważnione przez nią do przetwarzania danych osobowych zobowiązane zostały o którym mowa w ust. 8, do zachowania w tajemnicy danych osobowych oraz innych informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Placówką.
10. Placówka ponosi odpowiedzialność względem Realizatora, Powierzającego oraz innych osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych.
11. Placówka zobowiązana jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODOze Zleceniodawcą.
12. Placówka przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.
13. Realizator, w imieniu Powierzającego, Zleceniodawca zobowiązuje Placówkę Zleceniobiorcę do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z informacyjnych, o których mowa w art. 13 i art. 14 RODO.
1413. Placówka jest zobowiązana do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.
15. Placówka niezwłocznie informuje Realizatora o:
1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 17;
2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;
3) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 24.
16. Placówka Zleceniobiorca zobowiązuje się do udzielenia Realizatorowi, Zleceniodawcy na każde jego żądanieżądanie lub żądanie Powierzającego (tj. Instytucji Pośredniczącej), informacji na temat przetwarzania danych osobowych, o których mowa w niniejszym paragrafie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez nią niego i osoby przez nią niego upoważnione do przetwarzania danych osobowych, osobowych obowiązków dotyczących ochrony danych osobowych.
1714. Placówka, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Realizatorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Realizatorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Placówka może je udzielać sukcesywnie bez zbędnej zwłoki.
18. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować w ocenie Realizatora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Placówka, na wniosek Realizatora, bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Realizator o to wystąpi.
19. Placówka pomaga Realizatorowi oraz Powierzającemu wywiązać się z obowiązków określonych w art. 32 - 36 RODO.
20. Placówka pomaga Realizatorowi i Powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
21. Placówka Zleceniobiorca umożliwi Realizatorowi oraz Powierzającemu lub podmiotom przez nich upoważnionym, Zleceniodawcy w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z RODO, ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego obowiązującymi a dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
2215. W przypadku powzięcia przez Realizatora Zleceniodawcę lub Powierzającego wiadomości o rażącym naruszeniu przez Placówkę Zleceniobiorcę obowiązków wynikających z ustawy RODO, ustawą o ochronie danych osobowych, RODO, przepisów przepisami prawa powszechnie obowiązującego dotyczącego obowiązującymi a dotyczącymi ochrony danych osobowych lub z umowy, Placówka Zleceniobiorca umożliwi RealizatorowiZleceniodawcy, Powierzającemu lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytukontroli, w celu określonym w ust. 2114.
2316. Kontrolerzy RealizatoraZleceniodawcy, Instytucji Pośredniczącej Powierzającego, lub podmiotów przez nich upoważnionych upoważnionych, mają w szczególności prawo:
1a) wstępu, w godzinach pracy PlacówkiZleceniobiorcy, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;
2b) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Placówki oraz pracowników osobowych w zakresie niezbędnym do ustalenia stanu faktycznego faktycznego;
c) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
3d) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
2417. Placówka medycyny pracy Uprawnienia kontrolerów Zleceniodawcy, Powierzającego lub podmiotów upoważnionych do jej przeprowadzenia, nie wyłączają uprawnień wynikających z wytycznych w zakresie kontroli wydanych na podstawie art. 5 ust. 1 ustawy z dnia 11 lipca 2014r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (Dz. U. z 2017 r. poz. 1460, z późn. zm.).
18. Zleceniobiorca zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez RealizatoraZleceniodawcę, Instytucję Pośredniczącą, Powierzającego lub przez podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych Przepisówprzepisów.
19. Zleceniobiorca zobowiązuje się pomagać Zleceniodawcy oraz Powierzającemu wywiązywać się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania jej praw określonych w Rozdziale III RODO.
20. Zleceniobiorca nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody Powierzającego.
21. Po zakończeniu obowiązywania niniejszej Umowy, Zleceniobiorca zwróci Zleceniodawcy wszelkie dane osobowe oraz usunie ich wszelkie istniejące kopie, chyba że prawo Unii lub przepisy prawa polskiego nakazują przechowywanie tych danych osobowych.
Appears in 1 contract
Samples: Healthcare Agreements