UMOWA nr … POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6 do zaproszenia
UMOWA nr …
POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu …………………………….. r. w pomiędzy:
Szczecińskim Stowarzyszeniem „Złoty Wiek” z siedzibą w Szczecinie (70-606) przy xx. Xxxxxxxxxx Xxxxxxxxxxxxxxx 0,
REGON: 812592294,
NIP: 8522384067,
KRS: 0000150556,
reprezentowanym przez
Panią Xxxxxxxxx Xxxxxxx – Prezesa Zarządu,
Panią Xxxxxxxxxx Xxxxxxxxxx Kryszak – Członka Zarządu, zwanym dalej „Zamawiającym”,
a
Komparycja nr 1
…………………………………………………... (pełna nazwa wykonawcy),
…………………………………………………… (adres siedziby wykonawcy),
…………………………………………………….(REGON),
…………………………………………………….(NIP),
…………………………………………………….(KRS), reprezentowanym przez
Xxxx/Xxxxx (imię i nazwisko, stanowisko),
zwanym dalej „Wykonawcą”. lub
Komparycja nr 21
Panią/ Panem ……………………………………
zamieszkałą/łym w …………………….., ul. ………………………
legitymującą się dowodem osobistym serii ………………………………..
PESEL ……………………………………………….
Urząd Skarbowy w …………………….. adres: ………………………………………
Data urodzenia: …………………………….. r., miejsce urodzenia: ……………………
Imiona rodziców: ……………………………….
zwanym dalej „Wykonawcą”,
1 Komparycja 2 dotyczy Wykonawców będących osobami fizycznymi nie prowadzącymi działalności
gospodarczej.
Xxxxxxx w umowie jest mowa o:
§ 1.
Pojęcia użyte w umowie
1) „danych osobowych” oznacza to dane osobowe w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które muszą być przetwarzane przez Instytucję Pośredniczącą oraz Stowarzyszenie w celu wykonania Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacja Regionalnego Programu Operacyjnego Województwa Zachodniopomorskiego 2014-2020 zawartego w dniu 6 maja 2015 r.
2) „Instytucją Zarządzającą” oznacza to Zarząd Województwa Zachodniopomorskiego, który jako administrator powierzył Instytucji Pośredniczącej w drodze odrębnego Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Regionalnego Programu Operacyjnego Województwa Zachodniopomorskiego 2014-2020 przetwarzanie danych osobowych ze zbioru Projekty RPO WZ 2014-2020.
3) „RODO” oznacza to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).
4) „ustawa o ochronie danych osobowych” oznacza to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781).
5) „Instytucji Pośredniczącej” oznacza to Wojewódzki Urząd Pracy w Szczecinie, xx. Xxxxx Xxxxxxxxxxx 00, 00-000 Xxxxxxxx.
6) "Umowie o dofinansowanie" oznacza to umowę podpisaną pomiędzy Instytucją Pośredniczącą a Powiatem Polickim z dnia 10.11.2017r.,nr: RPZP.07.06.00-32-K005/17-00 wraz ewentualnymi aneksami na realizację projektu pn. „Regionalne Centrum Wsparcia Osób Niesamodzielnych w Policach”.
§ 2.
Zakres i cel przetwarzania danych
1. Na podstawie Porozumienia w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Regionalnego Programu Operacyjnego Województwa Zachodniopomorskiego 2014 – 2020 z dnia 17.09.2015 nr WEP/ZP/DO/2015 z późn. zm., zawartego pomiędzy Instytucją Zarządzającą a Instytucją Pośredniczącą oraz w związku z art. 28 RODO oraz umowy o dofinansowanie realizacji projektu pn. „Regionalne Centrum Wsparcia Osób Niesamodzielnych w Policach” Stowarzyszenie powierza Wykonawcy przetwarzanie danych osobowych w imieniu i na rzecz Instytucji Zarządzającej, na warunkach opisanych w niniejszej umowie w ramach zbioru: Projekty RPO WZ 2014- 2020.
2. Przetwarzanie danych osobowych w odniesieniu do zbioru Projekty RPO WZ 2014-2020 jest dopuszczalne na podstawie:
1) rozporządzenia nr 1303/2013;
2) rozporządzenia 1304/2013;
3) ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014 – 2020 (Dz. U. z 2017 r. poz. 1460 z późn. zm.).
3. Przetwarzanie danych osobowych w zbiorze, o którym mowa w ust. 1 jest zgodne z prawem i spełnia warunki, o których mowa w art. 6 ust. 1 lit. c RODO oraz art. 9 ust. 2 lit. g RODO.
4. Powierzone dane osobowe mogą być przetwarzane przez Wykonawcę wyłącznie w celu realizacji umowy nr RPZP.07.06.00-32-K005/17-00 z dnia 10.11.2017r, dotyczącej udzielenia wsparcia Uczestnikom Projektu, w ramach projektu pn. „Regionalne Centrum Wsparcia Osób Niesamodzielnych w Policach”.
5. W ramach zbioru o którym mowa w ust. 1 Wykonawca będzie przetwarzał wyłącznie następujące dane osobowe Uczestników Projektu:
1) Imię i nazwisko,
2) Adres zamieszkania,
3) nr PESEL,
6. Wykonawca nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
§ 3.
Sposób wykonania umowy w zakresie przetwarzania danych osobowych
1. Wykonawca zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o którym mowa w art. 32 RODO.
2. Wykonawca zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
3. Wykonawca ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec administratora, za szkody powstałe w związku z nieprzestrzeganiem ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową.
4. Przy przetwarzaniu danych osobowych Wykonawca zobowiązuje się do przestrzegania zasad wskazanych w niniejszej umowie, w ustawie o ochronie danych osobowych, RODO oraz innych przepisach prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych.
7. Wykonawca w związku z realizacją niniejszej umowy ma obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.
8. Wykonawca przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzania danych osobowych, które uwzględniają warunki przetwarzania w szczególności tej, o których mowa w art. 32 RODO.
§ 4.
Osoby upoważnione do przetwarzania danych
1. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Wykonawcę, posiadające imienne upoważnienie do przetwarzania danych osobowych.
2. Stowarzyszenie w imieniu Instytucji Pośredniczącej i Instytucji Zarządzającej umocowuje Wykonawcę do wydawania i odwoływania osobom o których mowa w ust. 1, imiennych upoważnień do przetwarzania danych osobowych w zbiorze, o którym mowa w § 1 ust. 1. Upoważnienie przechowuje Wykonawca w swojej siedzibie.
3. Wykonawca zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust. 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich przez Wykonawcę, jak i po ustaniu stosunku prawnego łączącego osobę upoważnioną z Wykonawcą.
4. Imienne upoważnienia, o których mowa w ust. 1 są ważne do dnia odwołania. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Wykonawcę z osobą wskazaną w ust. 1.
5. Wykonawca niezwłocznie informuje Stowarzyszenie o:
1) Wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 7.
2) Wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzony w szczególności przez Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem.
3) Wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń o których mowa w § 5 ust. 6.
6. Wykonawca zobowiązuje się do udzielenia Stowarzyszeniu, Instytucji Pośredniczącej lub Instytucji Zarządzającej, na każde ich żądanie, informacji na temat przetwarzania danych osobowych,
o których mowa w niniejszej umowie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego i osoby przez niego upoważnione do przetwarzania danych osobowych obowiązków dotyczących ochrony danych osobowych.
7. Wykonawca, bez zbędnej zwłoki, nie później jednak, niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Stowarzyszeniu każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Instytucji Zarządzającej określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Wykonawca może je udzielać sukcesywnie bez zbędnej zwłoki.
8. Wykonawca pomaga Stowarzyszeniu wywiązać się z obowiązków określonych w art. 32-36 RODO.
§ 5.
Prawo kontroli
1. Wykonawca umożliwi Stowarzyszeniu, Instytucji Pośredniczącej, Instytucji Zarządzającej lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.
2. W przypadku powzięcia przez Stowarzyszenie, Instytucję Pośredniczącą lub Instytucję Zarządzającą wiadomości o rażącym naruszeniu przez Wykonawcę obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczących ochrony danych osobowych lub z niniejszej umowy, Wykonawca umożliwi Stowarzyszeniu, Instytucji Pośredniczącej lub Instytucji Zarządzającej lub podmiotom przez nie upoważnionych dokonanie niezapowiedzianej kontroli lub audytu, w celu określonym w ust. 1
3. Kontrolerzy Stowarzyszenia, Instytucji Pośredniczącej, Instytucji Zarządzającej lub podmiotom przez nie upoważnionym mają w szczególności prawo:
1) Wstępu, w godzinach pracy Wykonawcy, za okazaniem imiennego upoważnienia do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz niniejszą umową.
2) Żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Wykonawcy oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego.
3) Wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii.
4) Przeprowadzania oględzin, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
4. Uprawnienia kontrolerów Stowarzyszenia, Instytucji Pośredniczącej, Instytucji Zarządzającej lub podmiotu przez nich upoważnionego, o których mowa w ust 1, nie wyłączają uprawnień wynikających z wytycznych w zakresie kontroli wydanych na podstawie art. 5 ust. 1 ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów z zakresie polityki spójności finansowanych w perspektywie finansowej 2014 – 2020 (Dz. U. z 2017 ., poz. 1460 z późn. zm.).
5. Wykonawca może zostać poddany kontroli lub audytowi zgodności przetwarzania powierzonych do przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych w miejscach, w których są one przetwarzane przez instytucje uprawnione do kontroli na podstawie odrębnych przepisów.
6. Wykonawca zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzonych w wyniku kontroli i audytu przeprowadzonych przez Stowarzyszenie, Instytucję Pośredniczącą, Instytucję Zarządzającą lub inne
podmioty przez nie upoważnione albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
§ 6.
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron.
2. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz RODO.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla siedziby Stowarzyszenia.
4. Podmiotem właściwym do rozpatrywania skarg w przedmiocie przetwarzania danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych.
……………………………… | ……………………………… |
Pieczęć Wykonawcy | Pieczęć Stowarzyszenia |
……………………………… | ……………………………… |
Podpis Wykonawcy | Prezes Zarządu Członek Zarządu |