UMOWA podpowierzenia przetwarzania danych osobowych, zwana dalej Umową zawarta w Toruniu w dniu .............................. r. pomiędzy:
Załącznik nr 10
do Umowy Operacyjnej – Pożyczka
UMOWA
podpowierzenia przetwarzania danych osobowych,
zwana dalej Umową
zawarta w Toruniu w dniu .............................. r. pomiędzy:
Kujawsko-Pomorskim Funduszem Rozwoju Sp. z o.o. z siedzibą w Toruniu przy ul. Przedzamcze 8, wpisany przez Sąd Rejonowy VII Wydział Gospodarczy KRS w Toruniu pod numerem KRS 0000671974; kapitał zakładowy 500 000,00 PLN; XXX 0000000000; REGON 366974655, reprezentowanym przez:
Xxxxxx Xxxxxxxxx – Prezes Zarządu,
uprawnioną do jednoosobowej reprezentacji Spółki,
zwanym dalej „Podmiotem przetwarzającym”
a
…………………………………………………………………………………………………,
reprezentowaną przez:
……………………………………………………..
uprawnioną do jednoosobowej reprezentacji Spółki, zwaną w dalszej części umowy
„Podmiotem podprzetwarzającym”,
zwane dalej „Stroną” lub łącznie „Stronami”
W związku z tym, że Xxxxxxx przetwarzający zawarł z:
Województwem Kujawsko – Pomorskim jako Administratorem danych osobowych w dniu………………umowę powierzenia przetwarzania danych osobowych
Podmiotem podprzetwarzającym w dniu……………… Umowę Operacyjną – Pożyczka nr…………………zwaną dalej Umową Główną
Strony postanawiają co następuje:
§ 1.
Na użytek niniejszego porozumienia przyjmuje się definicje określone w art. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej L 119 z późn. zm.), zwanego dalej rozporządzeniem 2016/679
§ 2.
Na mocy niniejszej Umowy Podmiot przetwarzający powierza Podmiotowi podprzetwarzającemu przetwarzanie danych osobowych :
w przypadku zbioru „Regionalny Program Operacyjny Województwa Kujawsko-Pomorskiego na lata 2014-2020” – w imieniu i na rzecz Województwa Kujawsko-Pomorskiego;
w przypadku zbioru „Centralny system teleinformatyczny wspierający realizację programów operacyjnych” - w imieniu i na rzecz ministra do spraw inwestycji i rozwoju.
Celem przetwarzania podpowierzonych danych osobowych w zbiorach jest realizacja zadań Podmiotu podpowierzającego powierzonych Umową Główną związanych z wdrażaniem instrumentów finansowych w odniesieniu do zbiorów, o których mowa w § 2 ust. 1, w szczególności w związku z procesem udzielania jednostkowych wsparć, monitorowania realizacji umów zawartych z odbiorcami wsparcia oraz realizacji procesów sprawozdawczości, monitoringu, ewaluacji, kontroli i audytu.
Zakres, rodzaj i kategorie osób, których dane dotyczą, obejmuje zakres niezbędny do realizacji Umowy Głównej.
Dane udostępniane są w formie elektronicznej i papierowej.
Przetwarzanie danych odbywa się w: siedzibie Podmiotu podprzetwarzającego, placówkach Podmiotu podprzetwarzającego, a także w środowisku informatyczno – technicznym podmiotu podprzetwarzającego.
Czas przetwarzania danych osobowych przez Podmiot podprzetwarzający nie może być dłuższy niż czas obowiązywania niniejszej umowy, z uwzględnieniem postanowień odrębnych przepisów i praw osób, których dane dotyczą.
O zamiarze usunięcia danych osobowych Podmiot podprzetwarzający poinformuje Podmiot przetwarzający najpóźniej w terminie 14 dni przed wykonaniem operacji.
§ 3.
Podmiot podprzetwarzający zobowiązuje się przetwarzać powierzone dane wyłącznie w zakresie i celach przewidzianych w umowie oraz na pisemne polecenie Podmiotu przetwarzającego. Za udokumentowane polecenie uważa się przede wszystkim polecenie przetwarzania danych zawarte w Umowie Głównej, a także wskazówki, instrukcje przekazywane przez Podmiot przetwarzający w trakcie obowiązywania umowy drogą elektroniczną.
Podmiot podprzetwarzający zobowiązuje się przed przystąpieniem do przetwarzania danych powierzonych przez Podmiot przetwarzający, wdrożyć i utrzymywać przez czas przetwarzania obowiązujące przepisy prawne o ochronie danych osobowych, w szczególności zawarte w art. 32 rozporządzenia 2016/679. Za ich przestrzeganie ponosi odpowiedzialność jak Administrator.
Podmiot podprzetwarzający zobowiązuje się do zachowania w tajemnicy danych przekazanych do przetwarzania przez Podmiot przetwarzający, zarówno w czasie realizacji umowy, jak i po jej ustaniu. W szczególności zapewnia by osoby upoważnione do przetwarzania danych osobowych, zobowiązały się do zachowania tajemnicy.
Podmiot podprzetwarzający nie może upoważnić innych osób do przetwarzania danych osobowych przekazanych przez Podmiot przetwarzający ani nie może dokonać dalszego podpowierzenia danych osobowych, ani nie może przetwarzać danych w innym celu niż wskazanym w § 2 ust. 2 niniejszej umowy, bez zgody Podmiotu przetwarzającego.
Podmiot podprzetwarzający zobowiązuje się pomagać Podmiotowi przetwarzającemu by ten poprzez odpowiednie środki techniczne i organizacyjne wywiązywał się z obowiązku odpowiadania na żądania osoby której dane dotyczą w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia 2016/679, który to obowiązek uprzednio został przekazany przez Administratora do realizacji za pomocą Podmiotu przetwarzającego. W szczególności w przypadku wystąpienia osoby, której dane dotyczą z żądaniem o udzielnie informacji dotyczących przetwarzania jej danych osobowych Podmiot podprzetwarzający udostępnia wszystkie niezbędne informacje dla Podmiotu przetwarzającego celem zrealizowania obowiązku informacyjnego (art. 15 rozporządzenia 2016/679) oraz udostępnia Podmiotowi przetwarzającemu informacje dotyczące bezpieczeństwa przetwarzania (art. 32 rozporządzenia 2016/679).
Po ustaniu celu przetwarzania danych osobowych Podmiot podprzetwarzający zobowiązuje się niezwłocznie i trwale usunąć udostępnione dane z wszystkich nośników, zarówno w wersji elektronicznej, jak i papierowej wraz z dokumentacją towarzyszącą realizacji zadań.
Podmiot podprzetwarzający zobowiązuje się do pomocy w wywiązaniu się Podmiotowi przetwarzającemu z obowiązków określonych w art. 32 – 36 rozporządzenia 2016/679, który to obowiązek został uprzednio przekazany przez Administratora do realizacji za pomocą Podmiotu przetwarzającego. W szczególności Podmiot podprzetwarzający zobowiązuje się do niezwłocznego (w ciągu 24 godzin od uzyskania wiedzy) poinformowania Podmiotu przetwarzającego o:
jakimkolwiek naruszeniu ochrony danych osobowych, powierzonych przez Podmiot przetwarzający – zgłoszenie powinno zawierać dane wskazane w art. 33 ust. 3 rozporządzenia 2016/679,
jakimkolwiek postępowaniu administracyjnym lub sądowym, decyzji administracyjnej, orzeczeniu, zapowiedzianych kontrolach i inspekcjach, jeśli dotyczą one danych osobowych powierzonych przez Podmiot przetwarzający.
Podmiot podprzetwarzający umożliwi audytorowi upoważnionemu przez Podmiot przetwarzający przeprowadzenie audytu ochrony danych osobowych i bezpieczeństwa informacji w siedzibie swojej firmy.
Jeżeli Podmiot podprzetwarzający dokonuje przetwarzania powierzonych przez Podmiot przetwarzający danych osobowych w innych celach i w inny sposób niż to wskazano w § 2 ust. 2 umowy sam staje się ich Administratorem (więc ma dodatkowe obowiązki, czy przestają obowiązywać niniejsze postanowienia umowy?)
§ 4.
Podmiot przetwarzający przekazuje dane osobowe Podmiotowi podprzetwarzającemu zgodnie z § 2 umowy.
Podmiot podprzetwarzający zapewnia realizację prawnych obowiązków administratora danych osobowych w zakresie swojej działalności, w tym wdrożenie i utrzymywanie odpowiednich środków technicznych i organizacyjnych dla ochrony danych osobowych, w szczególności tych, o których mowa w art. 32 rozporządzenia 2016/679.
Podmiot przetwarzający zobowiązuje Podmiot podprzetwarzający aby ten realizował obowiązki informacyjne wobec osób, których dane dotyczą przekazane przez Administratora do realizacji za pomocą Podmiotu przetwarzającego. W szczególności informuje osobę, której dane dotyczą o zamiarze przekazania jej danych osobowych przez Administratora do Podmiotu przetwarzającego, podmiotu podprzetwarzającego oraz o celu przetwarzania, a także uzyskuje – tam gdzie jest ona konieczna - zgodę tej osoby na przetwarzanie jej danych osobowych.
Podmiot przetwarzający zgłasza Administratorowi naruszenia danych osobowych stwierdzonych w Podmiocie podprzetwarzającym, a Administrator zgłasza naruszenia do organu nadzorczego i/lub osoby, której naruszenie dotyczy, po uzyskaniu zgłoszenia od Podmiotu przetwarzającego i wymaganych wyjaśnień po przeprowadzeniu własnego postępowania.
§ 4.
Podmiot podprzetwarzający odpowiada za wszelkie wyrządzone osobom trzecim szkody, które powstały w związku z nienależytym przetwarzaniem przez niego powierzonych danych osobowych.
§ 5.
Umowa zostaje zawarta na czas obowiązywania Umowy Głównej przy czym Podmiot przetwarzający może rozwiązać umowę ze skutkiem natychmiastowym, bez zachowania okresu wypowiedzenia, w przypadku:
a) rażącego naruszenia przez Xxxxxxx podprzetwarzający postanowień niniejszej umowy,
b) wyrządzenia szkody w związku z nienależytym przetwarzaniem danych osobowych przez Podmiot podprzetwarzający przy wykonaniu umowy,
c) wszczęcia przez organ nadzorczy postępowania przeciw Podmiotowi podprzetwarzającemu w związku z naruszeniem ochrony danych osobowych .
§ 6.
Wszelkie zmiany niniejszej umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
W sprawach nieuregulowanych umową, zastosowanie znajdują przepisy rozporządzenia 2016/679, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000) oraz Kodeksu Cywilnego.
Porozumienie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla Podmiotu przetwarzającego i Podmiotu podprzetwarzającego.
Podmiot podprzetwarzający Podmiot przetwarzający