UMOWA PODPOWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (ze zgodą szczegółową na dalsze podpowierzenie danych osobowych) zawarta w dniu …/…/… w ………. pomiędzy:

UMOWA PODPOWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

(ze zgodą szczegółową na dalsze podpowierzenie danych osobowych)

zawarta w dniu …/…/… w ………. pomiędzy:

Fundacją WWF Polska, z siedzibą przy ul. Xxxxxxxxxxx 00, 00-000 Xxxxxxxx, wpisaną do Rejestru Stowarzyszeń Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla miasta stołecznego Warszawy, XIII Wydział Gospodarczy pod numerem KRS: 0000160673, posiadającą NIP: 5213241055 oraz REGON: 015481019, reprezentowaną przez:

Xxxxxxxxx Xxxxxx – Prezesa Zarządu

zwaną dalej „Procesorem”

a

…………………………… zamieszkałą/łym …………………………………., PESEL{ […],

zwanym dalej „Podrocesorem”,

dalej łącznie zwanymi „Stronami” lub pojedynczo „Stroną”.

§1

Definicje

Ilekroć w niniejszej umowie powierzenia przetwarzania danych osobowych mowa o:

1. „Administratorze danych” – Minister Xxxxxxxx ds. rozwoju regionalnego, będący Instytucją Zarządzającą Programu Operacyjnego Infrastruktura i Środowisko 2014-2020,

2. „danych osobowych” – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”),

3. „przetwarzaniu danych” – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,

4. „systemie informatycznym” – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

5. „Umowie” – rozumie się przez to niniejszą umowę powierzenia przetwarzania danych osobowych,

6. „Ustawie o ochronie danych osobowych” – rozumie się przez to Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2018 r., poz. 1000 z późn. zm.),

7. „Ogólnym rozporządzeniu o ochronie danych” lub „RODO” – rozumie się przez to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

8. „organie nadzoru” – rozumie się przez to Prezesa Urzędu Ochrony Danych Osobowych

§2

Przedmiot Umowy

1. Przedmiotem Umowy jest powierzenie Podrocesorowi przez Procesora, przetwarzania danych osobowych, w związku z realizacją umowy nr ………………………………

2. Procesor oświadcza, że jest administratorem danych, o których mowa w §3 ust. 1 Umowy jest Administrator. Procesor zawarł z Administratorem umowę powierzenia przetwarzania danych osobowych z dnia ……………………. r.

3. Procesor powierza Podrocesorowi przetwarzanie danych osobowych, a Procesor zobowiązuje się do ich przetwarzania zgodnego z prawem i Umową.

4. Procesor będzie przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w Umowie, przez okres nie dłuższy niż realizacja Umowy.

§3

Powierzenie przetwarzania danych osobowych

1. Procesor powierza Podrocesorowi przetwarzanie danych osobowych związanych z realizacją umowy wskazanej w §2 ust. 1. Strony oświadczają, że Procesor dokonał weryfikacji Podprocesora, o której mowa w art. 28 ust. 1. Podprocesor oświadcza, że spełnia wymogi Procesora i RODO w zakresie przetwarzania danych osobowych i zapewnia odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych.

2. Zakres powierzonych do przetwarzania danych osobowych obejmuje następujące kategorie danych: imię, nazwisko, email, numer telefonu, PESEL, adres zamieszkania.

3. Rodzaj powierzonych danych nie obejmuje tzw. szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

4. Celem powierzenia przetwarzania danych osobowych jest umożliwienie prawidłowej realizacji umowy, o której mowa w §2 ust. 1 Umowy, w szczególności wykonywanie zadań związanych z realizacją Programu Operacyjnego Infrastruktura i Środowisko 2014 – 2020 i umowy o dofinansowanie, której stroną jest Procesor i Administrator Danych.

5. Procesor, w zakresie realizacji celu określonego w ust. 4 powyżej, jest uprawniony do wykonywania następujących operacji na danych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, udostępnienie, usuwanie, niszczenie.

6. Przetwarzanie powierzonych danych odbywać się będzie formie papierowej i przy wykorzystaniu systemów informatycznych.

7. Podprocesor jest zobowiązany do realizacji w imieniu i na rzecz Administratora oraz Procesora obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. Treść klauzuli informacyjnej stanowi załącznik nr 1 do umowy. Klauzula informacyjna będzie przekazywana przez Podporcesora najpóźniej w chwili pozyskania danych za pośrednictwem środków komunikacji na odległość, np. poprzez wysłanie e-maila zwrotnego, wskazania klauzuli na stronie internetowej, etc.

§4

Obowiązki Podprocesora

1. Podprocesor będzie przetwarzał powierzone mu dane osobowe na warunkach i zgodnie z treścią obowiązujących w tym zakresie przepisów prawa. W szczególności przetwarzanie powierzonych danych odbywało się będzie w zgodzie z postanowieniami: Ogólnego rozporządzenia o ochronie danych, Ustawy o ochronie danych osobowych oraz innych właściwych w zakresie przetwarzania danych osobowych przepisów prawa.

1. W związku z powierzeniem przetwarzania danych osobowych Podprocesor zobowiązuje się do:

   1. przetwarzania danych osobowych wyłącznie na podstawie Umowy lub inne udokumentowane polecenie Procesora za jakie uważa się polecenie przekazane drogą pisemną lub elektroniczną,

   2. zapewnienia by osoby przetwarzające dane osobowe otrzymały pisemne upoważnienie i zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,

   3. podjęcia wszelkich środków gwarantujących bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym x.xx. do wdrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednich środków technicznych i organizacyjnych, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku, w tym między innymi w stosownym przypadku:

      1. pseudonimizacji i szyfrowania danych osobowych,

      2. zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

      3. zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

      4. regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

   4. przestrzegania określonych w §6 Umowy warunków dalszego podpowierzenia przetwarzania danych osobowych innemu podmiotowi,

   5. aktywnej współpracy z Procesorem przez cały okres trwania powierzenia przetwarzania danych osobowych, która w szczególności polega na tym, iż Podrocesor biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będzie pomagał Administratorowi wywiązywać się z obowiązków względem osób, których dane dotyczą oraz, uwzględniając charakter przetwarzania oraz dostępne mu informacje, będzie pomagał Procesorowi wywiązywać się z obowiązków w zakresie zagwarantowania bezpieczeństwa danych osobowych;

   6. prowadzenia rejestru kategorii kategorii czynności przetwarzania oraz innej dokumentacji, spełniającej wymagania określone dla środków organizacyjnych i technicznych, o których mowa w art. 24 RODO;

   7. przechowywanie dokumentów w sposób zapewniający bezpieczeństwo przed utratą, zabraniem, zniszczeniem, a także naruszeniem praw osób, których dane dotyczą.

2. Podprocesor zobowiązuje się niezwłocznie (nie później niż w ciągu 12 h) zawiadomić Procesora o:

   1. każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia Procesora wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,

   2. każdym nieupoważnionym dostępie do danych osobowych,

   3. każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba, że zostanie do tego pisemnie upoważniony przez Procesora.

3. Podprocesor, na każdy pisemny wniosek Procesora, zobowiązany jest do udzielenia kompleksowej, pisemnej odpowiedzi, na skierowane przez Procesora pytania dotyczące kwestii związanych z przetwarzaniem powierzonych danych osobowych.

4. Odpowiedzi, o której mowa w ust. 4 powyżej, Podprocesor udzieli niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania wniosku Procesora.

5. W przypadku wystąpienia incydentu zagrażającego bezpieczeństwu powierzonych do przetwarzania danych osobowych, tj. w szczególności wystąpienia lub podejrzenia wystąpienia któregokolwiek z: kradzieży, nieuprawnionego dostępu lub wykorzystania, ujawnienia, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych lub jakiegokolwiek innego niewłaściwego lub bezprawnego przetwarzania powierzonych danych osobowych, Podprocesor jest zobowiązany:

   1. niezwłocznie po powzięciu wiadomości o incydencie, jednak w każdym przypadku nie później niż w ciągu dwudziestu czterech (24) godzin od powzięcia takiej wiadomości, powiadomić Procesora o takim incydencie, a w szczególności przekazać mu informacje dotyczące:

      1. daty i miejsca incydentu,

      2. kategorii danych oraz przybliżonej liczby osób, których dotyczy incydent,

      3. opisu incydentu,

      4. możliwych konsekwencji incydentu,

      5. ewentualnego podjęcia środków zaradczych,

   2. zapewnić pomoc i przekazać dalsze informacje, które mogą być zasadnie wymagane przez Procesora w związku z tym incydentem,

   3. niezwłocznie po powzięciu wiadomości o incydencie podjąć wszelkie zasadne starania w celu przeprowadzenia dochodzenia w sprawie incydentu jak również usunięcia przyczyn oraz jego skutków, z zastrzeżeniem, że Podprocesor dołoży takich starań wyłącznie na polecenie Procesora wydane po powiadomieniu Procesora o incydencie, oraz

   4. wyłącznie, jeżeli zostanie to uprzednio zaakceptowane na piśmie przez Procesora, powiadomić o incydencie osoby, na które incydent miał wpływ.

§5

Prawo kontroli

1. Procesor ma prawo do kontroli przetwarzania przez Podprocesora powierzonych mu danych osobowych z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami Umowy w postaci audytu realizowanego przez Procesora lub audytora upoważnionego przez Procesora.

2. Informacja o terminie i zakresie audytu, o którym mowa w ust. 1 powyżej, będzie przekazana Podprocesorowi z co najmniej 24-godzinnym wyprzedzeniem.

3. Podprocesor umożliwia Procesorowi lub audytorowi upoważnionemu przez Procesora, przeprowadzanie audytu, o którym mowa w ust. 1 i przyczynia się do niego. W szczególności, Popdrocesor zobowiązany jest udostępnić wgląd do wszystkich materiałów oraz systemów, w których realizowane jest przetwarzanie danych Procesoraoraz umożliwić dostęp do pracowników zaangażowanych w ich przetwarzanie.

4. Procesor lub audytor upoważniony przez Procesora, przed rozpoczęciem czynności audytowych podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu, w tym danych osobowych, których administratorem danych jest Procesor.

§6

Dalsze podpowierzenie i transfer do państw trzecich

1. Procesor ma prawo dalszego podpowierzania danych osobowych, o których mowa w §3 ust. 1 Umowy, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w §3 ust. 4 Umowy, wyłącznie po uzyskaniu pisemnej zgody Procesora.

2. Jeżeli do wykonania w imieniu Xxxxxxxxx konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, zobowiązuje się on do tego, że:

1. będzie korzystał wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by dokonywane przez nie przetwarzanie danych osobowych spełniało wymogi Ogólnego rozporządzenia o ochronie danych,

2. na ten inny podmiot przetwarzający, w drodze zawartej pomiędzy tym podmiotem a Procesorem umowy, nałożone zostaną te same obowiązki ochrony danych jak w §4 Umowy, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych, a także prawo do umożliwienia przeprowadzenia przez Procesora u tych podmiotów kontroli na zasadach określonych w § 5 Umowy.

1. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Procesora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Podrocesorze.

2. Podprocesor na każde żądanie Procesora, jest zobowiązany do przedstawienia aktualnej listy innych podmiotów przetwarzających, którym podpowierzył powierzone mu przez Procesora dane osobowe. Podprocesor zobowiązuje się do prowadzenia pisemnego wykazu podmiotów, którym podpowierzył dane osobowe. Wykaz ma zawierać co najmniej nazwę podpowierzającego, nazwę i adres dalszego podprocesora, jego status (wykonawca, ekspert, trener, etc., datę zawarcia umowy podpowierzenia, datę zakończenia jej obowiązywania. Wykaz ten ma być prowadzony na bieżąco i przekazywany Procesorowi nie rzadziej niż raz na kwartał lub na każde żądanie Procesora.

3. Podrocesor nie może przekazywać danych osobowych do państwa trzeciego tj. kraju znajdującego się poza Europejskim Obszarem Gospodarczym, chyba że Procesor wyrazi na to pisemną zgodę. Po udzieleniu przez Administratora zgody na przekazanie danych osobowych do państwa trzeciego, Procesor może dokonać takiego transferu danych wyłącznie w przypadku gdy:

1. stwierdzone zostało w drodze decyzji Komisji Europejskiej, że docelowe państwo trzecie zapewnia adekwatny poziom ochrony danych osobowych, lub

2. zapewnione zostały inne środki, które zgodnie z obowiązującymi przepisami legalizują transfer danych do tego państwa trzeciego takie jak: prawnie wiążący i egzekwowalny instrument, wiążące reguły korporacyjne, standardowe klauzule przyjęte przez Komisję Europejską, standardowe klauzule przyjęte przez organ nadzorczy, kodeksy postępowań; mechanizm certyfikacji.

§7

Odpowiedzialność Podrocesora

1. Podprocesor jest odpowiedzialny za wszelkie szkody będące następstwem przetwarzania powierzonych mu danych osobowych, w sposób sprzeczny z Umową lub obowiązującymi przepisami prawa, w szczególności powstałych w wyniku udostępnienia danych osobom nieupoważnionym.

2. W przypadku wystąpienia okoliczności stanowiących niewykonanie lub niewłaściwe wykonanie przez Podprocesora jego zobowiązań wynikających z Umowy, Procesor wezwie Podrocesora do usunięcia uchybień w wyznaczonym terminie. W razie niezastosowania się przez Podprocesora do wydanych przez procesora wytycznych, Procesor będzie uprawniony do żądania zapłaty kary umownej w wysokości 15 000.00 zł (słownie: piętnaście tysięcy złotych) za każdy przypadek stwierdzonej nieprawidłowości.

3. Jeżeli podobne nieprawidłowości zostaną ujawnione ponownie, Procesor jest uprawniony do żądania zapłaty kary umownej bez wyznaczania terminu do ich usunięcia.

4. Kara umowna płatna będzie na podstawie noty obciążeniowej w terminie 14 dni od daty jej doręczenia.

5. W przypadku, gdy w wyniku naruszenia przez Podrocesora postanowień Umowy lub obowiązujących przepisów prawa (z przyczyn leżących po jego stronie), Procesor zostanie zobowiązany do wypłaty odszkodowania lub zadośćuczynienia, zapłaty kary grzywny, administracyjnej kary pieniężnej, Podrocesor zobowiązuje się do pokrycia wszelkich wynikających z tego tytułu kosztów jakie Procesor poniesienie lub jakie będzie zobowiązany ponieść, w tym również kosztów postępowania sądowego lub sądowo-administracyjnego.

6. Procesorowi przysługuje względem Podprocesora prawo do dochodzenia na zasadach ogólnych odszkodowania przewyższającego zastrzeżoną karę umowną – do pełnej wysokości poniesionej szkody.

§8

Usunięcie lub zwrot danych osobowych

1. Zależnie od decyzji Administratora w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia Umowy, Procesor jest zobowiązany do usunięcia lub zwrotu wszelkich powierzonych mu danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba, że obowiązujące przepisy prawa nakazują przechowywanie tych danych osobowych. Usunięcie / zwrot danych zostaną stwierdzone stosownym protokołem, w sposób i na zasadach określonych przez Administratora.

2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.

§9

Czas trwania i wypowiedzenie Umowy

1. Umowa zawarta jest na czas określony odpowiadający okresowi umowy, o której mowa w §2 ust. 1 Umowy.

2. Procesor ma prawo wypowiedzieć Umowę w trybie natychmiastowym, gdy Podprocesor:

   1. wykorzystał dane osobowe w sposób niezgodny z Umową,

   2. wykonuje Umowę niezgodnie z obowiązującymi w tym zakresie przepisami prawa,

   3. nie zaprzestał niewłaściwego przetwarzania danych osobowych,

   4. zawiadomił o swojej niezdolności do wypełnienia Umowy, a w szczególności wymagań określonych w §4 Umowy.

3. Wypowiedzenie Xxxxx przez Procesora nie zwalnia Podprocesora od zapłaty ewentualnej kary umownej i odszkodowania.

4. Jeżeli jedna ze Stron rażąco narusza zobowiązania wynikające z Umowy, druga Strona może wypowiedzieć Umowę ze skutkiem natychmiastowym oraz żądać naprawienia szkody poniesionej na skutek takiego naruszenia.

§10

Pozostałe postanowienia

1. Przetwarzanie danych dozwolone jest wyłącznie w celu określonym w §3 ust. 4 Umowy. Wykorzystanie przez Procesora danych Administratora w celach innych niż określone Umową wymaga każdorazowo uprzedniej, pisemnej zgody Administratora.

2. Zasady komunikacji między Stronami:

1. W przypadku komunikacji w formy pisemnej – doręczenie pocztą (listem poleconym), pocztą kurierską lub osobiście na adresy podane w komparycji Umowy,

2. W przypadku komunikacji w formie elektronicznej – na następujące adresy email:

   1. ze strony Procesora: email xxxxxxx@xxx.xx

   2. ze strony Podprocesora: email …

3. Zmiana danych, o których mowa w ust. 2 pkt 2.2. powyżej nie stanowi zmiany Umowy i wymaga jedynie pisemnego poinformowania drugiej Strony. Do czasu otrzymania informacji o zmianie danych za prawidłowe dane do kontaktów uznaje się dane dotychczasowe.

4. Doręczenia dokonane na zasadach określonych w ust. 2 powyżej uznaje się za prawidłowe z chwilą dojścia do adresata. Bez względu na potwierdzenie dotarcia oświadczenia do adresata uznaje się, że oświadczenie doszło do tego adresata po upływie 14 dni od dnia wysłania przez nadawcę.

§11

Postanowienia końcowe

1. Strony wspólnie postanawiają, że Umowa zastępuje wszelkie dotychczasowe uzgodnienia w zakresie przetwarzania danych osobowych związane ze świadczeniem przez Podprocesora usług na rzecz Procesora na podstawie umowy, o której mowa w §2 ust. 1 Umowy, w zakresie wspólnej realizacji projektu.

2. W sprawach nieuregulowanych postanowieniami Umowy zastosowanie będą mieć właściwe przepisy prawa.

3. Wszelkie zmiany, uzupełnienia lub rozwiązanie Umowy wymagają zachowania formy pisemnej pod rygorem nieważności, z zastrzeżeniem, tych sytuacji w których Umowa wprost przewiduje możliwość dokonywania zmian w innej formie.

4. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji Umowy dążyć będą do polubownego ich załatwienia. W przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo według właściwości ogólnej.

5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

Podprocesor:
______________________ Procesor:

____________________

9 z 9