UMOWA DOTYCZĄCA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W ZWIĄZKU Z REALIZACJĄ PROGRAMU OPERACYJNEGO INFRASTRUKTURA i ŚRODOWISKO 2014-2020

UMOWA DOTYCZĄCA POWIERZENIA
PRZETWARZANIA DANYCH OSOBOWYCH W ZWIĄZKU Z REALIZACJĄ PROGRAMU OPERACYJNEGO INFRASTRUKTURA i ŚRODOWISKO 2014-2020

zawarta w ……………., w dniu …………………….. r. (dalej jako „Umowa”) pomiędzy:

Skarbem Państwa – Centrum Unijnych Projektów Transportowych¹, państwową jednostką budżetową działającą na podstawie zarządzenia Nr 5 Ministra Transportu z dnia 29 marca 2007 r. w sprawie utworzenia państwowej jednostki budżetowej Centrum Unijnych Projektów Transportowych (Dz. Urz. MT Nr 3, poz. 8 z późn. zm.) z siedzibą w Warszawie, Plac Europejski 2, 00-844 Xxxxxxxx, XXX 0000000000, REGON 141007145,

reprezentowanym przez: Panią Xxxxxx Xxxx - Dyrektora Centrum Unijnych Projektów Transportowych, działającą na podstawie aktu powołania z dnia 27 września 2022 r., którego kopia stanowi załącznik nr 1 do Umowy,

zwanym dalej „Administrującym”,

a

…………………………………………………………………….. z siedzibą w ………………., ul. ……….., …-… ………., NIP ………., REGON …,:

reprezentowaną/ym przez: …………….. - ………………………., na podstawie …………………² z dnia ……………..., która stanowi załącznik nr 2 do Umowy,

zwanym/ą dalej „Beneficjentem”,

zaś wspólnie zwanymi dalej „Stronami”,

PREAMBUŁA

W związku z zawarciem pomiędzy ministrem właściwym ds. rozwoju regionalnego (obecnie: Minister Funduszy i Polityki Regionalnej), pełniącym funkcję Instytucji Zarządzającej Programem Operacyjnym Infrastruktura i Środowisko 2014-2020 (dalej również jako: POIiŚ 2014-2020) a Centrum Unijnych Projektów Transportowych, pełniącym funkcję Instytucji Pośredniczącej POIiŚ 2014-2020:

1. Porozumienia z dnia 25 listopada 2014 r. (z późn. zm.) którego przedmiotem jest powierzenie realizacji Programu Operacyjnego Infrastruktura i Środowisko na lata 2014-2020 w zakresie osi priorytetowych: III - Rozwój sieci drogowej TEN-T i transportu multimodalnego, IV - Infrastruktura drogowa dla miast, V - Rozwój transportu kolejowego w Polsce oraz VI - Rozwój niskoemisyjnego transportu zbiorowego w miastach, a także w zakresie realizacji zadań w ramach osi priorytetowej X - Pomoc techniczna;

2. Porozumienia z dnia 23 października 2015 r. w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, zmienionego Aneksem z dnia 13 lipca 2018 r.,

mocą których to Porozumień doszło do powierzenia Administrującemu przez Administratora przetwarzania danych osobowych w ramach zbiorów pn.:

1) Program Operacyjny Infrastruktura i Środowisko 2014-2020;

2) Centralny system teleinformatyczny, wspierający realizację programów operacyjnych - w zakresie niezbędnym do realizacji zadań związanych ze zbiorem Program Operacyjny Infrastruktura i Środowisko 2014-2020³,

oraz w związku z zawarciem pomiędzy Administrującym a Beneficjentem umowy/umów o dofinansowanie projektu/projektów w rozumieniu art. 52 ustawy wdrożeniowej – w trakcie realizacji, których przetwarzane są dane osobowe w ramach ww. zbiorów danych osobowych, w projektach Beneficjentów realizowanych w ramach nw. osi priorytetowych:

• III - Rozwój sieci drogowej TEN-T i transportu multimodalnego⁴,

• IV - Infrastruktura drogowa dla miast⁵,

• V - Rozwój transportu kolejowego w Polsce⁶,

• VI - Rozwój niskoemisyjnego transportu zbiorowego w miastach⁷,

a także w zakresie realizacji zadań w ramach osi priorytetowej X⁸,

Strony postanawiają, co następuje:

§ 1.

Definicje

Ilekroć w Umowie jest mowa o:

1) ustawie - 2) ustawie wdrożeniowej -	należy przez to rozumieć ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781); należy przez to rozumieć ustawę z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (Dz. U. z 2020 r., poz. 818 z późn. zm.);
3) RODO - 4) wytyczne -	należy przez to rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 4.05.2016 r. str. 1-88 z późn. zm.) (RODO); należy przez to rozumieć wytyczne ministra właściwego do spraw rozwoju regionalnego w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020, o których mowa w art. 5 ust. 1 pkt 8 ustawy wdrożeniowej;
5) danych osobowych -	należy przez to rozumieć dane osobowe w rozumieniu art. 4 pkt 1 RODO, dotyczące: wnioskodawców, beneficjentów i partnerów (oraz ich pracowników), którzy aplikują o środki unijne i realizują projekty (w tym projekty pomocy technicznej9) w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, pracowników instytucji zaangażowanych w przygotowanie i obsługę projektów (w tym projektów pomocy technicznej10), jak również we wdrażanie i  realizację Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, osób, których dane są przetwarzane w związku z badaniem kwalifikowalności środków w projektach w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, w tym w szczególności personelu projektu, a także uczestników komisji przetargowych, oferentów i wykonawców, realizujących umowy w sprawie zamówienia publicznego oraz świadczących usługi na podstawie umów cywilnoprawnych, uczestników Komitetów Monitorujących, grup roboczych oraz szkoleń, konkursów, konferencji i innych wydarzeń o charakterze informacyjnym czy promocyjnym w zakresie realizacji projektów, w tym projektów pomocy technicznej11, w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, - przetwarzane przez Beneficjenta w celu wykonywania zadań związanych z realizacją projektów w ramach POIiŚ 2014-2020, wynikających w szczególności z umowy lub umów o dofinansowanie, a także z niniejszej Umowy;
6) Administratorze danych osobowych -	należy przez to rozumieć ministra właściwego do spraw rozwoju regionalnego;
7) Administrującym -	należy przez to rozumieć Centrum Unijnych Projektów Transportowych jako podmiot, który przetwarza dane osobowe powierzone mu na podstawie art. 28 ust. 3 RODO i administruje zbiorem danych osobowych lub danymi osobowymi w procesie ich przetwarzania;
8) przetwarzaniu danych osobowych -	należy przez to rozumieć przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO, tj. operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
9) umowie o dofinansowanie -	należy przez to rozumieć umowę o dofinansowanie zawartą z Beneficjentem przez Administrującego na podstawie art. 52 ustawy wdrożeniowej w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020;
10) projekcie -	należy przez to rozumieć przedsięwzięcie realizowane przez Beneficjenta na podstawie zawartej umowy/umów o dofinansowanie z Administrującym w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020;
11) dokumencie -	należy przez to rozumieć dowolny nośnik tradycyjny lub elektroniczny, na którym zostały zapisane dane osobowe;
12) pracowniku -	należy przez to rozumieć osobę świadczącą pracę na podstawie stosunku pracy lub stosunku cywilnoprawnego, a także praktykantów, stażystów, wolontariuszy, osoby współpracujące w rozumieniu ustawy z 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2022 r. poz. 1009 z późn. zm.);
13) centralnym systemie teleinformatycznym -	należy przez to rozumieć system teleinformatyczny, o którym mowa w rozdziale 16 ustawy wdrożxxxxxxx00;
14) SL2014 -	należy przez to rozumieć aplikację główną centralnego systemu teleinformatycznego13;
15) SL 2014-PT -	należy przez to rozumieć aplikację centralnego systemu teleinformatycznego, wspierającą obsługę projektów pomocy technicznej14.

§ 2.

Przedmiot Umowy

1. Na podstawie art. 28 ust. 3 RODO, w związku z § 2 ust. 3 pkt 1 i ust. 4 Porozumienia z dnia 23 października 2015 r. w sprawie powierzenia przetwarzania danych osobowych w związku
   z realizacją Programu Operacyjnego Infrastruktura i Środowisko 2014-2020 (z późn. zm.)¹⁵ zawartego pomiędzy Administratorem a Administrującym, Administrujący powierza Beneficjentowi przetwarzanie danych osobowych na zasadach określonych w niniejszej Umowie oraz w celu określonym w ust. 2.

2. Dane osobowe są powierzone przez Administrującego do przetwarzania Beneficjentowi wyłącznie w celu:

1) aplikowania o środki unijne i realizacji projektów, w tym projektów pomocy technicznej¹⁶, potwierdzania kwalifikowalności wydatków, udzielania wsparcia na realizację projektów, wnioskowania o płatności do Komisji Europejskiej, raportowania o nieprawidłowościach, ewaluacji, monitoringu, kontroli, audytu, sprawozdawczości oraz działań informacyjno - promocyjnych w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020,

2) zapewnienia realizacji obowiązku informacyjnego, dotyczącego przekazywania do publicznej wiadomości informacji o podmiotach uzyskujących wsparcie ze środków Programu Operacyjnego Infrastruktura i Środowisko 2014-2020¹⁷.

Beneficjent nie decyduje o celach i środkach przetwarzania danych osobowych.

3. Przetwarzanie danych osobowych ma miejsce w ramach zbiorów pn.:

1) Program Operacyjny Infrastruktura i Środowisko 2014-2020;

2) Centralny system teleinformatyczny, wspierający realizację programów operacyjnych -
w zakresie niezbędnym do realizacji zadań związanych ze zbiorem Program Operacyjny Infrastruktura i Środowisko 2014-2020¹⁸.

4. Beneficjent zobowiązuje się do przetwarzania powierzonych do przetwarzania danych osobowych zgodnie z Umową, ustawą, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.

5. Beneficjent oświadcza, że posiada niezbędne zasoby, wiedzę, doświadczenie do wykonania niniejszej Umowy i zapewnił wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych odbywało się zgodnie z Umową oraz umową/umowami o dofinansowanie, obowiązującymi przepisami prawa, w zakresie i celu wskazanych w Umowie, spełniało wymogi zasady minimalizacji danych i zasady domyślnej ochrony danych, a także zapewniało ochronę odpowiednią do zagrożeń oraz klasyfikacji danych objętych ochroną.

6. Beneficjent przy przetwarzaniu powierzonych do przetwarzania danych osobowych zobowiązuje się do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, w celu zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych.

7. Administrujący zobowiązuje Beneficjenta do korzystania wyłącznie z usług takich podmiotów świadczących usługi na rzecz Beneficjenta, które zapewnią wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

8. Powierzenie, o którym mowa w ust. 1, następuje na okres nie dłuższy niż 30 dni kalendarzowych po upływie terminów przechowywania dokumentów i archiwizacji danych związanych z realizacją Programu Operacyjnego Infrastruktura i Środowisko 2014-2020 (wskazanych również
   w umowie/umowach o dofinansowanie), tj. dwóch lat od dnia 31 grudnia następującego po złożeniu zestawienia wydatków do Komisji Europejskiej, w którym ujęto ostateczne wydatki dotyczące zakończonego projektu/projektów - z zastrzeżeniem:

1) konieczności dłuższego przechowywania dokumentów dla celów kontroli, zgodnie z art. 23 ust. 3 ustawy wdrożeniowej oraz w innych sytuacjach wskazanych w umowie/umowach o dofinansowanie,

2) możliwości przedłużenia tego terminu, jeżeli w uzasadnionych przypadkach zachodzi konieczność dłuższego niż termin, o którym mowa w zd. 1, przechowywania dokumentacji - zgodnie z innymi zasadami obowiązującymi u Beneficjenta.

O możliwości przedłużenia terminu, o którym mowa w zd. 1, z przyczyn o których mowa w punkcie 2, Beneficjent poinformuje Administrującego na piśmie.

9. Beneficjent prowadzi rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO, w zakresie odnoszącym się do zbiorów wskazanych w ust. 3.

10. Beneficjent zapewnia bieżącą aktualność rejestru, o którym mowa w ust. 9, a także przekazuje go Administrującemu lub Administratorowi na każde jego żądanie.

11. Beneficjent zobowiąże podmioty świadczące usługi na jego rzecz, którym powierzono przetwarzanie danych osobowych, poprzez odpowiednie postanowienia w umowie powierzenia, by prowadziły rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO,
    w zakresie odnoszącym się do zbiorów wskazanych w ust. 3 z uwzględnieniem w stosunku do tych podmiotów, wymogu o którym mowa w ust. 10.

§ 3.

Upoważnienia do przetwarzania danych osobowych

1. Administrujący umocowuje Beneficjenta do wydawania i odwoływania pracownikom Beneficjenta upoważnień do przetwarzania danych osobowych na podstawie art. 29 w związku z art. 28 ust. 3 lit. a RODO - celem realizacji zasady przetwarzania danych z upoważnienia Administrującego (oraz na jego udokumentowane polecenie) w zbiorze, o którym mowa w § 2 ust. 3 pkt 1 – w zakresie, w jakim jest to niezbędne do wykonywania przez tych pracowników zadań związanych z celami, o których mowa w § 2 ust. 2.

2. Wzór upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych został określony w załączniku nr 3 do Umowy¹⁹. Wzór odwołania upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych został określony w załączniku nr 4 do Umowy²⁰.

3. Administrujący umocowuje Beneficjenta do takiego formułowania umów i porozumień zawieranych z podmiotami, o których mowa w § 7 Umowy, aby były one uprawnione do wydawania i odwoływania swoim pracownikom upoważnień do przetwarzania danych osobowych w zbiorze,
   o którym mowa w § 2 ust. 3 pkt 1 - w ramach wykonywanych przez te podmioty zadań związanych z realizacją projektów w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020.

4. Administrujący dopuszcza stosowanie przez Beneficjenta wzorów: upoważnień i odwołania upoważnień, innych niż wskazane w ust. 2, o ile będą one zawierać co najmniej wszystkie elementy treści ujętej odpowiednio w załączniku nr 3 lub 4 do Umowy.

5. Upoważnienia do przetwarzania danych osobowych w zbiorze, o którym mowa w § 2 ust. 3 pkt 2, wydaje wyłącznie Administrator, zgodnie z zasadami wynikającymi z Wytycznych Ministra Rozwoju i Finansów z grudnia 2017 r. w zakresie warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2014-2020.

§ 4.

Zakres danych osobowych powierzonych do przetwarzania

Maksymalny zakres danych osobowych²¹ powierzonych do przetwarzania Beneficjentowi w zbiorach,
o których mowa w § 2 ust. 3 pkt 1 i 2 został określony odpowiednio w załączniku nr 7 i nr 8²² do Umowy.

§ 5.

Obowiązki Beneficjenta związane z prowadzeniem dokumentacji i zabezpieczeniem przetwarzanych danych osobowych

1. Beneficjent zapewnia odpowiednie środki ochrony (techniczne i organizacyjne), gwarantujące należyte zabezpieczenie danych osobowych, wymagane przepisami prawa powszechnie obowiązującego, w tym w szczególności RODO, a na żądanie Administratora lub Administrującego przedstawi wszelkie informacje o takich środkach. Ponadto Beneficjent niezwłocznie nie później niż w terminie 21 dni od wystąpienia zmian, poinformuje Administrującego o wszelkich zmianach, które zaistnieją w obszarze zapewnionych środków ochrony. Przekazanie informacji, o których mowa powyżej, może w szczególności nastąpić w zakresie określonym w załączniku nr 6 do Umowy, gdzie wskazano jedynie przykładowy zakres informacji.

2. Beneficjent zobowiązuje się w szczególności do:

1) w odniesieniu do zbioru pn. Program Operacyjny Infrastruktura i Środowisko 2014-2020:

1. prowadzenia dokumentacji w zakresie ochrony danych osobowych, spełniającej wymagania dla środków organizacyjnych i technicznych, o których mowa w art. 24 ust. 2 RODO, opisującej sposób przetwarzania powierzonych danych osobowych oraz środki techniczne i organizacyjne, służące zapewnieniu ochrony i bezpieczeństwa przetwarzanych danych osobowych, odpowiadające ryzyku przetwarzania danych, które uwzględniają warunki przetwarzania, w szczególności te, o których mowa w art. 32 RODO;

2. zapewniania przechowywania dokumentów tak, aby zabezpieczyć powierzone do przetwarzania dane osobowe przed: utratą, zabraniem przez osobę nieuprawnioną, uszkodzeniem, zniszczeniem, a także przetwarzaniem z naruszeniem przepisów RODO i ustawy,

3. prowadzenia ewidencji pracowników upoważnionych do przetwarzania danych osobowych,

2) w odniesieniu do zbioru pn. Centralny system teleinformatyczny wspierający realizację programów operacyjnych:

1. zapewnienia środków technicznych i organizacyjnych, określonych w Regulaminie bezpieczeństwa informacji przetwarzanych w aplikacji głównej centralnego systemu teleinformatycznego²³ oraz w Regulaminie bezpieczeństwa informacji przetwarzanych w aplikacji SL2014-PT centralnego systemu teleinformatycznego²⁴,

2. zobowiązania podmiotów, o których mowa w § 7 Umowy, do zapewnienia środków technicznych i organizacyjnych, określonych w Regulaminie bezpieczeństwa informacji przetwarzanych w aplikacji głównej centralnego systemu teleinformatycznego²⁵ oraz w Regulaminie bezpieczeństwa informacji przetwarzanych w aplikacji SL2014-PT centralnego systemu teleinformatycznego²⁶.

3. Przed wydaniem upoważnień do przetwarzania danych osobowych Beneficjent zobowiąże pracowników do zapoznania się z obowiązującymi przepisami prawa, które regulują kwestię ochrony danych osobowych w tym w szczególności z RODO oraz ustawą.

4. Beneficjent zobowiąże pracowników, upoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, do dochowania należytej staranności w zakresie odnoszącym się do ochrony danych osobowych oraz przestrzegania następujących zasad postępowania z dokumentami:

1. świadczenia pracy jedynie przy użyciu dokumentów niezbędnych do wykonania obowiązków wynikających z niniejszej Umowy oraz umowy/umów o dofinansowanie

2. przechowywania dokumentów w czasie nie dłuższym niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone - zgodnie z przepisami prawa powszechnie obowiązującego, niniejszą Umową oraz umową/umowami o dofinansowanie;

3. nietworzenia kopii dokumentów innych niż niezbędne do realizacji niniejszej Umowy oraz umowy/umów o dofinansowanie

4) zachowania tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, powierzonych do
przetwarzania danych osobowych zarówno w trakcie trwania stosunku prawnego łączącego
pracownika z Beneficjentem, jak i po jego ustaniu;

5) zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania
powierzonych do przetwarzania danych osobowych, przetwarzaniem z naruszeniem RODO, ustawy,
nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem, a także przenoszeniem
dokumentów poza miejsce ich przetwarzania.

5. Beneficjent będzie stale nadzorował pracowników upoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych - w zakresie zabezpieczenia przetwarzania danych osobowych.

6. Beneficjent zobowiązuje się do:

1. ograniczenia dostępu do powierzonych do przetwarzania danych osobowych wyłącznie do osób posiadających upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych, wydane przez Beneficjenta;

2. zobligowania swoich pracowników do zachowania w tajemnicy wszystkich danych osobowych powierzonych mu w trakcie obowiązywania niniejszej Umowy oraz umowy/umów o dofinansowanie lub dokumentów uzyskanych w związku z wykonywaniem czynności objętych Umową oraz umową/umowami o dofinansowanie, a także zachowania w tajemnicy informacji o stosowanych sposobach zabezpieczenia danych osobowych, również po rozwiązaniu Umowy oraz umowy/umów o dofinansowanie;

3. zabezpieczenia korespondencji i wszelkich dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, a w szczególności przed kradzieżą, uszkodzeniem i zaginięciem;

4. niewykorzystywania zebranych na podstawie niniejszej Umowy oraz umowy/umów o dofinansowanie danych osobowych dla celów innych niż określone w Umowie;

5. usunięcia powierzonych do przetwarzania danych osobowych z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenia nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dane osobowe, w okresie nie dłuższym niż 14 dni kalendarzowych po upływie terminów przechowywania dokumentów i archiwizacji danych związanych z realizacją Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, o których mowa w § 2 ust. 8 Umowy (w  przypadku ewentualnego przedłużenia ww. terminów, o czym Beneficjent poinformuje Administrującego na piśmie, a obowiązek ten będzie zobowiązany wykonać w ciągu 14 dni od upływu wydłużonego terminu), chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

7. Beneficjent, w przypadku przetwarzania powierzonych danych osobowych w systemie informatycznym, zobowiązuje się do przetwarzania ich w centralnym systemie teleinformatycznym²⁷ albo w innym systemie informatycznym, zabezpieczonym poprzez zastosowanie środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO..

8. Przetwarzanie danych osobowych w zbiorach, o których mowa w § 2 ust. 3 Umowy jest zgodne z prawem i spełnia warunki, o których mowa:

1. 1) w odniesieniu do zbioru pn. Program Operacyjny Infrastruktura i Środowisko 2014-2020 - w art. 6 ust. 1 lit. b, c i e RODO;

2) w odniesieniu do zbioru pn. Centralny system teleinformatyczny, wspierający realizację programów operacyjnych - w zakresie niezbędnym do realizacji zadań związanych ze zbiorem Program Operacyjny Infrastruktura i Środowisko 2014-2020 - art. 6 ust. 1 lit. c RODO.

§ 6.

Obowiązki Beneficjenta

1. Administrujący zobowiązuje Beneficjenta do wykonywania obowiązków informacyjnych wynikających z art. 13 i 14 RODO wobec osób, których dane są lub będą przetwarzane zgodnie z celem określonym
   w § 2 ust. 2 Umowy, w ramach zbiorów wymienionych w § 2 ust. 3 Umowy oraz w zakresie wskazanym w załącznikach nr 7 i 8 do Umowy. Sposób wykonania obowiązku informacyjnego zostanie ustalony przez Beneficjenta i przedstawiony Administrującemu w terminie 21 dni od dnia zawarcia Umowy, celem ostatecznej akceptacji przyjętego rozwiązania. Wzór klauzuli informacyjnej stanowiącej realizację obowiązku informacyjnego, zawiera załącznik nr 9 do niniejszej Umowy²⁸.

2. Administrujący dopuszcza stosowanie przez Beneficjenta innego wzoru klauzuli informacyjnej, o której mowa w ust. 1, o ile będzie on zawierać, obligatoryjne elementy treści ujętej w załączniku nr 9 do niniejszej Umowy.

3. Beneficjent zobowiązuje się do niezwłocznego przekazania Administrującemu pisemnego oświadczenia, w którym potwierdzi, że Beneficjent nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone Umową, po zrealizowaniu postanowień określonych w § 5 ust. 6 pkt 5.

4. Beneficjent niezwłocznie poinformuje Administrującego o:

1. wszelkich przypadkach naruszenia przez Beneficjenta obowiązków dotyczących ochrony danych osobowych powierzonych do przetwarzania na mocy niniejszej Umowy, naruszenia tajemnicy tych danych osobowych lub ich niewłaściwego wykorzystania;

2. wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych (powierzonych do przetwarzania na mocy niniejszej Umowy) prowadzonych w szczególności przez Prezesa Urzędu Ochrony Danych Osobowych, urzędy państwowe, Policję lub sąd.

5. Beneficjent zobowiązuje się do udzielenia Administrującemu lub Administratorowi, na każde jego żądanie, informacji na temat przetwarzania powierzonych do przetwarzania na mocy niniejszej Umowy danych osobowych.

6. Biorąc pod uwagę charakter przetwarzania, w miarę możliwości, na każde żądanie Administrującego Beneficjent wspomaga Administrującego lub Administratora, poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonania jej praw określonych w rozdziale III RODO.

7. W przypadku wystąpienia naruszenia ochrony danych osobowych, mogącego w ocenie Administrującego powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Beneficjent zgodnie z zaleceniami Administrującego bez zbędnej zwłoki zawiadomi osoby, których naruszenie ochrony danych osobowych dotyczy.

8. Beneficjent, bez zbędnej zwłoki, nie później niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi Administrującemu na adres poczty elektronicznej: XXX@xxxx.xxx.xx, każde naruszenie ochrony powierzonych do przetwarzania danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO zawierać informacje umożliwiające Administrującemu określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust. 3 RODO nie da się udzielić w tym samym czasie, Beneficjent powinien udzielać ich sukcesywnie, ale bez zbędnej zwłoki.

9. Beneficjent, biorąc pod uwagę i uwzględniając charakter przetwarzania danych oraz dostępne informacje, poprzez odpowiednie środki techniczne i organizacyjne wspomaga Administrującego w wykonywaniu obowiązków określonych w art. 32-36 RODO w tym w szczególności na każde jego żądanie przekazuje informacje w zakresie realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w ramach wykonywania jej praw określonych w rozdz. III RODO.

10. W terminie 21 dni kalendarzowych od zawarcia Umowy, Beneficjent przekaże Administrującemu listę osób odpowiedzialnych po stronie Beneficjenta za realizację obowiązków wynikających z Umowy, której wzór stanowi załącznik nr 5 do Umowy.

§ 7.

Dalsze powierzenie przetwarzania danych przez Beneficjenta

1. Administrujący umocowuje Beneficjenta do dalszego powierzania powierzonych do przetwarzania danych osobowych:

1. wykonawcom z którymi Beneficjent będzie zawierał umowy niezbędne dla realizacji umowy/umów o dofinansowanie;

2. innym podmiotom, z którymi Beneficjent będzie zawierał umowy niezbędne dla realizacji projektów wdrażanych przez Beneficjenta w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020.

Dalsze powierzenie danych osobowych w ramach zbiorów, o których mowa w § 2 ust. 3 Umowy oraz w zakresie wskazanym odpowiednio w załączniku nr 7 i 8 do Umowy następuje wyłącznie po uzyskaniu przez Beneficjenta pisemnej zgody Administrującego.

2. Powierzenie przez Beneficjenta przetwarzania danych osobowych podmiotom, o których mowa w ust. 1, odbywa się na podstawie umów lub porozumień zawieranych na piśmie, w brzmieniu zgodnym z postanowieniami niniejszej Umowy. Zakres powierzonych do przetwarzania danych osobowych musi być zgodny z celem przetwarzania danych osobowych, o którym mowa w § 2 ust. 2 - przy czym powinien być on każdorazowo dostosowany przez Beneficjenta do celu ich powierzenia oraz nie może być szerszy niż określony w załącznikach nr 7 i 8 do Umowy. Umowy lub porozumienia, o których mowa w zd. 1 zawierają zobowiązanie do wykonywania przez te podmioty, obowiązków informacyjnych wynikających z art. 13 i 14 RODO wobec osób, których dane dotyczą.

3. Administrujący umocowuje Beneficjenta, do uprawnienia podmiotów, o których mowa w ust. 1 - poprzez odpowiednie formułowanie zawieranych z nimi umów i porozumień - do dalszego powierzania innym podmiotom powierzonych do przetwarzania danych osobowych – w celu wykonywania zadań związanych z realizacją projektów Beneficjenta w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, pod warunkiem zawarcia przez podmioty, o których mowa w ust. 1, z innymi podmiotami umów lub porozumień na piśmie, w brzmieniu zgodnym z postanowieniami niniejszej Umowy.

4. Beneficjent - w przypadkach przetwarzania danych, o których mowa w Umowie - zobowiązuje się do korzystania wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych spełniało wymogi RODO i chroniło prawa osób, których dane osobowe dotyczą.

5. Beneficjent zobowiązuje się do weryfikowania zgodności zakresu danych osobowych przetwarzanych przez podmioty, o których mowa w ust. 1, którym zostanie powierzone przetwarzanie danych osobowych, zgodnie z postanowieniami Umowy, a także zawieranych z tymi podmiotami umów lub  porozumień w zakresie dalszego powierzenia przetwarzania danych w toku realizacji projektów w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020.

6. Beneficjent prowadzi wykaz podmiotów, którym zostało powierzone przetwarzanie danych osobowych - zarówno przez Beneficjenta, jak również przez inne podmioty w ramach umocowań, o których mowa w ust. 1 i 3. Wykaz ma zawierać co najmniej nazwę i adres siedziby lub imię, nazwisko i adres miejsca zamieszkania podmiotu, któremu powierzono przetwarzanie danych osobowych.

7. Beneficjent zapewnia bieżącą aktualizację wykazu, o którym mowa w ust. 6, a także przekazuje Administrującemu bez zbędnej zwłoki, ale nie rzadziej niż raz na kwartał oraz każdorazowo na jego żądanie, zaktualizowany wykaz.

8. Beneficjent ponosi pełną odpowiedzialność za niewykonanie bądź nienależyte wykonanie obowiązków  spoczywających na podmiotach, którym powierzył dane osobowe do przetwarzania, zgodnie z zawartymi z nimi umowami powierzenia, o których mowa w niniejszym paragrafie, jak za własne działania.

§ 8.

Uprawnienia kontrolne Administrującego i Administratora oraz obowiązki Beneficjenta

1. Administrujący ma prawo do weryfikowania zgodności zakresu danych osobowych przetwarzanych przez Beneficjenta – na podstawie Umowy, a także w zakresie dalszego powierzenia przetwarzania danych w toku realizacji projektów w ramach Programu Operacyjnego Infrastruktura i Środowisko 2014-2020, o którym mowa w § 7 Umowy.

2. Beneficjent umożliwi Administrującemu lub podmiotowi przez niego upoważnionemu, dokonanie kontroli lub audytu zgodności przetwarzania powierzonych do przetwarzania danych osobowych
   z ustawą, RODO lub Umową – w miejscach, w których są one przetwarzane. Pisemne zawiadomienie
   o zamiarze przeprowadzenia kontroli lub audytu powinno być przekazane Beneficjentowi co najmniej na 5 dni kalendarzowych przed dniem rozpoczęcia kontroli lub audytu.

3. W przypadku powzięcia przez Administrującego wiadomości o rażącym naruszeniu przez Beneficjenta zobowiązań wynikających z ustawy, RODO lub z Umowy, Beneficjent umożliwi Administrującemu lub podmiotowi przez niego upoważnionemu, dokonanie niezapowiedzianej kontroli lub audytu, w przedmiocie, o którym mowa w ust. 2.

4. Niezależnie od uprawnień Administrującego, o których mowa w ust. 2 i 3, Beneficjent jest zobowiązany do umożliwienia Administratorowi lub podmiotowi przez niego upoważnionemu dokonania kontroli lub audytu, o której mowa w ust. 2 lub 3.

5. Beneficjent zobowiąże podmioty, o których mowa w § 7 ust. 1 do umożliwienia dokonania kontroli lub audytu, o której mowa w ust. 2 lub 3 Administrującemu (lub podmiotowi przez niego upoważnionemu) lub Administratorowi (lub podmiotowi przez niego upoważnionemu).

6. W ramach kontroli lub audytu podjętej/go na podstawie ust. 2 lub ust. 3 Administrujący lub podmiot przez niego upoważniony, a w przypadkach, o których mowa w ust. 4 – Administrator lub podmiot przez niego upoważniony, mają w szczególności prawo:

1. wstępu, w godzinach pracy podmiotu kontrolowanego, za okazaniem imiennego upoważnienia, do pomieszczeń, w których znajduje się zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczeń, w których powierzone do przetwarzania dane osobowe są przetwarzane poza zbiorem danych osobowych;

2. żądania złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania powierzonych do przetwarzania danych osobowych oraz przez pracowników Beneficjenta
   w zakresie niezbędnym do ustalenia stanu faktycznego;

3. wglądu do wszelkich dokumentów mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;

4. przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania powierzonych do przetwarzania danych osobowych.

7. W przypadku stwierdzenia w toku przeprowadzanej kontroli lub audytu, o której mowa w ust. 2 lub 3, uchybień w odniesieniu do sposobu i zakresu przetwarzania powierzonych do przetwarzania danych osobowych przez Beneficjenta, Administrujący lub podmiot przez niego upoważniony, a w przypadkach, o których mowa w ust. 4 – Administrator lub podmiot przez niego upoważniony, wydaje zalecenia w celu zapewnienia zgodności przetwarzania powierzonych do przetwarzania danych osobowych z RODO, ustawą lub Umową, a tym samym poprawy jakości ich zabezpieczenia i sposobu przetwarzania. Zalecenia sporządzone przez podmiot upoważniony - przed przekazaniem do Beneficjenta - podlegają akceptacji odpowiednio przez Administrującego lub Administratora.

8. Beneficjent jest zobowiązany zastosować się do zaleceń Administrującego lub Administratora dotyczących poprawy jakości zabezpieczenia powierzonych do przetwarzania danych osobowych oraz sposobu ich przetwarzania, wynikających z kontroli przeprowadzonych na podstawie ust. 2 lub ust. 3 Umowy.

9. Beneficjent zobowiąże podmioty, o których mowa w § 7 ust. 1, do  zastosowania się do zaleceń, sporządzonych w wyniku kontroli przeprowadzonych przez Administratora lub podmiot przez niego upoważniony lub Administrującego lub podmiot przez niego upoważniony - w celu zapewnienia zgodności przetwarzania powierzonych do przetwarzania danych osobowych z ustawą, RODO lub Umową, a tym samym poprawy jakości ich zabezpieczenia i sposobu przetwarzania.

§ 9.

Postanowienia końcowe

1. Beneficjent ponosi odpowiedzialność zarówno wobec Administrującego jak i osób trzecich za szkody powstałe w związku z nieprzestrzeganiem RODO, ustawy oraz innych przepisów prawa powszechnie obowiązującego w zakresie ochrony danych osobowych jak również za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z  Umową - na zasadach ogólnych określonych w RODO, w ustawie oraz w ustawie z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 z późn. zm.).

2. W przypadku naruszenia obowiązujących przepisów prawa lub postanowień Umowy przez Beneficjenta, Beneficjent zobowiązuje się w szczególności do zaspokojenia wszelkich roszczeń osób trzecich z tytułu naruszenia praw tych osób wskutek naruszenia obowiązujących przepisów prawa lub postanowień Umowy. Jeżeli w następstwie powyższego naruszenia Administrujący lub Administrator zostaną zobowiązani do zapłaty odszkodowania lub kary finansowej, Beneficjent zobowiązuje się do niezwłocznego zwrotu regresowo całości pokrytych kar lub odszkodowań oraz wszelkich związanych z tym wydatków, włączając w to uzasadnione koszty postępowania administracyjnego lub sądowego.

3. W sprawach nieuregulowanych Umową zastosowanie znajdują przepisy prawa powszechnie obowiązującego, w szczególności ustawy i RODO.

4. Zmiana Umowy wymaga zachowania formy pisemnej.

5. Umowa zostaje zawarta i wchodzi w życie z dniem podpisania przez obie Strony - w dacie złożenia podpisu przez ostatnią z nich.

6. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach: po jednym egzemplarzu dla Administrującego i Beneficjenta.

7.  Integralną część Umowy stanowią:

1. Załącznik nr 1: kopia aktu powołania z dnia 27 września 2022 r.;

2. Załącznik nr 2 ………………………………………………………………………………………

(dokument potwierdzający umocowanie przedstawiciela Beneficjenta do działania w jego imieniu i na jego rzecz (pełnomocnictwo, odpis z KRS, inne).

3. Załącznik nr 3: wzór upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych;

4. Załącznik nr 4: wzór odwołania upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych;

5. Załącznik nr 5: lista osób odpowiedzialnych po stronie Beneficjenta za realizację obowiązków wynikających z Umowy;

6. Załącznik nr 6: przykładowy zakres informacji o zapewnieniu przez Beneficjenta odpowiednich środków ochrony (technicznych i organizacyjnych), umożliwiających należyte zabezpieczenie danych osobowych, wymaganych art. 24 ust. 1 i 2 oraz art. 32 RODO;

7. Załącznik nr 7: maksymalny zakres danych osobowych powierzonych do przetwarzania w ramach zbioru Program Operacyjny Infrastruktura i Środowisko 2014-2020;

8. Załącznik nr 8: zakres danych osobowych powierzonych do przetwarzania w ramach zbioru Centralny system teleinformatyczny wspierający realizację programów operacyjnych;

9. Załącznik nr 9: wzór klauzuli informacyjnej, stanowiącej realizację obowiązku informacyjnego.

W imieniu: W imieniu:

Beneficjenta Administrującego

Podpis:     ……………………………………	Podpis:     ………………………………
Imię i nazwisko: ............................................	Imię i nazwisko: ............................................

1 Wskazanie, iż CUPT reprezentuje interesy Skarbu Państwa dotyczy jedynie umów zawieranych z npjb, w przypadku pjb usunąć zwrot „Skarb Państwa”

2 Należy wpisać odpis z właściwego rejestru, pełnomocnictwo, upoważnienie lub inny dokument, z którego wynika umocowanie reprezentującego do działania w imieniu i na rzecz Beneficjenta.

3 Nie dotyczy projektów pomocy technicznej POIiŚ 2014-2020 pn. Plan Działań sektora transportu na lata 2014-2016 i kolejnych realizowanych na podstawie umowy/umów o dofinansowanie zawartej/ych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

4 Jeżeli dotyczy.

5 J.w.

6 J.w.

7 J.w.

8 Dotyczy wyłącznie beneficjentów realizujących projekty z zakresu pomocy technicznej POIiŚ 2014-2020 na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

9 Dotyczy wyłącznie beneficjentów realizujących projekty z zakresu pomocy technicznej POIiŚ 2014-2020 na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

10 J.w.

11 J.w.

12 Nie dotyczy projektów pomocy technicznej POIiŚ 2014-2020 pn. Plan Działań sektora transportu na lata 2014-2016 i kolejnych realizowanych na podstawie umowy/umów o dofinansowanie zawartej/ych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

13 J.w.

14 Dotyczy wyłącznie beneficjentów realizujących projekty z zakresu pomocy technicznej POIiŚ 2014-2020 na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

15 Wyrażenie: „z późn. zm.” dotyczy umów powierzenia/aneksów do takich umów zawartych już po podpisaniu pomiędzy CUPT a IZ aneksu do wskazanego porozumienia.

16 Dotyczy wyłącznie beneficjentów realizujących projekty z zakresu pomocy technicznej POIiŚ 2014-2020 na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

17 Zakres danych musi spełniać wymogi wskazane w art. 115 ust. 2 oraz w pkt 1 załącznika XII do Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 z dnia 17 grudnia 2013 r. ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu Morskiego i Rybackiego oraz ustanawiającego przepisy ogólne dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności i Europejskiego Funduszu Morskiego i Rybackiego oraz uchylającego rozporządzenie Rady (WE) nr 1083/2006.

18 Nie dotyczy projektów pomocy technicznej POIiŚ 2014-2020 pn. Plan Działań sektora transportu na lata 2014-2016 i kolejnych realizowanych na podstawie umowy/umów o dofinansowanie zawartej/ych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

19 Modyfikacja wzoru upoważnienia do przetwarzania danych osobowych nie wymaga aneksowania Umowy.

20 Modyfikacja wzoru odwołania upoważnienia do przetwarzania danych osobowych nie wymaga aneksowania Umowy.

21 Modyfikacja zakresu przetwarzanych danych osobowych nie wymaga zawarcia aneksu do niniejszej Umowy. Informacja o zmianie zakresu przetwarzanych danych osobowych zostanie przekazana Beneficjentowi przez Administrującego w drodze formalnej (oficjalnie) do bieżącego stosowania, tj. po dniu powzięcia informacji o zmianie.

22 Załącznik nr 8 nie dotyczy projektów z zakresu pomocy technicznej POIiŚ 2014-2020 realizowanych na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

23 Nie dotyczy projektów pomocy technicznej POIiŚ 2014-2020 pn. Plan Działań sektora transportu na lata 2014-2016 i kolejnych realizowanych na podstawie umowy/umów o dofinansowanie zawartej/ych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

24 Dotyczy wyłącznie beneficjentów realizujących projekty z zakresu pomocy technicznej POIiŚ 2014-2020 na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

25 Nie dotyczy projektów pomocy technicznej POIiŚ 2014-2020 pn. Plan Działań sektora transportu na lata 2014-2016 i kolejnych realizowanych na podstawie umowy/umów o dofinansowanie zawartej/ych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

26 Dotyczy wyłącznie beneficjentów realizujących projekty z zakresu pomocy technicznej POIiŚ 2014-2020 na podstawie umów o dofinansowanie zawartych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

27 Nie dotyczy projektów pomocy technicznej POIiŚ 2014-2020 pn. Plan Działań sektora transportu na lata 2014-2016 i kolejnych realizowanych na podstawie umowy/umów o dofinansowanie zawartej/ych z Centrum Unijnych Projektów Transportowych w ramach osi priorytetowej X Pomoc Techniczna.

28 Modyfikacja wzoru klauzuli informacyjnej przez Administrującego nie wymaga aneksowania Umowy. Informacja o zmianie klauzuli informacyjnej zostanie przekazana Beneficjentowi przez Administrującego w drodze formalnej (oficjalnie) do bieżącego stosowania, tj. po dniu powzięcia informacji o zmianie.

15