Umowa podpowierzenia przetwarzania danych osobowych

Załącznik nr 8 do regulaminu



Umowa podpowierzenia przetwarzania danych osobowych

zawarta w …………………………. w dniu …………… r. pomiędzy:

Rzeszowską Agencją Rozwoju Regionalnego S. A., z siedzibą w Rzeszowie, xx. Xxxxxxx 00, 00-000 Xxxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000008207, której akta rejestrowe przechowuje Sąd Rejonowy w Rzeszowie, Wydział XII Gospodarczy Krajowego Rejestru Sądowego, NIP: 000-00-00-000, REGON: 690260330, o kapitale zakładowym w wysokości 27.581.000,00 PLN opłaconym w całości, zwaną dalej „Realizatorem projektu”, reprezentowaną przez:

  1. ......................................................... – .................................................................................

  2. ......................................................... – .................................................................................

a

.........................................................., Pesel: …..........................., zam. ul. …...............…., ...-…. ….................., legitymującą/ym się dowodem osobistym: ….................................. wydanym przez …................................................. – prowadzącą/ym działalność gospodarczą pod firmą: …............................................................... pod adresem: ul. …..............…., ....-... .….................., posługującym się NIP: …..................., Regon: ….........................., zwaną/ym dalej organem prowadzącym lub Podmiotem Przetwarzającym;

albo

Jednostką Samorządu Terytorialnego – Gminą/Powiatem/Województwem ……………………………………….. prowadzącym placówkę ………………………………………………………….… ibędącą jego prawnym przełożonym z możliwością zawierania zobowiązań prawnych, adres: ………………………………………….. zwaną/ym dalej organem prowadzącym lub Podmiotem Przetwarzającym;

albo

Organizacją Pożytku Publicznego prowadzącą placówkę ……………………………………………………… i będącą jego prawnym przełożonym z możliwością zawierania zobowiązań prawnych, z siedzibą w …………… adres:…………………….. NIP:……………………………., REGON:………………………………………..

zwaną dalej organem prowadzącym lub Podmiotem Przetwarzającym;

łącznie zwanych dalej Stronami.

Mając na uwadze, że Realizatorowi projektu zostało powierzone przetwarzanie danych osobowych uczestników Projektu pn. „Dostępna Szkoła – innowacyjne rozwiązania w kreowaniu przyjaznej przestrzeni edukacyjnej z uwzględnieniem potrzeb uczniów oraz otoczenia” i jest on uprawniony do ich dalszego powierzenia, a organ prowadzący został wyłoniony w drodze rekrutacji, w związku z realizacją której niezbędne jest przetwarzanie danych osobowych imieniem Administratora przez organ prowadzący, który to zapewnia należyte gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów prawa i chroniło prawa osób, których dane dotyczą – Xxxxxx postanowiły zawrzeć niniejszą Umowę podpowierzenia przetwarzania danych (zwaną dalej: Umową) następującej treści:

§ 1.
Powierzenie przetwarzania danych osobowych

Przedmiotem Umowy jest powierzenie przetwarzania danych osobowych uczestników Projektu pn. „Dostępna Szkoła – innowacyjne rozwiązania w kreowaniu przyjaznej przestrzeni edukacyjnej z uwzględnieniem potrzeb uczniów oraz otoczenia” (dalej zwanego Projektem), przetwarzanych w celu poddania się audytowi dostępności, udziału w dwudniowym szkoleniu, opracowania Indywidualnego Planu Poprawy Dostępności oraz dalszego ubiegania się o wsparcie i w konsekwencji udziału i realizacji zadań wskazanych w ww. Projekcie.

§ 2.
Zakres i cel przetwarzania

1. Realizator projektu oświadcza, że Administratorem danych uczestników Projektu decydującym o środkach i celach przetwarzanych danych jest w ramach powierzonego zbioru pn. Program Operacyjny Wiedza Xxxxxxxx Xxxxxx - Minister właściwy ds. Rozwoju Regionalnego mający siedzibę przy xx. Xxxxxxxx 0/0, 00-000 Xxxxxxxx (Instytucja Zarządzająca).

2. Realizator projektu oświadcza, że przetwarza dane osobowe uczestników Projektu – na zasadzie dalszego powierzenia – na podstawie zawartej z Administratorem umowy o dofinansowanie projektu grantowego w ramach Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020 z dnia 30.12.2019r. nr POWR.04.01.00-00-DS10/19 (zwanej dalej: Umową Podstawową) oraz na podstawie Umowy Partnerskiej z dnia 12.11.2019r. wraz z upoważnieniem do ich dalszego powierzenia.

3. Organ prowadzący potwierdza, że przystępując do złożenia wstępnego wniosku o powierzenie grantu, zapoznał się i zaakceptował zapisy Regulaminu rekrutacji organów prowadzących do testowania Modelu dostępnej szkoły w ramach projektu „Dostępna szkoła - innowacyjne rozwiązania w kreowaniu przyjaznej przestrzeni edukacyjnej z uwzględnieniem potrzeb uczniów oraz otoczenia” (zwanego dalej: regulaminem), w celu poddania się audytowi dostępności, udziału w dwudniowym szkoleniu, opracowania Indywidualnego Planu Poprawy Dostępności oraz dalszego ubiegania się o wsparcie.

4. W związku z akceptacją regulaminu wskazanego powyżej Realizator projektu powierza organowi prowadzącemu – na zasadzie art. 28 ust. 3 i 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) Dz.U.UE.L.2016.119.1 (zwanego dalej: RODO) – dane osobowe, o których mowa w ust. 6 poniżej, do przetwarzania na zasadach i w celu określonym w niniejszej Umowie.

5. Przez przetwarzanie danych rozumie się wszelkie operacje wykonywane na powierzonych do przetwarzania imieniem Administratora danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

6. Realizator projektu powierza organowi prowadzącemu do przetwarzania dane osobowe następujących kategorii osób:

  1. Osoby fizyczne i osoby prowadzące działalność gospodarczą, których dane będą przetwarzane w związku z badaniem kwalifikowalności wydatków w Projekcie

1

Kwalifikowalność środków w Projekcie zgodnie z Wytycznymi w zakresie kwalifikowalności wydatków w ramach Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego oraz Funduszu Spójności na lata 2014-2020

xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xxx.xx/xxxxx/00000/0_xxxxxxxx_xx_xxxxxxxxxxxxxxxxx_xxxxxxxx.xxx

  1. Dane uczestników instytucjonalnych (w tym osób fizycznych prowadzących jednoosobową działalność gospodarczą).

Szczegółowy zakres danych odwzorowany jest w Wytycznych w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020. Dodatkowo:

1

Przynależność do grupy docelowej zgodnie ze Szczegółowym Opisem Osi Priorytetowych Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020/zatwierdzonym do realizacji Rocznym Planem Działania/zatwierdzonym do realizacji wnioskiem o dofinansowanie projektu

xxxxx://xxx.xxxxx.xxx.xx/xxxxx/00000/XXXXX_XXXXX_xxxxxx_00.xxx

  1. Dane uczestników indywidualnych.

Szczegółowy zakres danych odwzorowany jest w Wytycznych w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020. Dodatkowo:

1

Przynależność do grupy docelowej zgodnie ze Szczegółowym Opisem Osi Priorytetowych Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020/zatwierdzonym do realizacji Rocznym Planem Działania/zatwierdzonym do realizacji wnioskiem o dofinansowanie projektu

xxxxx://xxx.xxxxx.xxx.xx/xxxxx/00000/XXXXX_XXXXX_xxxxxx_00.xxx

  1. Dane pracowników zaangażowanych w przygotowanie i realizację Projektu, oraz dane pracowników instytucji zaangażowanych we wdrażanie krajowego programu operacyjnego na lata 2014-2020, współfinansowanego z EFS, którzy zajmują się obsługą Projektów.

Lp.

Nazwa

1

Imię

2

Nazwisko

3

Identyfikator użytkownika

4

Adres e-mail

5

Rodzaj użytkownika

6

Miejsce pracy

7

Telefon

8

Nazwa wnioskodawcy/beneficjenta

9

Kraj



  1. Dane dotyczące personelu Projektu.

Szczegółowy zakres danych odwzorowany jest w Wytycznych w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020.

Lp.

Nazwa

1

Adres:

Ulica

Nr budynku

Nr lokalu

Kod pocztowy

Miejscowość

xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xxx.xx/xxxxx/00000/Xxxxxxxx_xxxxxxxxxxx_xxxxxx_0000.xxx

  1. Uczestnicy szkoleń, konkursów i konferencji (osoby biorące udział w szkoleniach, konkursach i konferencjach w związku z realizacją Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020, inne niż uczestnicy w rozumieniu definicji uczestnika określonej w Wytycznych w zakresie monitorowania postępu rzeczowego realizacji programów operacyjnych na lata 2014-2020).

Lp.

Nazwa

1

Imię

2

Nazwisko

3

Nazwa instytucji/organizacji

4

Adres e-mail

5

Telefon

6

Specjalne potrzeby

xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xxx.xx/xxxxx/00000/Xxxxxxxx_xxxxxxxxxxxxx_XXX_xxxx_00_00_0000.xxx

7. Powierzone przez Realizatora projektu dane osobowe, o których mowa w ust. 6 powyżej - będą przetwarzane przez organ prowadzący w sposób zgodny z treścią niniejszej Umowy.

8. Powierzone przez Realizatora projektu dane osobowe, o których mowa w ust. 6 powyżej - będą przetwarzane przez organ prowadzący od momentu przystąpienia do projektu, aż do upływu okresu trwałości Projektu.

9. Powierzone przez Realizatora projektu dane osobowe, o których mowa w ust. 6 powyżej - będą przetwarzane zarówno w dokumentacji papierowej, jak i w systemach informatycznych.

10. Administratorem wszelkich danych osobowych przetwarzanych podczas realizowanych przez organ prowadzący zadań, ale wykraczających poza zakres powierzonego zbioru Program Operacyjny Wiedza Edukacja Rozwój wskazanego w ust.6 niniejszej Umowy – jest organ prowadzący.

§3

Sposób wykonania Umowy w zakresie przetwarzania danych osobowych

1. Organ prowadzący zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą Umową, ustawą o ochronie danych osobowych z dnia 10 maja 2018 r., (Dz. U. z 2018 r., poz. 1000 z późn. zm.) -zwaną dalej: u.o.d.o. oraz RODO i innymi przepisami prawa powszechnie obowiązującymi, które chronią prawa osób, których dane dotyczą.

2. Organ prowadzący zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych mu danych osobowych i wykonywaniu niniejszej Umowy oraz realizować zalecenia Realizatora projektu w tym przedmiocie.

3. Organ prowadzący oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych osobowych powierzonych mu przez Realizatora projektu spełniało wymogi przepisów prawa, w tym w szczególności RODO i chroniło prawa osób, których dane dotyczą oraz zobowiązuje się zapewnić stopień bezpieczeństwa powierzonych danych odpowiadający ryzyku, o którym mowa w art. 32 RODO.

4. Organ prowadzący zobowiązuje się do zabezpieczenia należytego przetwarzania powierzonych przez Realizatora projektu danych osobowych – co najmniej poprzez :

  1. prowadzenie wymaganej przepisami dokumentacji opisującej przetwarzanie danych osobowych, w szczególności rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO;

  2. zabezpieczenie znajdujących się w jego posiadaniu urządzeń i systemów informatycznych służących do przetwarzania danych osobowych zapewniających odpowiedni poziom bezpieczeństwa, w oparciu o prowadzoną analizę ryzyka i zagrożeń;

  3. zapewnienie przeprowadzania regularnych testów i oceny wdrożonych środków ochrony danych;

  4. zapewnienie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  5. wykonywania wobec osób, których dane dotyczą obowiązku informacyjnego określonego w art. 13 i 14 RODO.

  6. zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

5. Organ prowadzący przetwarza powierzone mu przez Realizatora projektu dane osobowe wyłącznie na udokumentowane polecenie Administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej w rozumieniu RODO - chyba że obowiązek taki nakłada na organ prowadzący prawo Unii Europejskiej lub prawo państwa członkowskiego. Przez polecenie Administratora należy rozumieć postanowienia niniejszej Umowy oraz Umowy powierzenia grantu.

6. Organ prowadzący oświadcza, że nie przekazuje powierzonych mu przez Realizatora projektu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, ani nie korzysta z usług dalszych przetwarzających (podwykonawców), którzy dokonywali by takiego przekazywania danych powierzonych organowi prowadzącemu przez Realizatora projektu.

7. Na wypadek, gdyby organ prowadzący miał zamiar lub obowiązek przekazywać powierzone mu przez Realizatora projektu dane osobowe do państwa trzeciego lub organizacji międzynarodowej – zobowiązany jest do poinformowania o tym Realizatora projektu, w celu umożliwienia mu podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania danych przez organ prowadzący.

8. Organ prowadzący oświadcza, że dostęp do powierzonych danych osobowych będą miały wyłącznie osoby, którym zostanie nadane imienne upoważnienie do przetwarzania danych osobowych, w tym podmioty wykonujące zadania związane z udzieleniem wsparcia i realizacją Projektu (podwykonawcy). Organ prowadzący zobowiązuje się ponadto do prowadzenia ewidencji tych osób i okazanie jej aktualnej wersji na każde żądanie Realizatora projektu.

9. Realizator projektu upoważnia organ prowadzący do nadawania i odwoływania upoważnień podmiotom wskazanym w ust. 8 niniejszego paragrafu w zbiorze Program Operacyjny Wiedza Edukacja Rozwój wraz ze zobowiązaniem ich do utrzymania ich w tajemnicy. Wzór upoważnienia do przetwarzania danych osobowych oraz wzór odwołania upoważnienia do przetwarzania danych stanowią kolejno załącznik nr 1 oraz 2 do niniejszej Umowy.

10. Imienne upoważnienia, o których mowa w ust. 8 niniejszego paragrafu są ważne do dnia odwołania, nie dłużej jednak niż do upływu okresu przechowywania dokumentacji projektowej, tj. przez okres dwóch lat od dnia 31 grudnia roku, w którym złożono do Komisji Europejskiej zestawienie wydatków, w którym ujęto ostateczne wydatki dotyczące zakończonego Projektu grantowego.  Instytucja Zarządzająca  informuje Realizatora projektu, a ten organ prowadzący o dacie rozpoczęcia okresu, o którym mowa w zdaniu pierwszym. Bieg terminu, o którym mowa w zdaniu pierwszym, zostaje przerwany w przypadku wszczęcia postępowania administracyjnego lub sądowego dotyczącego wydatków rozliczonych w Projekcie grantowym albo na należycie uzasadniony wniosek Komisji Europejskiej, o czym Realizator projektu i dalej organ prowadzący jest informowany pisemnie. Dokumenty dotyczące udzielanej pomocy publicznej Realizator projektu i dalej organ prowadzący zobowiązuje się przechowywać przez 10 lat, licząc od dnia jej przyznania, o ile Projekt grantowy dotyczy pomocy publicznej. Upoważnienie wygasa z chwilą ustania stosunku prawnego łączącego organ prowadzący z osobą upoważnioną. Organ prowadzący winien posiadać przynajmniej jedną osobę legitymującą się imiennym upoważnieniem do przetwarzania danych osobowych odpowiedzialną za nadzór nad zarchiwizowaną dokumentacją do dnia zakończenia jej archiwizowania.


11. Organ prowadzący oświadcza, że osoby oraz podmioty, o których mowa w ust.8 zobowiązani będą do zachowania w tajemnicy przekazanych im danych osobowych oraz informacji o stosowanych zabezpieczeniach również po ustaniu stosunku prawnego łączącego ich z organem prowadzącym.


12. Organ prowadzący zobowiązuje się zapewnić pomoc, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

13. Organ prowadzący zobowiązuje się, uwzględniając charakter przetwarzania oraz dostępne mu informacje, zapewnić pomoc w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO.

14. Realizator projektu upoważnia organ prowadzący do dalszego umocowywania podmiotów, o których mowa w ust.8 do wydawania oraz odwoływania upoważnień do przetwarzania danych osobowych w zbiorze Program Operacyjny Wiedza Edukacja Rozwój.

15. W celu zrealizowania obowiązku informacyjnego wskazanego w §3 ust.4 lit. e) niniejszej Umowy wobec uczestników Projektu, organ prowadzący zobowiązuje się do przedłożenia uczestnikom Projektu oświadczenia uczestnika grantowego, który stanowi załącznik nr 4 do niniejszej Umowy. Organ prowadzący zobowiązuje się ponadto do realizacji obowiązku informacyjnego wskazanego w art. 13 i 14 RODO wobec osób wskazanych w ust.8 oraz innych zaangażowanych w realizację Projektu. Oświadczenia stanowiące załącznik nr 4 organ prowadzący przechowuje w swojej siedzibie lub w innym miejscy, w którym są zlokalizowane dokumenty związane z Projektem grantowym. Zmiana załącznika nr 4 nie wymaga aneksowania niniejszej Umowy.

§ 4.
Zgłoszenie naruszenia ochrony danych osobowych

1. Organ prowadzący zobowiązuje się do poinformowania Realizatora projektu o wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu lub naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych wynikających z przepisów bądź z niniejszej Umowy - bez zbędnej zwłoki, nie później niż w terminie do 12 godzin od stwierdzenia naruszenia. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Instytucji Zarządzającej i/lub Realizatorowi projektu określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, organ prowadzący może ich udzielać sukcesywnie bez zbędnej zwłoki.

2. W celu realizacji obowiązków, o których mowa w ust. 1 powyżej, organ prowadzący jest zobowiązany do zabezpieczenia dowodów, które pomogą ustalić i wyjaśnić szczegóły naruszenia, w tym chwilę zdarzenia, osoby odpowiedzialne, charakter naruszenia oraz jego skalę i ewentualne negatywne skutki, osoby poszkodowane.

3. W przypadku wystąpienia naruszenia ochrony danych osobowych mogącego powodować w ocenie Realizatora projektu i/lub Instytucji Zarządzającej wysokie ryzyko naruszenia praw lub wolności osób fizycznych, organ prowadzący na wniosek Instytucji Zarządzającej i/lub Realizatora projektu bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy, o ile Instytucja Zarządzająca o to wystąpi.

§ 5.
Prawo kontroli

1. Realizatorowi projektu przysługuje prawo kierowania zapytań do organu prowadzącego w zakresie dotyczącym wykonywania przez niego obowiązków wynikających z niniejszej Umowy, w tym zapytań o wyniki przeprowadzonych kontroli wewnętrznych w tym zakresie, a organ prowadzący zobowiązuje się udzielić Realizatorowi projektu odpowiedzi na zapytanie - w terminie 5 dni roboczych od daty otrzymania zapytania.

2. Organ prowadzący umożliwi Instytucji Zarządzającej, Realizatorowi projektu lub osobom/podmiotom przez nie upoważnionym, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącymi ochrony danych osobowych oraz z Umową. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane organowi prowadzącemu na co najmniej 5 dni roboczych przed ich rozpoczęciem.

3.Kontrolerzy Instytucji Zarządzającej, Realizatora projektu lub podmiotów przez nie upoważnionych mają w szczególności prawo do:

  1. wstępu, w godzinach pracy organu prowadzącego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych i są przetwarzane powierzone dane i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą o ochronie danych osobowych, RODO, przepisami prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz Umową;

  2. żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, przedstawiciela organu prowadzącego oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego;

  3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;

  4. przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.

4.Uprawnienia kontrolerów Instytucji Zarządzającej, Realizatora projektu lub podmiotu przez nią upoważnionego, o którym mowa w ust. 2, nie wyłączają uprawnień wynikających z wytycznych w zakresie kontroli wydanych na podstawie art. 5 ust. 1 ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w  zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (Dz. U. z 2017r. poz. 1460, z późn. zm.).

5. Organ prowadzący może zostać poddany kontroli lub audytowi przez instytucje uprawnione do kontroli lub audytu niewymienione powyżej na podstawie odrębnych przepisów.

6. Organ prowadzący zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli lub audytu przeprowadzonych przez podmioty wskazane w niniejszym paragrafie.

7. W przypadku powzięcia przez Realizatora projektu wiadomości o rażącym naruszeniu przez organ prowadzący obowiązków wynikających z ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych lub z Umowy, umożliwi on Realizatorowi projektu, Instytucji Zarządzającej lub osobom/podmiotom przez nie upoważnionym dokonanie niezapowiedzianej kontroli lub audytu (kontrola doraźna), w celu określonym w §5 ust.2 Umowy.

8. Organ prowadzący zobowiązuje się poinformować Realizatora projektu - bez zbędnej zwłoki, nie później niż w terminie 24 godzin od powzięcia wiedzy przez organ prowadzący – o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Partnera danych osobowych powierzonych przez Administratora w ramach niniejszej Umowy, o decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do organu prowadzącego, a także o wszelkich planowanych (o ile są mu wiadome) lub realizowanych kontrolach lub inspekcjach dotyczących przetwarzania danych osobowych, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych, Europejskiego Inspektora Ochrony Danych Osobowych, urzędy państwowe, policję lub sądy. Organ prowadzący jest zobowiązany do informowania Realizatora projektu o wynikach w/w kontroli wraz z informacją na temat zastosowania się do wydanych zaleceń.

9. Organ prowadzący zobowiązuje się do udzielenia Realizatorowi projektu/Instytucji Zarządzającej wszelkich informacji dot. przetwarzania danych osobowych w ramach realizowanego Projektu.

§ 6.
Dalsze powierzenie danych do przetwarzania

1. Realizator projektu upoważnia organ prowadzący (odpowiednio w zakresie wskazanym w §2 ust.6 Umowy) do dalszego powierzenia przetwarzania danych osobowych - podmiotom świadczącym usługi na jego rzecz, w szczególności podmiotom wykonującym zadania związane z udzieleniem wsparcia i realizacją Projektu, w tym realizującym badania ewaluacyjne, jak również podmiotom realizującym zadania związane z audytem, kontrolą, monitoringiem i sprawozdawczością oraz działaniami informacyjno-promocyjnymi prowadzonymi w ramach Projektu, pod warunkiem niewyrażenia sprzeciwu przez Realizatora projektu w terminie 3 dni roboczych od dnia wpłynięcia informacji o zamiarze powierzania przetwarzania danych osobowych do Realizatora projektu i pod warunkiem, że organ prowadzący zawrze z każdym podmiotem, któremu powierza przetwarzanie danych osobowych Umowę powierzenia przetwarzania danych osobowych w kształcie zgodnym z postanowieniami niniejszej Umowy.( forma umowy)

2.Dalszy przetwarzający winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na organ prowadzący w Umowie oraz wynikające z przepisów prawa, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa, który odpowiadał będzie stopniu ryzyku związanemu z przetwarzaniem danych osobowych, tak by przetwarzanie odpowiadało wymogom RODO i chroniło prawa osób których dotyczą, a ponadto obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust.2 RODO, spełniania obowiązku informacyjnego z art. 13 / 14 RODO oraz realizację prawa kontroli. Dalsze przetwarzanie może odbywać się wyłącznie w celu realizacji Projektu „Dostępna Szkoła – innowacyjne rozwiązania w kreowaniu przyjaznej przestrzeni edukacyjnej z uwzględnieniem potrzeb uczniów oraz otoczenia”.

3. Zakres danych osobowych podpowierzanych podmiotom świadczącym usługi na rzecz organu prowadzącego nie może być szerszy, niż zakres wskazany w załączniku nr 1 do niniejszej Umowy oraz powinien być adekwatny do realizowanego celu.

4. Organ prowadzący zobowiązany jest do prowadzenia wykazu podmiotów, którym podpowierzył dane osobowe uczestników Projektu i przekazywania go Realizatorowi projektu na każde żądanie. Ww. wykaz powinien zawierać co najmniej nazwę dane kontaktowe podmiotu oraz zakres powierzonych danych osobowych.

§ 7.
Odpowiedzialność organu prowadzącego

1. Organ prowadzący jest odpowiedzialny za udostępnienie lub wykorzystanie niezgodnie z Umową danych osobowych powierzonych przez Realizatora projektu, a w szczególności za udostępnienie ich osobom nieupoważnionym.

2. Organ prowadzący odpowiada za szkody majątkowe lub niemajątkowe jakie powstały u Realizatora projektu lub osób trzecich w wyniku przetwarzania powierzonych organu prowadzącemu danych osobowych niezgodnego z przepisami prawa lub Umową.

3. Organ prowadzący ponosi odpowiedzialność – jak za własne działania lub zaniechania – za działania lub zaniechania podmiotów, którym powierzył dalsze przetwarzanie danych powierzonych mu na podstawie Umowy.

4. W przypadku naruszenia przepisów prawa lub Umowy powierzenia z przyczyn leżących po stronie organu prowadzącego, w następstwie czego Realizator projektu zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą pieniężną - organ prowadzący zobowiązuje się zrekompensować Realizatorowi projektu poniesione straty i koszty z tego tytułu.

§ 8.
Usunięcie danych po zakończeniu trwania Umowy

1. Organ prowadzący zobowiązuje się, że – niezwłocznie po zakończeniu okresu wskazanego w § 3 ust. 10 niniejszej Umowy – usunie wszelkie dane osobowe powierzone przez Realizatora projektu oraz wszelkie ich istniejące kopie, w szczególności z nośników elektronicznych pozostających w dyspozycji organu prowadzącego, chyba że przepis prawa nakazuje przechowywanie tych danych osobowych. Organ prowadzący może dysponować jedynie danymi osobowymi i nośnikami, które mogą podlegać kontroli – do czasu związanego z możliwością jej przeprowadzenia lub być podporządkowane pod zasadę trwałości Projektu; po tym czasie winien je niezwłocznie trwale usunąć.

2. Przez usunięcie danych osobowych, o których mowa w ust. 1 powyżej należy rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

3. Dla potwierdzenia wykonania zobowiązania do usunięcia danych oraz ich kopii organ prowadzący – na pisemne żądanie Realizatora projektu i nie dalej niż w terminie 7 (siedmiu) dni od otrzymania tego żądania – doręczy Realizatorowi projektu oryginał lub uwierzytelnioną kopię sporządzonego w formie pisemnej protokołu zniszczenia lub innego dokumentu potwierdzającego przeprowadzenie czynności usunięcia danych oraz ich kopii.

§ 9.
Czas trwania umowy

Niniejsza umowa zostaje zawarta na czas od momentu przystąpienia organu prowadzącego do projektu tj. od dnia ……………………………………….., aż do upływu okresu trwałości Projektu.

§ 10.
Rozwiązanie Umowy

  1. Realizator projektu może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, na wypadek gdy:

  1. pomimo zobowiązania do usunięcia uchybień organ prowadzący nie zaprzestaje niewłaściwego przetwarzania danych osobowych powierzonych przez Realizatora projektu, w szczególności gdy pomimo zobowiązania organu prowadzącego do usunięcia uchybień stwierdzonych podczas kontroli – organ prowadzący nie usunie ich w wyznaczonym terminie;

  2. Organ prowadzący przetwarza dane osobowe powierzone przez Realizatora projektu w sposób niezgodny z Umową lub przepisami prawa;

  3. Organ prowadzący powierzył przetwarzanie danych osobowych powierzonych przez Realizatora projektu innemu podmiotowi pomimo jego sprzeciwu;

  4. Organ prowadzący nie poinformuje Realizatora projektu, w terminie określonym w niniejszej Umowie, o stwierdzonym naruszeniu ochrony danych osobowych.

  1. Rozwiązanie Umowy nie zwalnia organu prowadzącego od odpowiedzialności, o której mowa w § 7 Umowy.

§ 11.
Zasady zachowania poufności

  1. Organ prowadzący zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów oraz dokumentów, w szczególności zawierających dane osobowe otrzymanych od Realizatora projektu ( dane poufne).

  2. Organ prowadzący oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane, ani udostępniane bez pisemnej zgody Realizatora projektu w innym celu niż wykonanie Umowy powierzenia grantu, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.

§ 12.
Przepisy końcowe

  1. Zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

  2. W sprawach nieuregulowanych Umową stosuje się obowiązujące przepisy, w szczególności RODO oraz ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j.: Dz. U. z 2018 r. poz. 1025 z późn. zm.).

  3. W przypadku zmiany przepisów prawa lub wydania przez odpowiednie organy nowych wytycznych lub interpretacji w zakresie stosowania przepisów dotyczących ochrony
    i przetwarzania danych osobowych Strony zobowiązują się do ich stosowania.

  4. Spory wynikłe w związku z zawarciem lub wykonywaniem Umowy - Strony poddają pod rozstrzygnięcie sądu właściwego miejscowo według siedziby Realizatora projektu.

  5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.







Realizator projektu:

Organ prowadzący:









ZAŁĄCZNIKI

Nr 8.1 – Upoważnienie do przetwarzania danych osobowych

Nr 8.2 – Odwołanie upoważnienia do przetwarzania danych osobowych

Nr 8.3 – Oświadczenie uczestnika projektu dot. przetwarzania danych osobowych

S trona 15 z 15



Document Metadata

Filed: February 26th, 2023