Definicje
Umowa powierzenia przetwarzania danych osobowych
Xxxxxxxx, 00 listopada 2018
Szkolenie
Umowa powierzenia przetwarzania danych osobowych
Definicje
Administrator
Województwo Śląskie, w imieniu którego działa Zarząd Województwa Śląskiego, z siedzibą przy xx. Xxxxxxx 00, 00-000 Xxxxxxxx,
adres e-mail xxxxxxxxxx@xxxxxxx.xx, strona internetowa: xxxxx://xxx.xxxxxxx.xx/, kontakt do Inspektora Danych Osobowych:
xxxxxxxxxxx@xxxxxxx.xx.
Powierzający
Wojewódzki Urząd Pracy w Katowicach
pełniący rolę Instytucji Pośredniczącej RPO WSL, któremu Administrator powierzył przetwarzanie danych osobowych w związku z realizacją zadań związanych z wdrażaniem RPO WSL
w drodze pisemnego porozumienia.
Przetwarzający
Beneficjent projektu: strona umowy dotyczącej
powierzenia przetwarzania danych osobowych.
Umowa powierzenia przetwarzania danych osobowych
Obowiązki wobec instytucji
Środki techniczne i organizacyjne
Przetwarzający jest zobowiązany do:
✓ wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych spełniało wymogi rozporządzenia 2016/679
(§4 ust. 5 lit. a umowy);
✓przeprowadzenia ankiety badającej zdolność organizacyjno-kadrową do właściwego zabezpieczenia powierzonych danych
(§5 ust. 3 umowy).
Obowiązek prowadzenia rejestru czynności przetwarzania
Prowadzenie rejestru czynności przetwarzania danych osobowych jest jednym z wymogów RODO i stanowi jeden z elementów dokumentacji dotyczącej przetwarzania danych osobowych. Rejestr prowadzony jest odrębnie przez administratora i każdy podmiot, któremu zostało powierzone przetwarzanie danych osobowych.
Podmiot przetwarzający prowadzi rejestr czynności przetwarza, w którym odnotowuje:
- nazwę oraz dane kontaktowe podmiotu przetwarzającego,
- kategorie przetwarzań dokonanych w imieniu administratora – jest to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora.
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o którym mowa w art. 32 RODO – jest to ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Opis powinien wskazywać na najważniejsze założenia czy elementy przyjętych systemów lub koncepcji w zakresie bezpieczeństwa danych osobowych.
Obowiązek prowadzenia rejestru czynności przetwarzania c.d.
Rejestr prowadzony jest w formie pisemnej. RODO jednocześnie nie narzuca wymagań dotyczących postaci, w jakiej rejestr powinien być prowadzony, wskazując, że może to być postać zarówno papierowa, jak i elektroniczna.
Rejestru czynności przetwarzania danych nie muszą prowadzić podmioty zatrudniające mniej niż 250 osób pod warunkiem, że nie przetwarzają danych szczególnej kategorii (danych wrażliwych).
Dodatkowe informacje na temat rejestru czynności przetwarzania dostępne są w art. 30 RODO. Wskazówki i wyjaśnienia dotyczące prowadzenia rejestrów czynności przetwarzania dostępne są również na stronach UODO pod adresem xxxxx://xxxx.xxx.xx/xx/000/000.
W projektach realizowanych w ramach RPO WSL pomocniczo można korzystać z dokumentu pn. Przewodnik po danych osobowych w projektach POWER dla Wnioskodawców i Beneficjentów.
Naruszenie ochrony danych osobowych
Przetwarzający jest zobowiązany do współdziałania w sytuacji naruszenia ochrony danych osobowych, w szczególności
niezwłocznie informować Powierzającego
o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych, nie później niż
w 24 godziny od powzięcia takiej informacji (§4 ust. 5 lit. c umowy).
Określony w dokumencie pn. Zakres danych osobowych uczestników projektu oraz innych danych osobowych powierzonych
do przetwarzania, znajdującym się na stronie internetowej: xxxx://xxx.xxx- xxxxxxxx.xx/xxxxxx/xxxxx_xxxxxxxxxx_xxx
Warunki dalszego przetwarzania
Powierzający umocowuje Przetwarzającego do dalszego powierzenia przetwarzania danych osobowych, w imieniu i na rzecz Administratora, podmiotom świadczącym usługi na rzecz Przetwarzającego w związku z realizacją umowy głównej (§5 umowy).
Umowa powierzenia przetwarzania danych osobowych
Obowiązki wobec pracowników i innych osób
(np. samozatrudnionych) realizujących zadania
w projekcie
Konstrukcja klauzuli
Klauzule zawierać powinny minimalny zakres wynikający z rozporządzenia 2016/679, x.xx. tożsamość i dane kontaktowe administratora, dane kontaktowe Inspektora ochrony danych (jeżeli dotyczy), cele przetwarzania danych osobowych oraz podstawę prawną ich przetwarzania, informacje o odbiorcach i kategoriach odbiorców.
Określenie w zapytaniach ofertowych dotyczących zasady konkurencyjności warunków powierzania przetwarzania danych osobowych.
Brak ich spełnienia może stanowić podstawę do odrzucenia oferty.
Umowa powierzenia przetwarzania danych osobowych
Obowiązki wobec podwykonawcy
Obowiązki wobec podwykonawcy
Przetwarzający umocowuje podwykonawców do dalszego
powierzenia przetwarzania danych osobowych, w imieniu i na rzecz Administratora, kolejnym podmiotom świadczącym usługi na rzecz podwykonawców w związku z realizacją projektu (§5 ust. 2 umowy).
Beneficjent zobowiązuje podwykonawcę do wdrożenia odpowiednich środków technicznych
i organizacyjnych, aby przetwarzanie danych spełniało
wymogi rozporządzenia 2016/679
(§4 ust. 5 lit. a umowy), co określone powinno zastać w umowie.
Warunki udziału w postępowaniu
Zapytania ofertowe dotyczące realizacji usług, przy realizacji których
konieczne jest powierzenie przetwarzania danych osobowych,
powinny zawierać informacje na temat warunków przetwarzania danych osobowych.
Obowiązek informowania pracowników
Przetwarzający udostępnia Administratorowi/ Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
Podwykonawca ma obowiązek
poinformować pracowników realizujących zadania w ramach zawartej umowy o możliwości weryfikacji ich danych osobowych przez uprawnione podmioty.
Umowa powierzenia przetwarzania danych osobowych
Osoby aplikujące
i uczestnicy projektów
Osoby aplikujące
Obowiązek złożenia oświadczenia osoby aplikującej o udział w projekcie, którego wzór
znajduje się na stronie internetowej: xxxx://xxx.xxx- xxxxxxxx.xx/xxxxxx/xxxxx_xxxxxxxxxx_xxx
Osoby aplikujące
Dane przetwarzane na podstawie art. 6 ust. 1 lit. a rozporządzenia 2016/679:
zgoda na przetwarzanie danych osobowych
w jednym lub większej liczbie określonych celów.
Administratorem danych jest beneficjent.
Osoby aplikujące
Inne prawa:
✓ do uzyskiwania informacji nt. danych;
✓ dostępu do swoich danych;
✓ do sprostowania danych;
✓ do usunięcia danych;
✓ do ograniczenia przetwarzania;
✓ do przenoszenia danych;
✓ do sprzeciwu.
Administrator informuje o sprostowaniu lub
usunięciu danych osobowych lub ograniczeniu
przetwarzania każdego odbiorcę, któremu
ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli
osoba, której dane dotyczą, tego zażąda.
Obowiązek złożenia oświadczenia uczestnika projektu, którego wzór znajduje się na stronie internetowej: xxxx://xxx.xxx- xxxxxxxx.xx/xxxxxx/xxxxx_xxxxxxxxxx_xxx
Klauzula informacyjna dla każdego uczestnika
Umowa powierzenia przetwarzania danych osobowych
Kontrola przetwarzania danych osobowych
Dokumenty regulujące zasady ochrony
Administrator i Powierzający zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu danych osobowych
i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
Arkusz oceny podmiotu przetwarzającego dane osobowe w związku z powierzeniem przetwarzania danych osobowych
(ankieta) wypełniany przed podpisaniem umowy powierzenia przetwarzania danych osobowych.
✓ Co najmniej raz, na początku realizacji projektu (zgodnie ze wskazaniem w ankiecie)
✓ Oświadczenie beneficjenta
Przegląd obowiązujących procedur
Okresowe przeglądy obowiązujących procedur w zakresie ochrony danych osobowych,
w szczególności w kontekście ich adekwatności do zidentyfikowanego ryzyka oraz faktu przestrzegania ich przez wszystkie osoby zaangażowane.
Weryfikacja sposobu przetwarzania
✓ Wgląd do komputera (potwierdzenia zainstalowania oprogramowania antywirusowego)
✓ Weryfikacja ostatniej aktualizacji
oprogramowania antywirusowego
✓ Faktura potwierdzająca dokonanie zakupu
oprogramowania antywirusowego (ewentualnie)
Weryfikacja sposobu przetwarzania
✓ Weryfikacja sposobu przenoszenia danych osobowych wyłącznie na odpowiednio zabezpieczonych nośnikach, poprzez
oświadczenie beneficjenta i odpowiednie zapisy dokumentu określającego politykę danych osobowych.
✓ Ogląd pomieszczeń, szaf (potwierdzony protokołem i dokumentacją fotograficzną)
✓ W przypadku podejrzenia naruszenia sporządzany jest stosowny protokół
xxx.xxx-xxxxxxxx.xx
Wojewódzki Urząd Pracy w Katowicach
xx. Xxxxxxxxxx 00,
00-000 Xxxxxxxx
telefony: 32 757 33 11, 32 757 33 57
Dziękuję za uwagę