POROZUMIENIE
Załącznik nr 15 do Umowy Operacyjnej – Pożyczka mała oraz Pożyczka duża nr [*]
POROZUMIENIE
w sprawie zasad powierzenia przetwarzania danych osobowych w związku z realizacją Umowy Operacyjnej
nr …………………………………..
Instrument Finansowy – Pożyczka mała oraz Pożyczka duża
zawarte dnia [●] w [●] pomiędzy:
Bankiem Gospodarstwa Krajowego w Warszawie jako Zamawiającym, z siedzibą w Warszawie, Xx. Xxxxxxxxxxxxx 0, 00-000 Xxxxxxxx, działającym na podstawie ustawy z dnia 14 marca 2003 r. o Banku Gospodarstwa Krajowego (tekst jedn. Dz.U. z 2017 r., poz. 1843) oraz Statutu Banku Gospodarstwa Krajowego stanowiącego załącznik do rozporządzenia Ministra Rozwoju z dnia 16 września 2016 r. w sprawie nadania statutu Bankowi Gospodarstwa Krajowego (Dz. U. poz. 1527), NIP: 000-00-00-000, REGON: 000017319,
który reprezentują:
1. zwanym dalej Powierzającym1
a
[●],
który reprezentują:
1.
zwanym dalej „Pośrednikiem Finansowym” lub „Wykonawcą”;
zwanymi dalej łącznie lub osobno Stronami lub Stroną, o następującej treści:
W związku z zawarciem w dniu [●] pomiędzy Powierzającym a Pośrednikiem Finansowym Umowy Operacyjnej –Pożyczka dla MŚP nr [●], zwanej dalej Umową,
Strony postanawiają co następuje:
1 Powierzający pełni funkcję Menadżera Funduszu Funduszy
§ 1 [definicje]
Dla potrzeb niniejszego Porozumienia:
1. administratorem danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba,
o których mowa w art. 3 ustawy o ochronie danych osobowych, decydujący o celach i środkach przetwarzania danych osobowych; Administratorami danych osobowych są odpowiednio (i) Instytucja Zarządzająca, (ii) Ministerstwo Rozwoju, które powierzyły ich przetwarzanie Menadżerowi.
2. Danymi osobowymi są dane osobowe w rozumieniu ustawy o ochronie danych osobowych dotyczące:
1) Pośrednika Finansowego, odbiorców wsparcia oraz ich pracowników, którzy uczestniczą w procesie wdrażania Instrumentów Finansowych w ramach Umowy;
2) uczestników szkoleń, konkursów, konferencji współfinansowanych w ramach Umowy;
3) osób, których dane są przetwarzane w związku z badaniem kwalifikowalności środków w projekcie współfinansowanym ze środków Programu, w tym w szczególności personelu uczestniczącego
w realizacji Umowy, a także oferentów, uczestników komisji przetargowych i wykonawców;
4) pracowników instytucji zaangażowanych we wdrażanie Umowy;
5) osób fizycznych oceniających wnioski składane przez odbiorców wsparcia, realizowane w ramach Umowy;
– przetwarzane przez Pośrednika Finansowego w celu wykonania Umowy.
3. Dokumentem jest każda utrwalona informacja zawierająca dane osobowe, zapisana na dowolnym nośniku, tradycyjnym lub elektronicznym.
4. Pracownikiem jest:
1) osoba świadcząca pracę na podstawie stosunku pracy lub stosunku cywilnoprawnego;
2) osoba fizyczna, która w ramach prowadzonej działalności gospodarczej wykonuje, wyłącznie osobiście, powierzone jej na podstawie umowy cywilnoprawnej zadania,
3) osoba współpracująca w rozumieniu ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych2;
4) osoba wykonująca świadczenia w formie wolontariatu w rozumieniu ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie3,
5. Programem jest Regionalny Program Operacyjny Województwa Lubelskiego na lata 2014–2020;
6. Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych.
2 Tekst jedn. w Dz. U. z 2015 r. poz. 121 ze zm.
3 Tekst jedn. w Dz. U. z 2014 r. poz. 1118 ze zm.
7. Rozporządzeniem jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych4.
8. Ustawą o ochronie danych osobowych jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych5;
§ 2 [przedmiot Porozumienia; dalsze powierzanie przetwarzania danych osobowych]
1. Na podstawie [●] z dnia [●] w sprawie powierzenia przetwarzania danych osobowych w ramach Centralnego Systemu Teleinformatycznego wspierającego realizację programów oraz na podstawie [●] z dnia [●] w sprawie zasad powierzenia przetwarzania danych osobowych oraz w oparciu o art. 31 Ustawy o ochronie danych osobowych, Powierzający powierza Pośrednikowi Finansowemu przetwarzanie danych osobowych na warunkach opisanych w niniejszym Porozumieniu w ramach zbioru: [●], którego elementami składowymi są zbiór: Centralny system teleinformatyczny wspierający realizację programów operacyjnych oraz zbiory [●], w zakresie jaki dotyczy realizacji Umowy.
2. Powierzający umocowuje Pośrednika Finansowego do dalszego powierzenia w imieniu i na rzecz Powierzającego powierzonych do przetwarzania danych osobowych w ramach zbioru, o których mowa w ust. 1 powyżej, podmiotom zaangażowanym we wdrażanie Instrumentów Finansowych, w związku z realizacją Umowy.
3. Powierzenie przetwarzania danych osobowych podmiotom, o których mowa w ust. 2 powyżej, odbywa się na podstawie odrębnych umów lub porozumień zawieranych na piśmie, z zastrzeżeniem, że będą one zawierały wszystkie elementy treści ujętej niniejszym Porozumieniem.
4. Zakres danych osobowych powierzanych do przetwarzania przez Pośrednika Finansowego podmiotom, o których mowa w ust. 2 powyżej, powinien być każdorazowo dostosowany przez Pośrednika Finansowego do celu ich powierzenia, przy czym zakres nie może być szerszy niż zakres określony w § 4 ust. 2 Porozumienia.
5. Pośrednik Finansowy przekazuje Powierzającemu, na każde jego żądanie, wykaz podmiotów, o których mowa w ust. 2 powyżej, którym zostało powierzone przetwarzanie danych osobowych przez Pośrednika Finansowego.
6. Powierzający zobowiązuje Pośrednika Finansowego do:
1) wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 24 i 25 ustawy o ochronie danych osobowych;
2) zawierania umów z podmiotami, o których mowa w ust. 2 powyżej o takiej treści, by podmioty te były zobowiązane postanowieniami umów do wykonywania wobec osób, których dane
4 Xx. X. x 0000 x. Xx 000, poz. 1024
5 Tekst jedn. w Dz. U. z 2016 r. poz. 922
dotyczą, obowiązków informacyjnych wynikających z art. 24 i 25 ustawy o ochronie danych osobowych.
7. Pośrednik Finansowy ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Powierzającego, za szkody powstałe w związku z nieprzestrzeganiem art. 36 - 39 ustawy o ochronie danych osobowych, rozporządzenia oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z niniejszym Porozumieniem lub innymi przepisami prawa.
§ 3 [upoważnienia dla pracowników i ich odwołanie]
1. Powierzający umocowuje Pośrednika Finansowego do:
1) wydawania i odwoływania swoim pracownikom upoważnień do przetwarzania danych osobowych w zbiorze (Pośrednik Finansowy ograniczy dostęp do danych osobowych wyłącznie do pracowników posiadających upoważnienia do przetwarzania danych osobowych w zbiorze);
2) dalszego umocowywania podmiotów, o których mowa w § 2 ust. 2 Porozumienia, do wydawania
i odwoływania ich pracownikom upoważnień do przetwarzania danych osobowych w zbiorze;
3) określenia wzoru upoważnienia do przetwarzania danych osobowych oraz wzoru odwołania upoważnienia do przetwarzania danych osobowych przez podmioty, o których mowa w § 2 ust. 2 Porozumienia.
§ 4 [cele powierzenia danych osobowych do przetwarzania]
1. Dane osobowe są powierzone do przetwarzania Pośrednikowi Finansowemu przez Powierzającego wyłącznie w celu wykonywania zadań Pośrednika Finansowego powierzonych Umową, związanych z wdrażaniem Instrumentów Finansowych w odniesieniu do zbiorów, o których mowa w § 2 ust. 1 Porozumienia, w szczególności w związku z procesem udzielania jednostkowych wsparć, monitorowania realizacji umów zawartych z odbiorcami wsparcia oraz realizacji procesów sprawozdawczości, monitoringu, ewaluacji, kontroli i audytu.
2. Powierzenie danych osobowych do przetwarzania Pośrednikowi Finansowemu obejmuje zakres niezbędny do realizacji Umowy.
§ 5 [sposób postępowania przy przetwarzaniu danych osobowych]
1. Pośrednik Finansowy zapewni środki techniczne i organizacyjne umożliwiające należyte zabezpieczenie danych osobowych, wymagane przepisami prawa, w tym w szczególności ustawy o ochronie danych osobowych oraz rozporządzenia. Pośrednik Finansowy w szczególności zobowiązuje się w odniesieniu do zbiorów:
1) prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w tym w szczególności politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
2) przechowywać dokumenty w specjalnie do tego przeznaczonych szafach zamykanych na zamek lub w zamykanych na zamek pomieszczeniach (niedostępnych dla osób nieupoważnionych do
przetwarzania danych osobowych) oraz zapewniających ochronę dokumentów przed utratą, uszkodzeniem, zniszczeniem, a także przetwarzaniem z naruszeniem ustawy;
3) prowadzić ewidencję pracowników upoważnionych do przetwarzania danych osobowych.
2. Pośrednik Finansowy zobowiąże swoich pracowników, dla przestrzegania odpowiednich zasad postępowania z dokumentami, do:
1) pracy jedynie z dokumentami niezbędnymi do wykonania obowiązków wynikających z Umowy;
2) przechowywania dokumentów w czasie nie dłuższym, niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone;
3) nietworzenia kopii dokumentów innych, niż niezbędne do realizacji Umowy;
4) zachowania w poufności danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu zatrudnienia u Pośrednika Finansowego;
5) zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, przetwarzaniem z naruszeniem ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Pośrednik Finansowy zobowiązuje się do:
1) ograniczenia dostępu do powierzonych do przetwarzania danych osobowych, wyłącznie do pracowników posiadających upoważnienie do przetwarzania danych osobowych;
2) zachowania w poufności wszystkich danych osobowych powierzonych jemu w trakcie obowiązywania Porozumienia lub dokumentów uzyskanych w związku z wykonywaniem czynności objętych Porozumieniem, a także zachowania w poufności informacji o stosowanych sposobach zabezpieczenia danych osobowych, również po rozwiązaniu Porozumienia;
3) wymagania od swoich pracowników przestrzegania należytej staranności w zakresie zachowania w poufności powierzonych do przetwarzania danych osobowych oraz sposobów ich zabezpieczenia;
4) nadzorowania swoich pracowników, w zakresie zabezpieczenia przetwarzanych danych osobowych;
5) udzielania Powierzającemu, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania danych osobowych;
6) zabezpieczenia korespondencji i wszelkich dokumentów, które zawierają dane osobowe przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, a w szczególności przed kradzieżą, uszkodzeniem i zaginięciem;
7) niewykorzystywania zebranych na podstawie Umowy danych osobowych dla celów innych, niż określone w Porozumieniu;
8) przechowywania i archiwizowania danych osobowych w zakresie realizacji Umowy zgodnie z odrębnymi przepisami prawa;
9) usunięcia z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenia nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dane osobowe, po zakończeniu obowiązywania okresu archiwizowania wynikającego z przepisów obowiązującego prawa lub zawartych umów;
10) niezwłocznego przekazania Powierzającemu pisemnego oświadczenia, w którym potwierdzi, że Pośrednik Finansowy nie posiada żadnych danych osobowych, których przetwarzanie zostało jemu powierzone niniejszym Porozumieniem, po zrealizowaniu postanowień pkt 9).
4. Powierzający zobowiązuje Pośrednika Finansowego do zawierania umów lub porozumień z podmiotami, o których mowa w § 2 ust. 2 Porozumienia o takiej treści, by podmioty te były zobowiązane do zapewnienia środków technicznych i organizacyjnych umożliwiających należyte zabezpieczenie danych osobowych, wymaganych przepisami prawa, w tym w szczególności ustawy o ochronie danych osobowych oraz rozporządzenia.
5. Wymagania względem pracowników Pośrednika Finansowego znajdują zastosowanie również względem innych, niż pracownicy osób wykonujących właściwe czynności na rzecz lub w imieniu Pośrednika Finansowego niezależnie od istnienia lub charakteru stosunku prawnego łączącego te osoby z Pośrednikiem Finansowym.
§ 6 [obowiązki informacyjne względem Powierzającego]
1. Pośrednik Finansowy niezwłocznie informuje Powierzającego o:
1) wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony danych osobowych powierzonych do przetwarzania Porozumieniem;
2) wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych, w zakresie powierzonym Porozumieniem, prowadzonych, w szczególności przed Generalnym Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem.
2. Pośrednik Finansowy zobowiązuje się do udzielenia Powierzającemu, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania danych osobowych przez podmioty, o których mowa w § 2 ust. 2 Porozumienia, a w szczególności niezwłocznego przekazywania informacji o każdym przypadku naruszenia obowiązków dotyczących ochrony danych osobowych.
§ 7 [kontrole]
1. Pośrednik Finansowy umożliwi Powierzającemu lub podmiotowi przez niego upoważnionemu, lub administratorowi danych osobowych dokonanie kontroli zgodności z ustawą o ochronie danych osobowych, rozporządzeniem oraz treścią niniejszego porozumienia przetwarzania powierzonych danych osobowych w związku z realizacją Umowy w miejscach, w których są one
przetwarzane, a także zobowiąże podmioty, o których mowa w §2 ust. 2 Porozumienia, do umożliwienia Powierzającemu, lub podmiotowi przez niego upoważnionemu, dokonania kontroli. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane podmiotowi kontrolowanemu co najmniej [●] Dni Roboczych przed rozpoczęciem kontroli.
2. W przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu przez Pośrednika Finansowego zobowiązań wynikających z ustawy o ochronie danych osobowych, rozporządzenia lub treścią niniejszego Porozumienia, Pośrednik Finansowy umożliwi Powierzającemu lub podmiotowi przez niego upoważnionemu, lub administratorowi danych osobowych dokonanie niezapowiedzianej kontroli w celu, o którym mowa w ust. 1 powyżej.
3. Pośrednik Finansowy zobowiąże podmioty, o których mowa w §2 ust. 2 Porozumienia, do umożliwienia Powierzającemu lub podmiotowi przez niego upoważnionemu, lub administratorowi danych osobowych w przypadku powzięcia przez Powierzającego wiadomości o rażącym naruszeniu zobowiązań wynikających z ustawy o ochronie danych osobowych, rozporządzeniu lub treści porozumienia, o którym mowa w §2 ust. 3 Porozumienia, dokonania niezapowiedzianej kontroli.
4. Powierzający lub podmiot przez niego upoważniony, lub Administrator danych osobowych mają w szczególności prawo:
1) wstępu, w godzinach pracy podmiotu kontrolowanego, za okazaniem imiennego upoważnienia, do pomieszczeń, w których jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z ustawą odo, rozporządzeniem odo oraz niniejszymi zasadami;
2) żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych oraz pracowników w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii.
5. Pośrednik Finansowy jest zobowiązany do zastosowania się do zaleceń dotyczących poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania, sporządzonych w wyniku kontroli przeprowadzonych przez Powierzającego lub przez podmiot przez niego upoważniony.
6. Beneficjent zobowiąże podmioty, o których mowa w §2 ust. 2 Porozumienia, do zastosowania się do zaleceń dotyczących poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania, sporządzonych w wyniku kontroli przeprowadzonych przez Powierzającego lub podmiot przez niego upoważniony, lub Administratora danych osobowych.
§ 8 [postanowienia końcowe]
1. W sprawach nieuregulowanych niniejszym Porozumieniem mają zastosowanie przepisy ustawy o ochronie danych osobowych.
2. Niniejsze Porozumienie wchodzi w życie z dniem podpisania i jest zawarte na czas obowiązywania Umowy.
3. Zmiana treści Porozumienia wymaga zachowania formy pisemnej pod rygorem nieważności.
4. Niniejsze Porozumienie zostało sporządzone w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.