Wzór1 Zapisy/umowa powierzenia przetwarzania danych osobowych
Wzór1 Zapisy/umowa powierzenia przetwarzania danych osobowych
pomiędzy:
……………………………………………………, zwanym dalej „Administratorem” a
……………………………………………………, zwanym dalej „Podmiotem przetwarzającym”. zwane dalej łącznie „Stronami” a osobno „Stroną”
1) Mając na uwadze fakt, iż Strony planują/zawarły umowę nr [ ] z dnia [ ] w przedmiocie [ ](dalej „Umowa główna”), w celu realizacji której niezbędne jest powierzenie przez Administratora przetwarzania określonych danych osobowych Podmiotowi przetwarzającemu,
2) w celu realizacji Umowy głównej Wykonawca będzie przetwarzać dane podmiotów określonych jako wykonawcy w programach wsparcia B+R finansowanych z budżetu krajowego oraz beneficjentów w Programie Operacyjnym Inteligentny Rozwój 2014- 2020(POIR), Programie Operacyjnym Wiedza Edukacja Rozwój 2014-2020 (POWER), Programie Operacyjnym Polska Cyfrowa 2014-2020 (POPC), w których NCBR występuje odpowiednio w roli:
-Administratora Danych Osobowych( pkt2):
2) W zakresie programów krajowych, międzynarodowych oraz w zakresie wymaganym do rejestracji konta i w celu utrzymania oraz rozwoju systemu LSI administratorem danych osobowych jest NCBR;
-Podmiotu Przetwarzającego (pkt 3,4):
3) W zakresie danych ekspertów, wnioskodawców, beneficjentów i partnerów POIR, administratorem danych osobowych jest Minister Funduszy i Polityki Regionalnej, z siedzibą w Xxxxxxxxx 00-000, Xxxxxxx 0/0. Minister jako administrator danych osobowych powierzył NCBR przetwarzanie określonych danych osobowych w związku z realizacją POIR na warunkach i w celach określonych w stosownym porozumieniu oraz umocował NCBR do dalszego powierzenia powierzonych danych;
4) W zakresie danych ekspertów, wnioskodawców i beneficjentów programu POWER administratorem danych osobowych jest Minister Funduszy i Polityki Regionalnej, z siedzibą w Xxxxxxxxx 00-000, Xxxxxxx 0/0. Minister jako administrator danych osobowych powierzył NCBR przetwarzanie określonych danych osobowych w związku z realizacją POWER na warunkach i w celach określonych w stosownym porozumieniu oraz umocował NCBR do dalszego powierzenia powierzonych danych;
-Podmiotu Podprzetwarzającego (pkt5):
1 W przypadku, gdy umowa będzie dotyczyła podpowierzenia, należy odpowiednio dostosować dokument.
5) W zakresie danych ekspertów, wnioskodawców i beneficjentów programu POPC administratorem danych osobowych jest Minister Funduszy i Polityki Regionalnej, z siedzibą w Xxxxxxxxx 00-000, Xxxxxxx 0/0. Minister jako administrator danych osobowych powierzył Centrum Projektów Polska Cyfrowa przetwarzanie określonych danych osobowych w związku z realizacją POPC na warunkach i w celach określonych w stosownym porozumieniu, zaś Centrum Projektów Polska Cyfrowa powierzyło przetwarzanie danych osobowych NCBR jako beneficjentowi, w zakresie wynikającym z umowy o dofinansowanie, na mocy której NCBR umocowane jest do dalszego powierzenia przetwarzania danych osobowych,
6) z uwagi na to, że NCBR występuje w różnych rolach- dla ułatwienia- będzie nazywany Administratorem – natomiast……. (Wykonawca) mając na uwadze to, że będzie albo podmiotem przetwarzającym lub też dalszym podmiotem przetwarzającym- dla ułatwienia realizacji niniejszej umowy nazywany będzie Podmiotem przetwarzającym,
7)mając powyższe na względzie Xxxxxx postanowiły o zawarciu niniejszej Umowy,
o następującej treści:
§ 1
1. Przedmiotem przetwarzania są następujące kategorie (rodzaje) danych osobowych: /należy wskazać np.: nazwiska i imiona, data, urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, Numer Identyfikacji Podatkowej, miejsce pracy, zawód, wykształcenie, numer telefonu, numer konta bankowego, e-mail/
2. Przekazywane na podstawie niniejszej Umowy dane osobowych dotyczą następujących kategorii osób: /należy wskazać np.: beneficjenci, eksperci, wnioskodawcy, personel projektu/
3. Przetwarzanie danych osobowych przez Podmiot przetwarzający na podstawie niniejszej Umowy odbywa się wyłącznie w celu realizacji Umowy głównej na polecenie Administratora.
4. Przetwarzanie danych osobowych w ramach niniejszej Umowy odnosi się do następujących kategorii przetwarzań: /należy wskazać na operacje lub zestawy operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, odpowiednio do zakresu współpracy z podmiotem przetwarzającym – zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie – jakim kategoriom odbiorców, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie/.
5. Umowa niniejsza jest zgodna z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) oraz powiązanymi z nim powszechnie obowiązującymi przepisami prawa polskiego.
6. Dane osobowe przetwarzane są w celu realizacji Umowy głównej. Podmiot przetwarzający zobowiązuje się do przetwarzania powierzanych mu danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy głównej.
§ 2
1. Podmiot przetwarzający oświadcza, że zapewnia:
a. wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniło wymogi RODO i chroniło prawa osób, których dane dotyczą,
b. dysponuje odpowiednimi środkami technicznymi i organizacyjnymi dla zapewnienia spełnienia wymogów oraz zapewnienia ochrony praw osób, których dotyczą dane osobowe, przekazywane na podstawie niniejszej umowy, zgodnie z właściwymi przepisami krajowymi, a także przyjętą przez Podmiot przetwarzający dokumentacją ochrony danych.
2. W celu prawidłowej realizacji Umowy głównej, Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych w odniesieniu do rodzajów danych oraz kategorii osób, o których mowa w § 1 niniejszej Umowy.
§ 3
1. Podmiot przetwarzający zobowiązuje się niniejszym:
a) przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa oraz zasadami ochrony określonymi w niniejszej Umowie;
b) przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy także przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający; w takim wypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający zobowiązany jest poinformować Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny;
c) niezwłocznie informować Administratora, jeżeli zdaniem Xxxxxxxx
przetwarzającego, wydane mu polecenie stanowi naruszenie przepisów RODO
lub innych przepisów Unii Europejskiej lub przepisów krajowych o ochronie danych osobowych.
d) dopuścić do przetwarzania danych osobowych wyłącznie osoby posiadające upoważnienie nadane przez Podmiot przetwarzający oraz zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania nieograniczonej w czasie tajemnicy, a także prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych ;
e) niezwłocznie informować Administratora o obowiązku prawnym udostępnienia danych osobowych, chyba że powszechnie obowiązujące przepisy zabraniają udzielenia takiej informacji z uwagi na ważny interes publiczny;
f) podejmować wszelkie środki techniczne i organizacyjne wymagane na mocy Artykułu 32 RODO, aby zapewnić stopień bezpieczeństwa przetwarzania danych osobowych odpowiadający ryzyku naruszenia praw lub wolności osób, których dane dotyczą, w szczególności:
• pseudonimizację lub szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności
systemów i usług przetwarzania danych osobowych,
• zdolność do szybkiego przywrócenia danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;
g) przestrzegać warunków korzystania z usług innego Podmiotu przetwarzającego, o których mowa w Artykule 28 ust. 2 i 4 RODO, z zastrzeżeniem § 4 poniżej;
h) uwzględniając charakter przetwarzania danych osobowych oraz dostępne mu informacje, pomagać Administratorowi wywiązać się z obowiązków określonych w Artykułach 32 – 36 RODO;
i) niezwłocznie informować Administratora o tym, że osoba której dane osobowych dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonania praw, o których mowa w rozdziale III RODO, jak również udostępniać treść tej korespondencji;
j) udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Artykule 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji i przyczyniania się do nich;
k) po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Administratorowi – w zależności od decyzji Administratora - wszelkie dane osobowe, które zostały mu powierzone, jak również usunąć ich istniejące kopie, chyba że przepisy prawa powszechnego nakazują przechowywanie tych danych.
§ 4
1. Strony zgodnie postanawiają, że powierzenie przetwarzania danych osobowych przez Podmiot przetwarzający podmiotowi trzeciemu (dalszemu przetwarzającemu) jest dopuszczalne wyłącznie po uzyskaniu pisemnej zgody Administratora w odniesieniu do konkretnego dalszego przetwarzającego, której wzór stanowi załącznik nr 1 do umowy.
2. W przypadku opisanym w ust. 1 Podmiot przetwarzający zobligowany będzie do umownego zobowiązania w formie pisemnej, każdego z dalszych przetwarzających do przestrzegania takich samych obowiązków i zasad, jakie dotyczą Podmiotu przetwarzającego względem Administratora na podstawie niniejszej umowy oraz przepisów RODO, a także innych odnośnych przepisów dotyczących ochrony danych osobowych.
3. Podmiot przetwarzający w razie skorzystania z usług dalszego przetwarzającego zobowiązuje się nadto zapewnić, by przetwarzanie danych przez ten podmiot odbywało się wyłącznie w celu i w zakresie opisanym w niniejszej Umowie.
§ 5
1. Podmiot przetwarzający zobowiązuje się do prowadzenia rejestru kategorii czynności przetwarzania, na zasadach, o których mowa w Artykule 30 ust. 2 RODO, który zawierać będzie informacje określone w lit. a – d Artykułu 30 ust. 2 RODO.
2. Podmiot przetwarzający w przypadkach, o których mowa w Artykule 37 ust. 1 RODO zobligowany będzie do wyznaczenia inspektora ochrony danych. O fakcie wyznaczenia inspektora ochrony danych Podmiot przetwarzający powiadomi Administratora, wskazując dane kontaktowe inspektora.
3. Podmiot przetwarzający zobowiązuje się do udzielania Administratorowi na każde żądanie informacji na temat przetwarzania powierzonych danych osobowych, a w szczególności do niezwłocznego informowania o każdym przypadku naruszenia w zakresie ochrony danych osobowych.
4. Podmiot przetwarzający zobowiązany jest do wdrożenia i stosowania procedur
służących wykrywaniu naruszeń ochrony danych osobowych oraz wdrażania
właściwych środków naprawczych. Podmiot przetwarzający zobowiązany jest do udostępnienia procedur, o których mowa w zdaniu poprzedzającym, na żądanie Administratora. Podmiot przetwarzający zobowiązany jest do udzielenia odpowiedzi w terminie 3 dni od przesłania przez Administratora żądania w tym zakresie.
5. Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż 24 godziny od powzięcia wiadomości o naruszeniu, zgłasza ten fakt Administratorowi wskazując w zgłoszeniu:
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie oraz przybliżoną liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można pozyskać informacje,
• opis możliwych konsekwencji naruszenia ochrony danych osobowych,
• opis środków zastosowanych lub proponowanych przez podmiot przetwarzający w celu zapobieżenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
6. Zgłoszenie naruszenia ochrony danych osobowych następuje na adres mailowy: xxx@xxxx.xxx.xx .
7. Jeżeli informacji, o których mowa w ust. 5 powyżej, nie da się ustalić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki.
8. Do czasu przekazania Podmiotowi przetwarzającemu instrukcji postępowania w związku z naruszeniem ochrony danych osobowych, Podmiot przetwarzający podejmuje bez zbędnej zwłoki wszelkie działania mające na celu ograniczenie i naprawienie negatywnych skutków naruszenia.
9. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych osobowych powierzonych mu przez Administratora, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, jak również udostępnia tę dokumentację na żądanie Administratora.
10. Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania i zaniechanie.
11. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem danych osobowych w sposób naruszający przepisy RODO, jeśli nie dopełnił obowiązków nałożonych na niego przez RODO lub gdy działał niezgodnie ze zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom.
12. Podmiot przetwarzający ma obowiązek współdziałać z Administratorem na jego żądanie w zakresie ustalenia przyczyn szkody wyrządzonej osobie, której dane dotyczą, jak również zapewnia, że obowiązek ten będzie wypełniać bezpośrednio dalszy przetwarzający w stosunku do Administratora.
13. W razie stwierdzenia przez Administratora istnienia po stronie Podmiotu przetwarzającego uchybień w zakresie realizacji niniejszej Umowy prowadzących do naruszenia bezpieczeństwa powierzonych do przetwarzania danych osobowych, Administrator uprawniony będzie do:
a) żądania niezwłocznego usunięcia uchybień;
b) rozwiązania niniejszej umowy oraz Umowy głównej bez zachowania okresu wypowiedzenia.
14. W przypadku, gdy Administrator zapłaci odszkodowanie za całą wyrządzoną szkodę spowodowaną przetwarzaniem, ma prawo żądania od Podmiotu przetwarzającego zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi on odpowiedzialność.
15. Każda ze stron odpowiada za szkody wyrządzone drugiej stronie oraz osobom trzecim w związku z powierzeniem przetwarzania danych, zgodnie z przepisami kodeksu cywilnego, z zastrzeżeniem postanowień RODO wskazanych powyżej.
§ 6
1. Strony zgodnie postanawiają, że Administrator uprawniony będzie do dokonywania kontroli prawidłowości warunków przetwarzania powierzonych na podstawie niniejszej Umowy danych osobowych przez Podmiot przetwarzający, a Podmiot przetwarzający zobligowany będzie do współdziałania z Administratorem w celu realizacji powyższego zobowiązania w możliwe szerokim zakresie, tj. w szczególności udostępni Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przyjętych obowiązków oraz umożliwi Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji.
2. Termin przeprowadzenia kontroli, o której mowa w ust. 1 zostanie ustalony z Podmiotem przetwarzającym, jednak kontrola nie może odbyć się później niż 5 dni roboczych od przekazania Podmiotowi przetwarzającemu pisemnej informacji.
3. Podmiot przetwarzający na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia pisemnej informacji dotyczącej przetwarzania powierzonych mu danych osobowych, w terminie 5 dni roboczych od dnia otrzymania wniosku.
4. Po przeprowadzonym audycie przedstawiciel Administratora lub upoważniony przez Administratora przedstawiciel audytora, sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający zobowiązuje się w terminie uzgodnionym z Administratorem, dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
5. Administrator ma prawo żądania od Podmiotu przetwarzającego składania
pisemnych wyjaśnień dotyczących realizacji niniejszej Umowy.
6. Podmiot przetwarzający zobowiązany jest zapewnić w umowie z dalszym przetwarzającym, możliwość przeprowadzenia przez Podmiot przetwarzający audytu zgodności przetwarzania danych osobowych na zasadach określonych w niniejszej Umowie.
7. Koszty przeprowadzenia audytu ponosi podmiot, który zlecił przeprowadzenia audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
§ 7
1. Zgodnie z art. 28 ust. 3 lit. e RODO, biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający w miarę możliwości pomaga Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
2. Podmiot przetwarzający zobowiązany jest do wsparcia Administratora w zakresie realizacji następujących praw podmiotów danych:
a. Obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO,
b. Prawa dostępu do danych osobowych,
c. Prawa do sprostowania danych osobowych,
d. Prawa do usunięcia danych osobowych,
e. Prawa do ograniczenia przetwarzania,
f. Obowiązku informowania o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,
g. Prawa do przenoszenia danych osobowych,
h. Prawa do sprzeciwu,
i. Kwestii związanych z prawem do niepodlegania zautomatyzowanemu przetwarzaniu danych osobowych, w tym profilowaniu.
3. W przypadku otrzymania żądania od Administratora w zakresie uzyskania wsparcia w związku z realizacją praw wymienionych w ust. 2 Podmiot przetwarzający w terminie 5 dni od otrzymania żądania poinformuje Administratora o wykonaniu żądania.
4. Jeżeli Podmiot przetwarzający nie jest w stanie zrealizować żądania, o którym mowa w ust. 2, jest on zobowiązany do przygotowania i przekazania wyjaśnień opisujących przyczyny, dla których nie zrealizował żądania Administratora.
§ 8
Powierzenie przetwarzania trwa przez czas obowiązywania Umowy głównej.
§ 9
1. Zmiana niniejszej Umowy nastąpić może wyłącznie w formie pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych w niniejszej Umowie zastosowanie mają odpowiednio przepisy Kodeksu cywilnego, RODO oraz innych obowiązujących przepisów z zakresu ochrony danych osobowych.
3. Podmiot przetwarzający nie może przenieść praw i obowiązków wynikających z niniejszej umowy bez pisemnej zgody Administratora.
4. Podmiot przetwarzający oświadcza, że znane są mu sankcje przewidziane za naruszenie obowiązków w zakresie ochrony danych osobowych przewidziane w RODO. Jeżeli w wyniku naruszenia przez Xxxxxxx przetwarzający przepisów RODO oraz niniejszej Umowy Administrator zobligowany będzie do zapłaty kary pieniężnej lub odszkodowania, Podmiot przetwarzający zobowiązuje się zwrócić Administratorowi wszelkie poniesione z tego tytułu koszty i wydatki.
5. Umowa została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.
6. Integralną część Umowy stanowi załącznik nr 1: Wzór zgody.
Pisemna zgoda administratora danych na korzystanie przez podmiot przetwarzający
z usług dalszych przetwarzających
Działając w imieniu administratora danych, zgodnie z § 4 ust. 1 Umowy nr … z dnia …, niniejszym wyrażam zgodę na korzystanie przez podmiot przetwarzający z usług dalszych przetwarzających na podstawie ww. Umowy.
W imieniu administratora danych
………………………………………. podpis, pieczątka, data