Contract


Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej


00-000 Xxxxxxxx xx. Xxxxxxxxxxxxxx 0X xxx.xxxxxxx.xxx.xx

tel: (00) 00 00 000, fax:(00) 00 00 000 xxxxxxx@xxxxxxx.xxx.xx



Załącznik nr 3 do Istotnych Postanowień Umowy



Porozumienie - Umowa powierzenia przetwarzania danych osobowych,

zwane dalej „porozumieniem”



zawarte w dniu ____, w ____, pomiędzy


Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej

z siedzibą w Warszawie, xx. Xxxxxxxxxxxxxx 0x, 00-000 Xxxxxxxx, reprezentowanym przez:

____

zwanym dalej „NFOŚiGW” lub „Administratorem”,

a

____

z siedzibą w____ , ul. ____, wpisaną pod numerem KRS ____ do rejestru ______ Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w ____, ____ Wydział _________ Krajowego Rejestru Sądowego, NIP: ____, REGON: ____, kapitał zakładowy: ____/ wpisanym/-ą do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą: „____”, adres prowadzenia działalności gospodarczej: ____, adres zamieszkania: ____, PESEL: ____1,reprezentowanym/-ą przez:

____

zwanym/-ą dalej „Wykonawcą” lub „Podmiotem przetwarzającym”

zwanymi dalej „Stronami”,


o następującej treści:


§ 1

Powierzenie przetwarzania danych osobowych

  1. NFOŚiGW będąc Administratorem danych osobowych, powierza Wykonawcy, będącemu Podmiotem przetwarzającym, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „RODO”, dane osobowe do przetwarzania, na zasadach i w celu określonym w porozumieniu.

  2. Wykonawca zobowiązuje się przetwarzać powierzone mu dane osobowe na polecenie Administratora zgodnie z porozumieniem, RODO, ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych oraz innymi przepisami prawa powszechnie obowiązującego, chroniącego prawa osób, których dane dotyczą.

§ 2

Zakres i cel przetwarzania danych

1. Podmiot przetwarzający będzie przetwarzał, na podstawie porozumienia, następujące dane osobowe: pracowników, współpracowników, wykonawców2, czyli dane osobowe wskazane w dokumentach powierzonych przez Administratora:

1) imiona, nazwisko;

2) adres zamieszkania;

3) adres e-mail;

4) numer telefonu;

5) numer PESEL

2. Powierzone przez NFOŚiGW dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu wykonywania umowy o numerze _____________ z dnia ____________.

3. Przetwarzanie powierzonych danych osobowych ma charakter ciągły i nie będzie następować przy wykorzystaniu systemów informatycznych Podmiotu przetwarzającego spełniających wymogi z § 3 ust. 1.

4. Podmiot przetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania powierzonych danych: przechowywanie, transportowanie i niszczenie – które są w minimalnym zakresie niezbędne do realizacji celu określonego w ust. 2.

5. Powierzone przez Administratora dane osobowe będą przetwarzane przez okres obowiązywania porozumienia, zgodnie z § 7.

§ 3

Sposób wykonania porozumienia w zakresie przetwarzania danych osobowych

  1. Wykonawca stosuje środki bezpieczeństwa spełniające wymogi RODO, w szczególności, przy przetwarzaniu powierzonych danych osobowych, stosuje do ich zabezpieczenia odpowiednie środki techniczne i organizacyjne, o których mowa w art. 32 RODO.

  2. Wykonawca zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.

  3. Wykonawca zobowiązuje się do nadania upoważnień do przetwarzania danych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji porozumienia w przypadku, gdyby takich upoważnień nie posiadali. Wzór oraz zasady nadawania upoważnień realizowane są zgodnie z regulacjami przyjętymi przez Podmiot przetwarzający.

  4. Wykonawca zobowiązuje się zapewnić zachowanie tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, w procesie przetwarzania danych przez pracowników do tego upoważnionych, zarówno
    w trakcie ich zatrudnienia u Wykonawcy, jak i po jego ustaniu.

  5. Wykonawca po zakończeniu realizacji porozumienia usuwa wszelkie dane osobowe oraz ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

  6. Na żądanie Administratora Podmiot przetwarzający, w przypadku zaistnienia sytuacji, o której mowa
    w ust. 6, niezwłocznie przekazuje Administratorowi oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone niniejszym porozumieniem.

  7. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się
    z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a o których mowa w rozdziale
    III rozporządzenia, oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.

  8. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych mu do przetwarzania danych osobowych.

  9. Wykonawca, po stwierdzeniu naruszenia ochrony danych osobowych, bez zbędnej zwłoki, nie później jednak niż w terminie 36 godzin, zgłasza ten fakt NFOŚiGW. Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 RODO, zawierać informacje umożliwiające Administratorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

  10. W przypadku wystąpienia naruszenia ochrony danych osobowych, powstałego w systemach, za które odpowiedzialność ponosi Podmiot przetwarzający, mogącego powodować w ocenie Administratora wysokie ryzyko naruszenia praw lub wolności osób fizycznych, na wniosek i zgodnie z zaleceniami Administratora, Podmiot przetwarzający, działający w imieniu i na rzecz Administratora, zawiadomi bez zbędnej zwłoki osoby, których to naruszenie ochrony danych osobowych dotyczy.

  11. NFOŚiGW ma obowiązek niezwłocznie, nie później jednak niż w terminie 3 dni, poinformować Wykonawcę o otrzymaniu żądania osoby, której dane dotyczą, zaprzestania przetwarzania jej danych osobowych lub jakichkolwiek innych informacji dotyczących przetwarzania danych jej dotyczących. Dane pozwalające zrealizować żądanie Wykonawca przekaże NFOŚiGW w ciągu 14 dni od dnia otrzymania informacji.

§ 4

Dalsze powierzenie danych do przetwarzania


  1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszym porozumieniem do dalszego przetwarzania innym podmiotom przetwarzającym w imieniu i na rzecz Administratora, pod warunkiem poinformowania Administratora i braku sprzeciwu ze strony Administratora, który to może być wrażony w terminie 7 dni, oraz że wskazany podmiot daje gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 28 ust. 4 RODO.

  2. Podmiot przetwarzający zobowiązuje się zawrzeć z innym podmiotem przetwarzającym pisemną umowę zgodną z celami i warunkami opisanymi w niniejszym porozumieniem.

  3. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo unijne lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

§ 5

Odpowiedzialność Podmiotu przetwarzającego

  1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią porozumienia, a w szczególności za udostępnienie powierzonych mu do przetwarzania danych osobowych osobom nieupoważnionym.

  2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora
    o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w porozumieniu,
    o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.

§ 6

Prawo kontroli

  1. Administrator lub podmiot przez niego upoważniony ma prawo do przeprowadzenia kontroli lub audytu, w celu sprawdzenia poprawności realizacji postanowień niniejszego porozumienia oraz przetwarzania powierzonych mu danych osobowych.

  2. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia.

  3. Administrator lub podmiot przez niego upoważniony realizować będzie kontrole lub audyty
    w miejscach, gdzie są przetwarzane powierzone dane, w godzinach pracy Podmiotu przetwarzającego.

  4. Zawiadomienie o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Podmiotowi przetwarzającemu na co najmniej 3 dni kalendarzowe przed rozpoczęciem czynności.

  5. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Podmiot przetwarzający zobowiązań wynikających z rozporządzenia lub porozumienia, Podmiot przetwarzający umożliwi Administratorowi, lub podmiotowi przez niego upoważnionemu, dokonanie niezapowiedzianej kontroli.

  6. Administrator lub podmiot przez niego upoważniony, mają w szczególności prawo:

  1. dostępu do systemów informatycznych, w których przetwarzane są powierzone do przetwarzania dane osobowe, przeprowadzenia niezbędnych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z rozporządzeniem oraz porozumieniem;

  2. żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych, pracowników Podmiotu przetwarzającego w zakresie niezbędnym do ustalenia stanu faktycznego;

  3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek
    z przedmiotem kontroli lub audytu oraz sporządzania ich kopii.

  1. Podmiot przetwarzający zobowiązuje się do zastosowania się do zaleceń Administratora lub podmiotu przez niego upoważnionego, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas kontroli lub audytu w terminie wskazanym przez Administratora nie dłuższym niż 7 dni roboczych.

§ 7

Czas obowiązywania porozumienia

Powierzone przez Administratora dane osobowe będą przetwarzane przez okres obowiązywania umowy o dofinansowanie, o której mowa w § 2 ust. 2.

§ 8

Zasady zachowania poufności

  1. Wykonawca zobowiązuje się do zachowania w tajemnicy danych osobowych zawartych we wszelkich dokumentach otrzymanych od NFOŚiGW i od współpracujących z nim osób oraz danych uzyskanych
    w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej lub elektronicznej.

  2. Wykonawca oświadcza, że w związku ze zobowiązaniem do zachowania poufności dane osobowe nie będą one wykorzystywane, ujawniane lub udostępniane bez pisemnej zgody NFOŚiGW w innym celu niż wykonanie porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika
    z obowiązujących przepisów prawa lub porozumienia.

  3. Strony zobowiązują się do dołożenia wszelkich starań w celu zapewnienia, aby środki łączności wykorzystywane do odbioru, przekazywania oraz przechowywania danych osobowych gwarantowały zabezpieczenie tych danych, przed dostępem osób trzecich nieupoważnionych do zapoznania się z ich treścią.






_______________________ ______________________

NFOŚiGW Wykonawca


1 Niewłaściwe usunąć łącznie z przypisem

2 Kategorię danych osobowych (np. pracownicy, współpracownicy, wykonawcy) należy uzupełnić odpowiednio, w zależności od tego jakie dane zostaną powierzone i jaki jest cel powierzenia przetwarzania danych

Strona 1 / 6


Document Metadata

Filed: December 8th, 2021