UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NR ...

Załącznik Nr 4 do Załącznika 6b_Projekt umowy Zadanie 2 – Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH NR ...

Zawarta w dniu [… ] r. w Gdańsku pomiędzy:

Gminą Miasta Gdańska ul. Nowe Ogrody 8/12 ; 00-000 Xxxxxx; NIP: 583001969, w imieniu której działa: Gdański Ośrodek Promocji Zdrowia z siedzibą w Gdańsku, przy ul. Kołobrzeskiej 61, kod pocztowy 80-397, NIP: 584 20 18 701, REGON: 191011538, reprezentowany przez Xxxxx Xxxxxxxxxxxx – Dyrektora, (Zarządzenie nr 847/19 Prezydenta Miasta Gdańska z dnia 3 czerwca 2019 roku w sprawie udzielenia pełnomocnictwa szczególnego dla dyrektora Gdańskiego Ośrodka Promocji Zdrowia, do realizacji projektu:

„Gdański Program Profilaktyki Cukrzycy – program polityki zdrowotnej dotyczący prewencji cukrzycy typu 2 u osób w wieku aktywności zawodowej na terenie Miasta Gdańska i Gminy Stegna”)

zwaną dalej: „Działającym w imieniu Powierzającego – Instytucji Zarządzającej” a

.............................................................................… z siedzibą …………………………………………..

NIP,…………………………..

KRS/inny Rejestr ……………………………………………………………………………..…………

zwanym/ą dalej: „Podmiotem przetwarzającym”.

§ 1

OŚWIADCZENIA

1. Działający w imieniu Powierzającego – Instytucji Zarządzającej oświadcza, że:

1) realizuje Projekt pn. „Gdański Program Profilaktyki Cukrzycy – program polityki zdrowotnej dotyczącej prewencji cukrzycy typu 2 u osób w wieku aktywności zawodowej na terenie Miasta Gdańska i Gminy Stegna” w ramach Osi Priorytetowej 05. Zatrudnienie, Działania 05.04. Poddziałania 05.04.01 Zdrowie na rynku pracy – mechanizm ZIT Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata 2014-2020 (zwany dalej: „Projektem”) oraz zapewnia, że brak jest jakichkolwiek przeszkód prawnych lub faktycznych, które uniemożliwiałyby zawarcie przez Zamawiającego niniejszej umowy. Zamawiający oświadcza, że Beneficjentem Projektu jest Gmina Miasta Gdańska, zaś Instytucją Zarządzającą (zwaną dalej: „Instytucją Zarządzającą”) - Zarząd Województwa Pomorskiego;

2) w zakresie ochrony danych osobowych działa w oparciu i na podstawie zapisów § 21 Umowy nr RPPM.05.04.01-22-0001/18-00 o dofinansowanie Projektu współfinansowanego ze środków Europejskiego Funduszu Społecznego w ramach Regionalnego Programu Operacyjnego dla Województwa Pomorskiego na lata 2014-2020, zawartej w dniu 16.07.2019 r. pomiędzy Województwem Pomorskim, xx. Xxxxxxx 00/00, 00-000 Xxxxxx, reprezentowanym przez Zarząd Województwa Pomorskiego pełniący funkcję Instytucji Zarządzającej XXX XX 0000-0000 a Gminą Miasta Gdańska z siedzibą w Gdańsku, ul. Nowe Ogrody 8/12, 80-803 Xxxxxx, XXX 0000000000, REGON 191675570.

§ 2

PRZEDMIOT UMOWY

1. Na podstawie umowy, o której mowa w § 1 ust. 1 pkt 2 niniejszej Umowy oraz w trybie art. 28 ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L Nr 119, str. 1) (dalej: „RODO”),działający w imieniu Powierzającego – Instytucji Zarządzającej powierza

Podmiotowi przetwarzającemu przetwarzanie danych osobowych, w imieniu i na rzecz Powierzającego (tj. Instytucji Zarządzającej) na zasadach, w zakresie i w celu określonym w niniejszej Umowie.

2. Podmiot przetwarzający nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.

§ 3

PRAWA I OBOWIĄZKI

1. Podmiot przetwarzający zobowiązuje się przetwarzać, powierzone na podstawie Umowy dane osobowe wskazane w art. 4 pkt 1 RODO oraz w art. 9 ust. 1 RODO, na zasadzie określonej w art. 9 ust. 2a RODO, a dotyczące osób zgłaszających się do programu zdrowotnego realizowanego przez Podmiot przetwarzający w ramach Umowy z dnia , do której niniejsza Umowa stanowi

Załącznik nr 4 oraz uczestników programu, w tym w szczególności stanu zdrowia wskazanych osób.

2. Do przetwarzanych przez Podmiot przetwarzający danych osobowych mogą należeć dane takie jak w szczególności: imię i nazwisko, PESEL, seria i numer dowodu osobistego, płeć, wiek w chwili przystępowania do projektu, wykształcenie, adres zamieszkania (województwo, powiat, gmina, miejscowość, ulica, nr budynku, nr lokalu, kod pocztowy), obszar według stopnia urbanizacji (DEGURBA), telefon kontaktowy, adres e-mail, data rozpoczęcia udziału w projekcie, data zakończenia udziału w projekcie, status osoby na rynku pracy w chwili przystąpienia do projektu, wykonywany zawód, miejsce pracy, sytuacja osoby w momencie zakończenia udziału w projekcie, przynależność do grupy docelowej zgodnie XXX XX 0000-0000/ zatwierdzonym do realizacji wnioskiem o dofinansowanie projektu, data urodzenia, imiona rodziców/opiekunów, osoba z niepełnosprawnościami, dane dotyczące stanu zdrowia.

3. Powierzone przez Administratora dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu realizacji Umowy z dnia …………………..…., do której niniejsza Umowa stanowi Załącznik nr 4.

4. Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania, zobowiązuje się, w miarę możliwości pomagać Działającemu w imieniu Powierzającego – Instytucji Zarządzającej, poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych wart. 12-22 RODO.

5. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Działającego w imieniu Powierzającego – Instytucji Zarządzającej, o jakimkolwiek żądaniu związanym z przetwarzanymi danymi osobowymi, otrzymanym od osób, których dane dotyczą. Podmiot przetwarzający przesyła Działającemu w imieniu Powierzającego – Instytucji Zarządzającej projekt udzielenia odpowiedzi na to żądanie. Jeżeli Działający w imieniu Powierzającego – Instytucji Zarządzającej nie wniesie uwag do przygotowanej odpowiedzi w terminie 7 (słownie: siedmiu) dni od daty jej otrzymania, Podmiot przetwarzający będzie uprawniony do wysłania odpowiedzi do osoby, której dane dotyczą, z zachowaniem terminów określonych w art. 12 RODO.

6. Podmiot przetwarzający jest zobowiązany do podjęcia wszelkich kroków służących zachowaniu poufności danych osobowych przetwarzanych przez mających do nich dostęp pracowników upoważnionych do przetwarzania danych osobowych, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu. Podmiot przetwarzający zobowiązuje się, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagać Działającemu w imieniu Powierzającego – Instytucji Zarządzającej wywiązywać się z obowiązków określonych w art. 32-36 RODO.

7. Podmiot przetwarzający niezwłocznie informuje Działającego w imieniu Powierzającego – Instytucji Zarządzającej o:

1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu ochrony danych osobowych powierzonych do przetwarzania, co oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; oraz naruszeniu obowiązków dotyczących ochrony danych osobowych powierzonych do przetwarzania niniejszą umową. Zgłoszenie musi zawierać wszystkie elementy określone w art. 33 ust. 3 RODO oraz informacje umożliwiające określenie, czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych,

2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, organami nadzorczymi, urzędami państwowymi, policją lub przed sądem,

3) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń, o których mowa w ust. 23.

8. Podmiot przetwarzający zobowiązuje się do udzielenia Działającemu w imieniu Xxxxxxxxxxxxxx – Instytucji Zarządzającej, na każde jego żądanie, informacji na temat przetwarzania danych osobowych, o których mowa w niniejszej umowie, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego oraz podmioty, z którymi współpracuje przy realizacji Umowy z dnia …………………..…., do której niniejsza Umowa stanowi Załącznik nr 4 obowiązków dotyczących ochrony danych osobowych.

9. Podmiot przetwarzający umożliwi ministrowi właściwemu ds. rozwoju regionalnego, Instytucji Zarządzającej lub podmiotom przez nie upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie audytu lub kontroli zgodności przetwarzania powierzonych danych osobowych z umową, RODO, ustawą o ochronie danych, lub z innymi przepisami prawa w zakresie zgodności z ochroną danych. Zawiadomienie o zamiarze przeprowadzenia audytu lub kontroli powinno być przekazane Podmiotowi przetwarzającemu co najmniej 5 (słownie: pięć) dni kalendarzowych przed rozpoczęciem audytu lub kontroli.

10. W przypadku powzięcia przez ministra właściwego ds. rozwoju regionalnego lub Instytucję Zarządzającą wiadomości o rażącym naruszeniu przez Podmiot przetwarzający obowiązków wynikających z umowy, RODO, ustawy o ochronie danych lub z innych przepisów prawa w zakresie zgodności z ochroną danych, Podmiot przetwarzający umożliwi ministrowi właściwemu ds. rozwoju regionalnego, Instytucji Zarządzającej lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianego audytu lub kontroli.

11. Kontrolerzy ministra właściwego ds. rozwoju regionalnego, Instytucji Zarządzającej, lub podmiotów przez nich upoważnionych, mają w szczególności prawo:

1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczeń, w których jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z umową, RODO, ustawą o ochronie danych oraz z innymi przepisami prawa w zakresie zgodności z ochroną danych,

2) żądania złożenia pisemnych lub ustnych wyjaśnień przez pracowników w zakresie niezbędnym do ustalenia stanu faktycznego,

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,

4) przeprowadzania oględzin urządzeń i nośników służących do przetwarzania danych osobowych.

12. Podmiot przetwarzający zobowiązuje się zastosować do zaleceń dotyczących poprawy jakości zabezpieczenia powierzonych do przetwarzania danych osobowych oraz sposobu ich przetwarzania, sporządzonych w wyniku kontroli przeprowadzonych przez ministra właściwego ds. rozwoju

regionalnego, Instytucję Zarządzającą lub przez podmioty przez nie upoważnione, w terminach określonych przez ministra właściwego ds. rozwoju regionalnego lub Instytucję Zarządzającą.

13. Podmiot przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich jak i wobec Instytucji Zarządzającej, za szkody powstałe w związku z nieprzestrzeganiem RODO i innych przepisów prawa powszechnie obowiązującego, dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Instytucji Zarządzającej za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

§ 3

POSTANOWIENIA KOŃCOWE

1. Niniejsza Xxxxx obowiązuje od dnia jej zawarcia do dnia 30 czerwca 2023 roku.

2. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

3. W sprawach nieuregulowanych zastosowanie będą miały przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2019 r. poz. 1145) oraz RODO.

4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla Działającego w imieniu Powierzającego – Instytucji Zarządzającej,

Działający w imieniu Powierzającego – Instytucji Zarządzającej Podmiot przetwarzający