UMOWA podpowierzenia przetwarzania danych osobowych

Załącznik nr 11 Umowa podpowierzenia przetwarzania danych osobowych

UMOWA

podpowierzenia przetwarzania danych osobowych

zawarta w dniu …… 2020 r., w Gdańsku, pomiędzy:

COPERNICUS Podmiot Leczniczy Spółka z ograniczoną odpowiedzialnością z siedzibą w Gdańsku, xx. Xxxx Xxxxxx 0-0, 00-000 Xxxxxx, wpisaną do rejestru przedsiębiorców, przez Sąd Rejonowy Gdańsk- Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego, kapitał zakładowy – 271.848.000,00 zł pod numerem KRS: 0000478705, NIP: 5833162278, reprezentowany przez:

…………………..

zwanym dalej „Powierzającym” lub COPERNICUS

a

… z siedzibą w …, ul. …, kod pocztowy…, wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy … w…, … Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: …., kapitał zakładowy –… zł, NIP: …, Regon: …, reprezentowaną przez: …

zwaną dalej „Przetwarzającym”

Mając na uwadze, że:

- Strony zawarły umowę nr … z dnia … („Umowa Odrębna”), dotyczącą współpracy w ramach projektu nr POWR.05.01.00-00-0023/18-00 pt. „Przystanek MAMA” dotyczącego realizacji Ogólnopolskiego Programu Polityki Zdrowotnej pn. „Program w zakresie edukacji i profilaktyki depresji poporodowej” w związku z wykonywaniem której konieczne jest podpowierzenie przez COPERNICUS Przetwarzającemu przetwarzania danych osobowych w zakresie określonym niniejszą umową;

- Wykonanie Umowy Odrębnej następuje w związku z realizacją projektu nr POWR.05.01.00-00-0023/18-00 pt.

„Przystanek MAMA” (dalej Projekt);

- Administratorem danych osobowych objętych niniejszą umową jest Minister właściwy do spraw. Rozwoju Regionalnego, który powierzył, ich przetwarzanie Instytucji Pośredniczącej (Ministrowi Zdrowia) (dalej również: IP). Minister Zdrowia powierzył przetwarzania danych osobowych Xxxxxxxxxx na podstawie Umowy o dofinansowanie Projektu Nr umowy: POWR.05.01.00-00-0023/18-00.

- niniejsza umowa (dalej „Umowa”) ma na celu uregulowanie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu i na zlecenie Administratora na zasadach przewidzianych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) – dalej „RODO”,

Xxxxxx postanowiły zawrzeć niniejszą umowę, o następującej treści:

§ 1

ZAKRES I CEL PRZETWARZANIA DANYCH

1. W celu prawidłowego wykonania Umowy Odrębnej, COPERNICUS podpowierza Przetwarzającemu przetwarzanie dalej opisanych danych osobowych na zasadach określonych Umową wraz z Załącznikami i Umową Odrębną.

2. Powierzenie przetwarzania danych osobowych następuje wyłącznie w celu umożliwienia wykonywania przez Przetwarzającego świadczeń będących przedmiotem Umowy odrębnej tj. min. „Przystanek MAMA”, w szczególności zebrania danych, przekazania ich COPERNICUS celem przeprowadzania spotkań, rozmów i pomoc w wypełnieniu formularza Edynburskiej Skali Depresji Poporodowej z kobietami w okresie poporodowym, przeprowadzenia indywidualnych konsultacji psychologicznych, przeprowadzania szkoleń z zakresu wczesnej identyfikacji depresji poporodowej, superwizora oraz grup wsparcia pracy położonych i pielęgniarek – szczegółowo wskazany w niniejszej Umowie oraz w Umowie Odrębnej.

3. Przetwarzane dane dotyczą osób h zakwalifikowanych do udziału w Projekcie w szczególności pacjentek w okresie poporodowym , personelu medycznego odbywającego szkolenia i obejmują zakres wskazany w Umowie oraz w Umowie Odrębnej.

4. Przetwarzający jest uprawniony do przetwarzania danych osobowych w formie niezbędnej do realizowania Umowy Odrębnej min. papierowej i elektronicznej.

5. Zakres czynności przetwarzania danych osobowych obejmuje zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie , pobieranie, przeglądanie, wykorzystywanie, udostępnianie podmiotom biorącym udział w Projekcie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

6. Przetwarzający będzie przetwarzał dane osobowe w swojej siedzibie.

7. Szczegółowe wymagania Administratora, zobowiązania Przetwarzającego, zakres, cel i sposób przetwarzania danych osobowych określono w Załącznikach do nin. Umowy i Umowy Odrębnej oraz w Projekcie, które Przetwarzający zobowiązuje się przestrzegać i stosować.

8. Strony podkreślają, iż z uwagi na przedmiot Projektu podpowierzone Przetwarzającemu dane w przeważającej części dotyczą zdrowia osób w rozumieniu art. 4 pkt 15 RODO i w związku z powyższym stanowią dane wrażliwe podlegające szczególnej i wzmożonej ochronie, a ich przetwarzanie wymaga zachowania najwyższych mierników staranności, do których przestrzegania niniejszym Przetwarzający się zobowiązuje.

§ 2

OKRES OBOWIĄZYWANIA UMOWY

1. Z chwilą rozwiązania lub wygaśnięcia Umowy Odrębnej, Umowa wygasa i następuje utrata przez Przetwarzającego uprawnienia do przetwarzania danych w imieniu Administratora.

2. COPERNICUS ma prawo rozwiązać Umowę bez zachowania terminu wypowiedzenia, gdy Przetwarzający rażąco naruszy postanowienia Umowy tj. min.:

a) przetwarza dane osobowe w sposób niezgodny z Umową,

b) powierzył przetwarzanie danych osobowych innym podmiotom bez zgody XXXXXXXXXX,

c) nie zawiadomił XXXXXXXXXX o naruszeniu, zagrożeniu naruszenia, wszczęciu kontroli itp.,

d) jest niezdolny do dalszego wykonywania niniejszej Umowy, a w szczególności nie spełniania wymagań określonych w Umowie i przepisach tyczących ochrony danych osobowych.

3. Rozwiązanie Umowy bez zachowania terminu wypowiedzenia przez XXXXXXXXXX, uprawnia jednocześnie do rozwiązania przez XXXXXXXXXX w tym trybie Umowy odrębnej.

4. Po wygaśnięciu lub rozwiązaniu Umowy, Przetwarzający niezwłocznie przekaże Powierzającemu albo – za uprzednią pisemną zgodą Powierzającego – zniszczy wszystkie dokumenty, wyniki przetwarzania oraz wykorzystania oraz zbiory danych związane z Umową, które znalazły się w jego posiadaniu. Przez usunięcie danych rozumieć należy trwałe zniszczenie tych danych osobowych lub taką ich trwałą

modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą. Przetwarzający przekazuje protokół zniszczenia lub usunięcia danych na żądanie COPERNICUS.

§3

OBOWIĄZKI PRZETWARZAJACEGO

1. Przetwarzający jest zobowiązany do przetwarzania danych osobowych z najwyższą starannością, zgodnie z postanowieniami Umowy, Projektu, Oświadczenia Uczestnika Projektu (załącznik do Umowy Odrębnej) oraz z zachowaniem obowiązków określonych w RODO i innych przepisach prawa w celu zabezpieczenia prawnego, organizacyjnego interesów Stron oraz praw osób, których dane dotyczą. Przetwarzający min.:

a) podejmuje wszelkie środki o których mowa w RODO w szczególności w artykułach 28 – 32, a w szczególności oświadcza, iż wdrożył wszystkie środki techniczne i organizacyjne, które są wymagane do wykonania Umowy i Umowy Odrębnej zgodnie z przepisami prawa;

b) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego na zasadach określonych Umową oraz RODO;

c) przetwarza dane osobowe wyłącznie na udokumentowane polecenie COPERNICUS - udokumentowanym poleceniem jest w szczególności zgłoszenie wykonywanie Umowy odrębnej;

d) udostępnia XXXXXXXXXX, wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w przepisach powszechnie obowiązujących oraz umożliwia COPERNICUS lub audytorowi upoważnionemu przez XXXXXXXXXX przeprowadzanie audytów, w tym inspekcji;

e) prowadzi okresowe monitorowanie procesów wewnętrznych i środków technicznych i organizacyjnych, za pomocą których dane są przetwarzane w celu zapewnienia aby przetwarzanie danych było zgodne z wymaganiami obowiązującego prawa w zakresie ochrony interesów COPERNICUS, ochrony danych osobowych oraz ochrony praw osoby, której dotyczą dane;

f) niezwłocznie informuje XXXXXXXXXX, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów o ochronie danych osobowych;

g) zobowiązuje się do pomocy XXXXXXXXXX w wywiązywaniu się z obowiązków określonych w przepisach dotyczących ochrony danych osobowych.

2. Przetwarzający jest zobowiązany do zachowania w bezwzględnej tajemnicy na czas nieokreślony danych osobowych, w tym do zachowania tajemnicy również po śmierci pacjenta.

3. Przetwarzający jest zobowiązany do uzyskiwania wszelkich dokumentów przewidzianych w Projekcie od uczestników Projektu w tym min. deklaracji uczestnictwa itd.

4. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Przetwarzającego, posiadające imienne upoważnienie do przetwarzania danych osobowych (zgodnie z Projektem).

5. Przetwarzający może korzystać z usług innego podmiotu przetwarzającego dane, jedynie po uzyskaniu uprzedniej pisemnej zgody XXXXXXXXXX pod rygorem nieważności. Dla uzyskania zgody niezbędne jest przedstawienie projektu umowy powierzenia przetwarzania danych, która będzie co najmniej gwarantowała takie same uprawnienia jak niniejsza umowa Copernicus, Administratorowi i IP.

§ 4

WSPÓŁPRACA STRON I OBOWIĄZEK POWIADAMIANIA COPERNICUS

1. Przetwarzający biorąc pod uwagę charakter przetwarzania, bezwzględnie pomaga COPERNICUS poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w przepisach powszechnie obowiązujących.

2. Przetwarzający jest zobowiązany do udostępnienia COPERNICUS, w terminie przez niego wskazanym, wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach prawa dotyczących ochrony danych osobowych i w Umowie.

3. Przetwarzający zobowiązany jest do poinformowania COPERNICUS o każdym przypadku żądania dotyczącego danych osobowych (niezależnie od jakiego podmiotu żądanie to pochodzi), które przetwarza na podstawie Umowy, niezwłocznie po otrzymaniu takiego żądania jednakże nie później niż w terminie 2 dni od otrzymania żądania.

4. Przetwarzający powiadamia COPERNICUS niezwłocznie nie później niż w terminie 2 dni o planowanym wszczęciu kontroli dotyczącej danych osobowych przetwarzanych na podstawie niniejszej Umowy, przez odpowiednie organy.

5. Przetwarzający zobowiązany jest niezwłocznie, nie później niż w terminie 24 godzin, do zawiadomienia COPERNICUS o każdym przypadku naruszenia lub podejrzenia naruszenia danych osobowych. Zawiadomienie zawiera co najmniej dane wskazane w art. 33 ust 3 RODO.

§ 5

UPRAWNIENIA KONTROLNE POWIERZAJĄCEGO

1. Administrator danych, IP lub COPERNICUS zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.

2. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora, IP lub COPERNICUS.

3. Brak skorzystania z uprawnienia do kontroli nie zwalnia ani nie umniejsza odpowiedzialności Przetwarzającego za należyte wykonanie umowy i obowiązków określonych prawem.

4. Przetwarzający umożliwi Instytucji Pośredniczącej, Administratorowi, Copernicus lub podmiotom przez nich upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane podmiotowi kontrolowanemu co najmniej 5 dni roboczych przed rozpoczęciem kontroli.

5. W przypadku powzięcia wiadomości o rażącym naruszeniu obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z umowy, Przetwarzający umożliwi Instytucji Pośredniczącej, Administratorowi, Xxxxxxxxxx lub podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu.

6. Kontrolerzy mają w szczególności prawo:

1) wstępu, w godzinach pracy Przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz umową;

2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela Przetwarzającego oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego;

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;

4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.

7. Uprawnienia kontrolerów nie wyłączają uprawnień wynikających z wytycznych w zakresie kontroli wydanych na podstawie art. 5 ust. 1 ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (Dz. U. z 2018 r. poz. 1431).

8. Przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu.

§6

OBOWIĄZEK ZACHOWANIA TAJEMNICY

1. Przetwarzający zobowiązuje się do bezterminowego zachowania w tajemnicy wszelkich informacji, wynikających z Umowy tj. min. danych, materiałów, dokumentów i danych osobowych otrzymanych od COPERNICUS, danych osobowych zebranych w ramach wykonywania umowy odrębnej i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej. Obowiązek zachowania tajemnicy obowiązuje również okres po śmierci osób biorących udział w Projekcie.

2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora lub COPERNICUS, IP w innym celu niż wykonanie Umowy lub Umowy Odrębnej, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych gwarantowały zabezpieczenie danych w tym w szczególności danych osobowych powierzonych do przetwarzania, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.

§ 7

ODPOWIEDZIALNOŚĆ

1. Przetwarzający jest odpowiedzialny za szkody powstałe u COPERNICUS, Instytucji Pośredniczącej lub Administratora lub osób trzecich, w wyniku niewykonania lub nienależytego wykonania Umowy lub naruszenia przepisów prawa, w szczególności w wyniku udostępnienia lub wykorzystania danych osobowych niezgodnie z Umową lub przepisami prawa.

2. W przypadku naruszenia przepisów prawa lub Umowy z przyczyn leżących po stronie Przetwarzającego jest on zobowiązany do zwolnienia COPERNICUS, IP lub Administratora ze wszelkich wynikłych stąd zobowiązań. Jeśli nie będzie to możliwe i w następstwie naruszeń Przetwarzającego, COPERNICUS, IP lub Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą lub inną należnością publicznoprawną, Przetwarzający zwróci COPERNICUS, IP lub Administratorowi poniesione z tego tytułu koszty.

3. Jeżeli jakakolwiek osoba, której dane osobowe zostały powierzone w wyniku Umowy, wystąpi wobec XXXXXXXXXX, IP lub Administratora z jakimikolwiek roszczeniami z tego tytułu, XXXXXXXXXX zawiadomi o roszczeniach Przetwarzającego, który zobowiązuje się podjąć wszelkie działania mające na celu rozwiązanie sporu i zaspokojenie roszczenia, w tym ponieść wszelkie koszty z tym związane. W szczególności Przetwarzający wstąpi do toczącego się postępowania w charakterze strony pozwanej, a w razie braku takiej możliwości zgłosi interwencję uboczną po stronie pozwanej oraz pokryje wszelkie koszty z tego tytułu jak i odszkodowania związane z roszczeniem osoby trzeciej, w tym poniesione uprzednio przez XXXXXXXXXX, IP lub Administratora.

4. W przypadku gdy w wyniku niewykonania lub nienależytego wykonania Umowy lub naruszenia przepisów prawa przez Przetwarzającego, COPERNICUS, IP lub Administrator będzie zobowiązany na podstawie przepisów prawa lub decyzji organu publicznego do podjęcia określonych czynności (np. konieczność zawiadomienia osób o naruszeniu ochrony ich danych osobowych), na żądanie COPERNICUS, Przetwarzający wykona te czynności w imieniu XXXXXXXXXX, IP lub Administratora.

§ 8

POSTANOWIENIA KOŃCOWE

1. Wszelkie zmiany oraz uzupełnienia Umowy wymagają formy pisemnej pod rygorem nieważności.

2. W celu wyeliminowania wszelkich wątpliwości Strony podkreślają, iż ilekroć w niniejszej umowie mowa o prawach, uprawnieniach lub zobowiązaniach wobec Xxxxxxxxxx należy przez to rozumieć również, iż takie same uprawnienia, prawa przysługują Instytucji Pośredniczącej lub Administratorowi wobec Przetwarzającego. Przetwarzający jest zobowiązany na podstawie niniejszej umowy w taki sam sposób w stosunku do Instytucji Pośredniczącej i Administratora, jak w stosunku do Copernicus.

3. Umowa podlega prawu polskiemu. Spory związane z wykonywaniem Umowy rozstrzygane będą przez Sąd powszechny według właściwości miejscowej COPERNICUS.

4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla COPERNICUS i Przetwarzającego.

Załącznik:

Wyciąg - Wymagania Administratora

………………………………….. …………………………………..

COPERNICUS Przetwarzający

Załącznik nr 1

SZCZEGÓŁOWE POSTANOWIENIA WPROWADZONE PRZEZ ADMINISTRATORA DANYCH

Ochrona danych osobowych

1. COPERNICUS powierza Przetwarzającemu przetwarzanie danych osobowych w imieniu i na rzecz Administratora na warunkach opisanych w niniejszej Umowie oraz Załączniku stanowiącym zbiór wymagań Administratora. W przypadku rozbieżności pomiędzy postanowieniami Umowy i Załącznika, zastosowanie znajdą postanowienia bardziej korzystne dla Administratora i Copernicus.

2. Powierzenie przetwarzania danych następuje w zakresie niezbędnym do wykonania umowy Odrębnej w ramach zbiorów:

1) Program Operacyjny Wiedza Edukacja Rozwój;

2) Centralny system teleinformatyczny wspierający realizację programów operacyjnych – w zakresie niezbędnym do realizacji zadań związanych z obszarem zbioru Program Operacyjny Wiedza Edukacja Rozwój;

3. Przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.

4. Przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

5. Przetwarzający ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Administratora i Instytucji Pośredniczącej, za szkody powstałe w związku z nieprzestrzeganiem ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową.

6. Przy przetwarzaniu danych osobowych Przetwarzający zobowiązuje się do przestrzegania zasad wskazanych w nin. Umowie, w ustawie o ochronie danych osobowych, RODO oraz innych przepisach prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych.

7. Przetwarzający nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.

8. Przetwarzający, w przypadku przetwarzania powierzonych danych osobowych w systemie informatycznym, zobowiązuje się do przetwarzania ich w Systemie Obsługi Wniosków Aplikacyjnych i SL2014.

9. Przetwarzający gwarantuje, by podmioty świadczące usługi na jego rzecz zagwarantowały wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa, który odpowiadał będzie ryzyku związanemu z przetwarzaniem danych osobowych tak, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Umowa podpowierzenia danych musi wskazywać, że podmiot świadczący usługi na jego rzecz ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec administratora, za szkody powstałe w związku z nieprzestrzeganiem ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową powierzenia przetwarzania danych osobowych. Podmioty, którym powierzono do przetwarzania dane zobowiązana jest do prowadzenia rejestrów wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.

10. Przetwarzający przekaże Xxxxxxxxxx wykaz podmiotów, o których mowa w ust. 9, za każdym razem, gdy takie powierzenie przetwarzania danych osobowych nastąpi, a także na każde żądanie. Wykaz podmiotów będzie zawierał, co najmniej, nazwę podmiotu oraz dane kontaktowe podmiotu.

11. Przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.

12. Przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO.

13. Do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby upoważnione przez Przetwarzającego, posiadające imienne upoważnienie do przetwarzania danych osobowych.

14. Imienne upoważnienia, są ważne do dnia odwołania, nie dłużej jednak niż do dnia, zakończenia realizacji Umowy odrębnej. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego Przetwarzającego z osobą której udzielono upoważnienia. Przetwarzający winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia zakończenia jej archiwizowania.

15. Przetwarzający gwarantuje, iż osoby upoważnione przez podmioty, którym podpowierzył dane zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem.

16. Xxxxxxxxxx zobowiązuje Przetwarzającego do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO.

17. W celu zrealizowania, wobec uczestnika Projektu, obowiązku informacyjnego, o którym mowa w art. 13 i art. 14 RODO, Przetwarzający jest zobowiązany odebrać od uczestnika Projektu oświadczenie, którego wzór stanowi do Umowy odrębnej. Oświadczenia przechowuje Xxxxxxxxxx. Zmiana wzoru oświadczenia nie wymaga aneksowania umowy.

18. Przetwarzający jest zobowiązany do podjęcia wszelkich kroków służących zachowaniu w tajemnicy danych osobowych przetwarzanych przez mające do nich dostęp osoby upoważnione do przetwarzania danych osobowych oraz sposobu ich zabezpieczenia.

19. Przetwarzający niezwłocznie informuje Xxxxxxxxxx o:

1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 32;

2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem;

3) wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń,

20. Przetwarzający zobowiązuje się do udzielenia na każde żądanie, informacji na temat przetwarzania danych osobowych, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego i osoby przez niego upoważnione do przetwarzania danych osobowych obowiązków dotyczących ochrony danych osobowych.

21. Przetwarzający, bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Instytucji Pośredniczącej oraz Xxxxxxxxxx każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Przetwarzający może je udzielać sukcesywnie bez zbędnej zwłoki.

22. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Przetwarzający bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Instytucja Pośrednicząca lub Xxxxxxxxxx o to wystąpi.

23. Przetwarzający pomaga Instytucji Pośredniczącej, Administratorowi i Copernicus:

- wywiązać się z obowiązków określonych w art. 32 - 36 RODO;

- wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.