P O R O Z U M I E N I E
Dokument zatwierdzony przez Zarząd Banku Ochrony Środowiska SA wrzesień 2021
P O R O Z U M I E N I E
w sprawie podpowierzenia przetwarzania danych osobowych w związku z realizacją
Programu Priorytetowego „Mój elektryk” (dalej: „Porozumienie”)
zawarte w Warszawie w dniu pomiędzy:
Bankiem Ochrony Środowiska Spółka Akcyjna z siedzibą w Warszawie, przy xx. Xxxxxxxx 00, 00-000 Xxxxxxxx, wpisanym do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy, pod numerem KRS 0000015525, kapitał zakładowy w wysokości 929.476.710,00 zł wpłacony w całości, NIP 5270203313, reprezentowanym przez:
- …………………………………………………………………
- …………………………………………………………………
zwanym dalej „Bankiem” lub „Podmiotem przetwarzającym”,
a
………………………………………………………………… (nazwa)
z siedzibą w (miejscowość, adres),
wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w
…………………, …………….. Wydział Gospodarczy, pod numerem KRS ………………….., kapitał zakładowy ,
kapitał wpłacony ……………………............., NIP ,
reprezentowaną przez:
- …………………………………………………………………
- …………………………………………………………………
zwaną dalej „Firmą Leasingową”, lub „Podmiotem podprzetwarzającym”, zwanymi dalej „Stronami”.
W związku z zawarciem przez Bank w dniu 8 września 2021 r. z Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej (zwanym dalej „NFOŚiGW”) umowy o udostępnienie środków finansowych NFOŚiGW na udzielanie dotacji w ramach Programu Priorytetowego „Mój elektryk” i w związku z zawarciem przez Bank w dniu
……… 2021 r. Porozumienia z Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Priorytetowego „Mój elektryk” oraz w związku z zawarciem przez Bank w dniu 2021 r. z Firmą Leasingową umowy o współpracy w związku
z zawieraniem umów leasingu z dotacją w ramach Programu Priorytetowego ”Mój elektryk” (zwanej dalej
„Umową”), Strony zawierają niniejsze porozumienie (zwane dalej „Porozumieniem”) i uzgadniają, co następuje:
§ 1
Definicje
Użyte w Porozumieniu określenia i skróty oznaczają:
1) Administrator – Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej w Warszawie;
2) Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
[Wpisz tutaj]
3) Naruszenie Ochrony Danych Osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób powierzonych do przetwarzania na podstawie niniejszego Porozumienia;
4) Organ Nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych;
5) Pracownik – osobę świadczącą pracę na podstawie stosunku pracy, umowy zlecenia, umowy o dzieło lub innej umowy cywilnoprawnej zawartej z Firmą Leasingową;
6) Program – Program Priorytetowy „Mój elektryk”;
7) Przetwarzanie Danych Osobowych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
8) Rozporządzenie - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016);
9) Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781);
10) Wnioskodawca – osobę/podmiot składającą Wniosek o Dotację.
§ 2
Podpowierzenie Przetwarzania Danych Osobowych
1. Podmiot przetwarzający powierza Podmiotowi podprzetwarzającemu, w trybie art. 28 Rozporządzenia, Xxxx Xxxxxxx do przetwarzania w imieniu i na rzecz NFOŚiGW, na zasadach i w celu określonym w niniejszym Porozumieniu.
2. Podmiot podprzetwarzający zobowiązuje się przetwarzać powierzone mu Dane Osobowe na polecenie Podmiotu przetwarzającego, któremu przetwarzanie Danych Osobowych zostało powierzone przez Administratora, zgodnie z Porozumieniem, Rozporządzeniem, Ustawą oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
§ 3
Zakres, cel i czas trwania Przetwarzania Danych
1. Zakres Danych Osobowych powierzonych Podmiotowi podprzetwarzającemu do przetwarzania dotyczy:
1) Wnioskodawcy o dotację i obejmuje: imię i nazwisko, PESEL, adres zamieszkania, adres korespondencyjny, numer telefonu, adres e-mail, informację o majątkowym ustroju małżeńskim (ustawowa wspólność majątkowa lub rozdzielność majątkowa ze współmałżonką/iem), informację o posiadaniu statusu dużej rodziny (dane dotyczące posiadanej Karty Xxxxx Xxxxxxx), nazwę banku i numer konta bankowego, informację dotyczącą dochodu i inne informacje niezbędne do oceny sytuacji finansowej;
2) współmałżonka Wnioskodawcy (jeśli dotyczy) i obejmuje: imię i nazwisko, adres zamieszkania, XXXXX, informację o majątkowym ustroju małżeńskim (ustawowa wspólność majątkowa lub rozdzielność majątkowa ze współmałżonką/iem);
3) współwłaściciela ujętego we wniosku o dofinansowanie (jeśli dotyczy) i obejmuje: imię i nazwisko, XXXXX, adres zamieszkania;
4) reprezentanta, pełnomocnika Wnioskodawcy i obejmuje: imię i nazwisko, numer PESEL,
5) osoby do kontaktów roboczych i obejmuje: imię i nazwisko, miejsce zatrudnienia, stanowisko, nr telefonu, fax, adres e-mail.
2. Powierzone przez Podmiot przetwarzający Dane Osobowe będą przetwarzane przez Podmiot
podprzetwarzający wyłącznie w celu realizacji Programu Priorytetowego „Mój elektryk” oraz Umowy.
[Wpisz tutaj]
3. Przetwarzanie podpowierzonych Danych Osobowych ma charakter ciągły i następuje przy wykorzystaniu systemów informatycznych Podmiotu podprzetwarzającego spełniających wymogi określone w § 4 ust. 1.
4. Podmiot podprzetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania podpowierzonych Danych Osobowych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – które są w minimalnym zakresie niezbędne do realizacji celu określonego w ust. 2 powyżej.
5. Powierzone przez Podmiot przetwarzający Dane Osobowe Podmiot podprzetwarzający będzie przetwarzał przez okres obowiązywania Umowy, czyli do zakończenia okresu trwałości ostatniego przedsięwzięcia, chyba że prawo Unii lub prawo państwa członkowskiego nakazują dalsze przechowywanie Danych Osobowych. Podmiot podprzetwarzający jest również upoważniony do przetwarzania podpowierzonych Danych Osobowych po rozwiązaniu umowy, o której mowa w zdaniu poprzedzającym, gdy istnieje podstawa prawna do ich przetwarzania przez Podmiot podprzetwarzający wynikająca z powszechnie obowiązujących przepisów prawa lub gdy Podmiot podprzetwarzający przetwarza Dane Osobowe również jako samodzielny administrator danych.
§ 4
Obowiązki Podmiotu podprzetwarzającego
1. Podmiot podprzetwarzający zobowiązuje się, przy przetwarzaniu podpowierzonych Danych Osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z Przetwarzaniem Danych Osobowych, o których mowa w art. 32 Rozporządzenia.
2. Podmiot podprzetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu podpowierzonych Danych Osobowych.
3. Do przetwarzania podpowierzonych Danych Osobowych mogą być dopuszczeni jedynie pracownicy Podmiotu podprzetwarzającego, posiadający imienne upoważnienia do przetwarzania danych osobowych lub upoważnienia do przetwarzania danych osobowych przyjętych w wewnętrznych regulacjach organizacji.
4. Podmiot podprzetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b Rozporządzenia, podpowierzonych do przetwarzania danych przez osoby, które upoważni do przetwarzania danych osobowych w celu realizacji niniejszego Porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie podprzetwarzającym, jak i po jego ustaniu.
5. Podmiot podprzetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Podmiotu przetwarzającego i od współpracujących z nim osób oraz danych dotyczących Programu Priorytetowego „Mój elektryk” uzyskanych w związku z realizacją niniejszego Porozumienia, które nie są danymi publicznie dostępnymi. Bank zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Firmy Leasingowej i od współpracujących z nim osób w zakresie wykonywania niniejszego Porozumienia.
6. Podmiot podprzetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych, o których mowa w ust. 5, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Podmiotu przetwarzającego w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
7. Podmiot podprzetwarzający w dacie zakończania obowiązywania Umowy usuwa wszelkie dane osobowe, z zastrzeżeniem § 3 ust. 5 powyżej.
8. Podmiot podprzetwarzający, w przypadku zaistnienia sytuacji, o której mowa w ust. 7, niezwłocznie, lecz nie później niż do 15 dni roboczych przekazuje Podmiotowi przetwarzającemu oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu podpowierzone niniejszym Porozumieniem.
[Wpisz tutaj]
9. Podmiot podprzetwarzający uwzględniając charakter przetwarzania, w miarę możliwości pomaga Podmiotowi przetwarzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a o których mowa w rozdziale III Rozporządzenia oraz biorąc pod uwagę charakter przetwarzania i dostępne mu informacje pomaga
Podmiotowi przetwarzającemu wywiązywać się z obowiązków określonych w art. 32-36 Rozporządzenia.
10. Podmiot podprzetwarzający zobowiązuje się do udzielenia Podmiotowi przetwarzającemu, na każde jego żądanie, informacji na temat przetwarzania podpowierzonych danych osobowych w ciągu 14 dni roboczych od dnia otrzymania żądania.
11. W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot podprzetwarzający zobowiązany jest przesłać do Podmiotu przetwarzającego uzupełniony i podpisany formularz (oryginał) potwierdzający stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych. Wzór formularza stanowi załącznik nr 1 do niniejszego Porozumienia.
12. W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot podprzetwarzający zobowiązany jest przesłać do Podmiotu przetwarzającego uzupełniony i podpisany formularz kontaktowy do IOD/osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych (oryginał). Wzór formularza stanowi załącznik nr 2 do niniejszego Porozumienia. Podmiot podprzetwarzający zobowiązany jest do aktualizacji przedmiotowego formularza w przypadku zmiany danych kontaktowych.
§ 5
Naruszenia Ochrony Danych Osobowych
1. Podmiot podprzetwarzający, bez zbędnej zwłoki, nie później jednak niż w ciągu 36 godzin po stwierdzeniu naruszenia, zgłosi Podmiotowi przetwarzającemu każde Naruszenie Ochrony Danych Osobowych. Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 Rozporządzenia, zawierać informacje umożliwiające Podmiotowi przetwarzającemu określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
2. Zgłoszenie, o którym mowa w ust. 1, należy przekazać na adres e-mail IOD Banku: xxx@xxxxxxx.xx
3. W przypadku wystąpienia Naruszenia Ochrony Danych Osobowych, powstałego w systemach, za które odpowiedzialność ponosi Podmiot podprzetwarzający, mogącego powodować w ocenie Podmiotu przetwarzającego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Podmiot przetwarzający zawiadomi bez zbędnej zwłoki Administratora.
§ 6
Prawo audytu
1. Podmiot przetwarzający lub podmiot przez niego upoważniony ma prawo do przeprowadzenia audytu lub inspekcji u Podmiotu podprzetwarzającego, w celu sprawdzenia poprawności realizacji postanowień Porozumienia oraz przetwarzania podpowierzonych mu Danych Osobowych.
2. Podmiot podprzetwarzający udostępnia Podmiotowi przetwarzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
3. Podmiot przetwarzający lub podmiot przez niego upoważniony realizować będzie audyty lub inspekcje w miejscach, gdzie są przetwarzane podpowierzone Dane Osobowe, w godzinach pracy Podmiotu podprzetwarzającego w sposób nieutrudniający Podmiotowi podprzetwarzającemu prowadzenie działalności, w sposób i zakresie ustalonym z Podmiotem podprzetwarzającym.
4. Zawiadomienie o zamiarze przeprowadzenia audytu lub inspekcji powinno być przekazane Podmiotowi
podprzetwarzającemu na co najmniej 7 dni roboczych przed rozpoczęciem czynności.
5. W przypadku powzięcia przez Podmiot przetwarzający informacji o rażącym naruszeniu przez Podmiot podprzetwarzający zobowiązań wynikających z Rozporządzenia lub Porozumienia, Podmiot podprzetwarzający umożliwi Podmiotowi przetwarzającemu, lub podmiotowi przez niego upoważnionemu, dokonanie inspekcji niezwłocznie, nie później niż po upływie 24 h.
6. Podmiot przetwarzajacy lub podmiot przez niego upoważniony, mają w szczególności prawo:
1) dostępu do systemów informatycznych, w których przetwarzane są podpowierzone do
[Wpisz tutaj]
Przetwarzania Dane Osobowe, przeprowadzenia niezbędnych czynności kontrolnych
w celu oceny zgodności Przetwarzania Danych Osobowych z Rozporządzeniem oraz Porozumieniem;
2) żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do Przetwarzania Danych Osobowych, pracowników Podmiotu podprzetwarzającego w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem audytu lub inspekcji oraz sporządzania ich kopii.
7. Po przeprowadzonym audycie bądź inspekcji Podmiot przetwarzający lub podmiot przez niego upoważniony sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot podprzetwarzający w terminie uzgodnionym z Podmiotem przetwarzającym, nie dłuższym niż 30 dni roboczych, zobowiązuje się do zastosowania się do zaleceń Podmiotu przetwarzającego lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania podpowierzonych Danych Osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas audytu lub inspekcji.
§ 7
Odpowiedzialność Podmiotu podprzetwarzającego
1. Podmiot podprzetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub nałożonych niniejszym Porozumieniem lub gdy działał poza zgodnymi z prawem instrukcjami Banku lub wbrew tym instrukcjom.
2. Podmiot podprzetwarzający zobowiązuje się do niezwłocznego poinformowania Banku o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot podprzetwarzający Danych Osobowych określonych w Porozumieniu, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania podpowierzonych danych, skierowanych do Podmiotu podprzetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie podprzetwarzającym tych Danych Osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzorczy, o którym mowa w Ustawie o ochronie danych osobowych.
3. Podmiot podprzetwarzający ponosi pełną odpowiedzialność wobec Banku za działanie poza zgodnymi z prawem instrukcjami Banku lub wbrew tym instrukcjom, w szczególności za niezgłoszenie Bankowi stwierdzonego Naruszenia Ochrony Danych Osobowych na zasadach określonych w § 5 ust. 1.
§ 8
Rozwiązanie Porozumienia
Bank może rozwiązać niniejsze Porozumienie ze skutkiem natychmiastowym, gdy Podmiot
podprzetwarzający:
1) nie wdrożył środków wymaganych na mocy art. 32 Rozporządzenia;
2) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji nie usunie ich w terminie wyznaczonym w protokole pokontrolnym podpisanym przez Bank i Podmiot podprzetwarzający;
3) przetwarza Dane Osobowe w sposób niezgodny z Porozumieniem.
§ 9
Postanowienia końcowe
1. Strony będą komunikowały się za pomocą poczty elektronicznej na wskazane adresy e-mail: Bank: …
[Wpisz tutaj]
IOD Banku: xxx@xxxxxxx.xx Firma Leasingowa: …
IOD Firmy Leasingowej: …
2. Porozumienie zostało sporządzone w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze Stron.
3. W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego, Rozporządzenia lub ustawy o ochronie danych osobowych.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszego Porozumienia będzie sąd powszechny właściwości ogólnej.
5. Wszelkie zmiany i uzupełnienia niniejszego Porozumienia wymagają zachowania formy pisemnej pod rygorem nieważności.
6. W związku z wzajemnym udostępnieniem przez Strony danych osobowych osób, którymi Xxxxxx posługuje się przy zawarciu i realizacji Porozumienia, Strony oświadczają, że spełnią wobec tych osób w imieniu Xxxxxx, która dane te otrzyma do przetwarzania, obowiązek informacyjny, o którym mowa w art. 14 RODO. Przedmiotowy obowiązek będzie wypełniany także względem każdej nowej osoby i reprezentanta, którego dane są lub mają być przekazane drugiej Xxxxxxx. Obowiązek po stronie Banku jest realizowany w oparciu o wzór klauzuli stanowiącej Załącznik Nr 3 do Porozumienia, natomiast po stronie Firmy Leasingowej w oparciu o wzór klauzuli stanowiącej Załącznik Nr 4 do Porozumienia.
Załączniki:
1. Formularz potwierdzający stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych;
2. Formularz kontaktowy do inspektora ochrony danych / osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych;
3. Klauzula informacyjna Banku;
4. Klauzula informacyjna Firmy Leasingowej.
[Wpisz tutaj]
Bank Firma Leasingowa
Załącznik nr 1 do Porozumienia
Formularz potwierdzający stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych
……………………………………………………………………………………….. stosuje właściwe
(nazwa i adres Firmy Leasingowej)
środki organizacyjne i techniczne umożliwiające należyte zabezpieczenie danych osobowych, zgodnie z RODO.
□ została opracowana i wdrożona dokumentacja w zakresie ochrony danych osobowych (należy ją wyszczególnić poniżej):
……………………………………………………………………………………………………….
□ wdrożono środki organizacyjne ochrony danych osobowych (należy je wyszczególnić poniżej):
………………………………………………………………………………………………………..
□ wdrożono środki ochrony fizycznej danych osobowych (należy je wyszczególnić poniżej):
……………………………………………………………………………………………………….
□ wdrożono środki ochrony technicznej danych osobowych (należy je wyszczególnić poniżej):
……………………………………………………………………………………………………….
……………………………………
[Wpisz tutaj]
Podpis i pieczęć Firmy Leasingowej
Załącznik nr 2 do Porozumienia
Formularz kontaktowy do inspektora ochrony danych/ osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych
………………………………………………………………………………………………..wyznaczył/
(nazwa i adres Firmy Leasingowej)
nie wyznaczył* inspektora ochrony danych należy podać dane kontaktowe (imię i nazwisko, numer telefonu oraz adres poczty elektronicznej). W przypadku niewyznaczenia inspektora ochrony danych należy wskazać powyższe dane do osoby odpowiedzialnego/-ej za prowadzenie spraw w zakresie ochrony danych osobowych.
………………………………………………………………………………………………………
………………………………………………………………………………………………………
………………………………………………………………………………………………………
……………………………………
[Wpisz tutaj]
Podpis i pieczęć Firmy Leasingowej