Załącznik nr 8 do Regulaminu konkursu nr RPSL.09.02.05-IZ.01-24-263/18 w ramach RPO WSL 2014-2020
Załącznik nr 8 do Regulaminu konkursu nr RPSL.09.02.05-IZ.00-00-000/18 w ramach RPO WSL 2014-2020
Umowa | |
zawarta w dniu | ………………………………………….. |
pomiędzy | ………………………………………….. zwanym dalej w treści umowy „Administratorem” |
reprezentowanym przez | 1 ...…………………………………………………………………………… 2 …………………………………………………………………………….. |
z siedzibą | ul. Ligonia 46, 40-037, Katowice |
a | …………………………………………………………………… |
reprezentowaną przez: | |
1. ……………………………………………………………………… | |
2. ……………………………………………………………………… | |
zwanym w treści umowy „Przetwarzającym”, | |
zwanymi również łącznie jako „Strony”. | |
na podstawie | art. 28 ust. 3 i ust. 9 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE. L. 119 z 4 maja 2016 r. |
dotycząca | powierzenia przetwarzania danych osobowych. |
Mając na uwadze, że:
- Strony zawarły umowę o dofinansowanie projektu („Umowa główna”), w związku z wykonywaniem której Administrator powierzy Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową;
- koniecznym jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu Administratora;
- Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L. 119, s.1)
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
§ 1
Definicje
Dla potrzeb niniejszej umowy, Strony ustalają następujące znaczenie niżej wymienionych pojęć:
1) Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby;
2) Przetwarzanie danych osobowych – wszelkie operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach Danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) Umowa – niniejsza umowa powierzenia przetwarzania danych osobowych;
4) Umowa główna – umowa o dofinansowanie projektu pn.
……………………………współfinansowanego ze środków Europejskiego Funduszu Społecznego w ramach Regionalnego Programu Operacyjnego Województwa Śląskiego na lata 2014-2020 o numerze …………., zawarta przez Strony w dniu wraz
z późniejszymi aneksami.
5) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE. L. 119 z 4 maja 2016 r. wraz ze sprostowaniem z dnia 19.04.2018 r.
§ 2
Oświadczenia Stron
1. Strony oświadczają, że niniejsza Umowa została zawarta w celu wykonania obowiązków, o których mowa w RODO, w związku z zawarciem Umowy głównej.
2. Administrator oświadcza, iż jest administratorem powierzanych do przetwarzania danych osobowych, tj. podmiotem decydującym o celach i środkach przetwarzania danych osobowych.
3. Administrator oświadcza, że spełnia warunki legalności przetwarzania danych osobowych, jak również, że jest uprawniony do powierzenia danych osobowych.
4. Przetwarzający oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającymi mu prawidłowe wykonanie niniejszej Umowy, spełnienie wymogów RODO oraz gwarantuje ochronę praw osób, których dane dotyczą.
5. Przetwarzający na potwierdzenie gwarancji, o których mowa w ust. 4 przekazał Administratorowi opis wdrożonych mechanizmów zapewniających bezpieczeństwo przetwarzania danych osobowych, stanowiący załącznik nr 1.
§ 3
Przedmiot Umowy oraz zakres, charakter i cel przetwarzania danych osobowych
1. Administrator w trybie art. 28 ust 3 RODO powierza Przetwarzającemu do przetwarzania dane osobowe, a Przetwarzający zobowiązuje się do zgodnego z prawem i niniejszą Umową ich przetwarzania, w celu realizacji Umowy głównej
3. Przetwarzanie danych osobowych odbywa się w formie papierowej oraz przy wykorzystaniu systemów informatycznych, w szczególności LSI 2014.
4. Dane osobowe będą przetwarzane w celu obsługi projektu, w szczególności:
a) udzielenia wsparcia
b) potwierdzenia kwalifikowalności wydatków
c) monitoringu
d) ewaluacji
e) kontroli
f) audytu prowadzonego przez upoważnione instytucje
g) sprawozdawczości
h) rozliczenia projektu
i) odzyskiwania wypłaconych beneficjentowi środków dofinansowania
j) zachowania trwałości projektu
k) archiwizacji.
§ 4
Zasady przetwarzania danych osobowych
1. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w § 3 niniejszej Umowy.
2. Przetwarzający zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem Administratora, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez Administratora, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
3. Przetwarzający informuje Administratora przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
4. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO.
5. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
b) współdziałać z Administratorem w wywiązywaniu się z obowiązków określonych w art. 32 -36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Administratorowi informacje dotyczące stosowanych środków zabezpieczania danych osobowych,
c) współdziałać z Administratorem w sytuacji naruszenia ochrony danych osobowych:
i. niezwłocznie informować Administratora o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji,
ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą,
iii. przekazywać informacje niezbędne Administratorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu,
iv. umożliwiać Administratorowi uczestnictwo w czynnościach wyjaśniających i informować Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Xxxxxxxxxxxxxxxx spełnienie obowiązku powiadomienia organu nadzoru.
d) współdziałać z Administratorem w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
e) niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
f) stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO;
g) dopuszczać do przetwarzania danych osobowych, w szczególności do urządzeń w ramach których dane osobowe są przetwarzane, wyłącznie osoby działające z jego upoważnienia, w zakresie wydanych przez Administratora udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych;
h) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w tajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego;
i) prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 RODO, o ile dotyczy.
6. Przetwarzający nie może skorzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Administratora.
7. Przetwarzający zobowiązuje się do niezwłocznego, jednak nie później niż w ciągu 7 dni od powzięcia takiej informacji, poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w zakresie danych osobowych.
8. W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji Administratora, do usunięcia lub zwrócenia Administratorowi wszelkich danych osobowych oraz do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany Administratorowi nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub Umowy głównej, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
9. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Przetwarzający ma obowiązek zastosować się do wymogów, o których mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Przetwarzającego.
§ 5
Prawo kontroli
1. Administrator zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu danych osobowych i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
2. Przetwarzający zobowiązany jest umożliwiać Administratorowi lub wskazanej przez Administratora osobie trzeciej, dokonania audytów lub inspekcji, aby potwierdzić, iż przetwarzanie toczy się zgodnie z prawem oraz niniejszą Umową, a także wykonać wynikające z nich zalecenia, aby zapewnić zgodne z prawem przetwarzanie danych osobowych powierzonych Przetwarzającemu.
3. Administrator realizować będzie prawo audytu lub inspekcji w godzinach pracy Przetwarzającego.
4. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji w terminie wskazanym przez Administratora.
5. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 6
Odpowiedzialność Stron
1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub brakiem zastosowania właściwych środków bezpieczeństwa.
3. Przetwarzający odpowiada za szkody, jakie powstaną u Administratora lub osób trzecich w wyniku niezgodnego z RODO lub niniejszą Umową przetwarzaniem danych osobowych przez Przetwarzającego, w szczególności w sytuacji zapłaty odszkodowania przez Administratora na podstawie art. 82 RODO.
4. W przypadku niewykonania lub nienależytego wykonania przez Przetwarzającego niniejszej Umowy, Przetwarzający zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 7
Wynagrodzenie
Wykonanie przedmiotu niniejszej Umowy przez Przetwarzającego nie będzie wiązać się z dodatkowymi kosztami dla Administratora, ponad koszty przewidziane w Umowie głównej.
§ 8
Zasady zachowania poufności
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 9
Rozwiązanie umowy
Administrator może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym gdy Przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z Umową;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
§ 10
Postanowienia końcowe
1. Niniejsza Umowa wchodzi w życie z dniem jej podpisania i zostaje zawarta na czas obowiązywania Umowy głównej oraz wykonania wszystkich zobowiązań wynikających z niniejszej Umowy.
2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy a Umowy głównej, pierwszeństwo mają postanowienia niniejszej Umowy. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy.
4. W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy RODO oraz przepisy krajowe.
5. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd właściwy dla siedziby Administratora.
6. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
………………………………….. ………………………………..
………………………………….. …..…………………………… Przetwarzający Administrator