UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 10 do Regulaminu Projektu
UMOWA O POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w Rzeszowie w dniu r. pomiędzy:
Rzeszowską Agencją Rozwoju Regionalnego S. A., z siedzibą w Rzeszowie, adr.: xx. Xxxxxxx 00, 00-000 Xxxxxxx, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000008207, której akta rejestrowe przechowuje Sąd Rejonowy w Rzeszowie, Wydział XII Gospodarczy Krajowego Rejestru Sądowego, NIP: 000-00-00-000, REGON: 690260330, o kapitale zakładowym w wysokości 36.077.000,00 PLN i opłaconym w całości, reprezentowaną przez: Xxxxxxxx Xxxxxxxx – Prezesa Zarządu, zwaną dalej Administratorem,
a
….........................................................., Pesel: …..........................., zam. ul. …............. …., ...-...
….................., legitymującą/ym się dowodem osobistym: ….................................. wydanym przez
…................................................. – prowadzącą/ym działalność gospodarczą pod firmą:
…............................................................... pod adr.: ul. …............. …., ,
posługującym się NIP: …..................., Regon: ….........................., zwaną/ym dalej Podmiotem Przetwarzającym lub ;
albo
….................... sp. z o. o. z siedzibą w …........., adr. ul. …............. …., , wpisaną do
Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: , której
akta rejestrowe przechowuje Sąd Rejonowy w …............., Wydział ….. Gospodarczy Krajowego Rejestru Sądowego, posługującą się NIP: …......................., o kapitale zakładowym w wysokości
.................... zł, reprezentowaną przez Zarząd w osobach: …........................... …............................. –
Prezes Zarządu, Członek Zarządu, zwaną dalej Podmiotem Przetwarzającym lub
Partnerem; albo
….................... S.A. z siedzibą w …................, adr. ul. ….................. …., , wpisaną do
Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: , której
akta rejestrowe przechowuje Sąd Rejonowy w ….................., Wydział ….. Gospodarczy Krajowego Rejestru Sądowego, posługującą się NIP , o kapitale zakładowym w wysokości
.................... zł i kapitale wpłaconym w wysokości ................... zł, reprezentowaną przez Zarząd w osobach: …........................... …............................. – Prezes Zarządu, …....................... – Członek
Zarządu, zwaną dalej Podmiotem Przetwarzającym lub Partnerem; albo
…....................... S.K.A. z siedzibą w …..........., adr. ul. …............. …., ...-... …............., wpisaną do
Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: , której
akta rejestrowe przechowuje Sąd Rejonowy w ….................., Wydział ….. Gospodarczy Krajowego Rejestru Sądowego, posługującej się NIP , o kapitale zakładowym w wysokości
.................... zł i kapitale wpłaconym w wysokości …................... zł, reprezentowaną przez
Komplementariusza: , zwaną dalej Podmiotem Przetwarzającym lub
Partnerem ;
albo
…...................... sp.k. z siedzibą w …............., adr. ul. …............. …., ...-... …............., wpisaną do
Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: , której
akta rejestrowe przechowuje Sąd Rejonowy w ….................., Wydział ….. Gospodarczy Krajowego Rejestru Sądowego, posługującą się NIP: ….............................., reprezentowaną przez Komplementariusza: , zwaną dalej Podmiotem Przetwarzającym lub Partnerem;
albo
….................../........ sp.j. z siedzibą w …........., adr. ul. …............. …., ...-... …............., wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: , której
akta rejestrowe przechowuje Sąd Rejonowy w ….................., Wydział ….. Gospodarczy Krajowego Rejestru Sądowego, posługującą się NIP , reprezentowaną przez Wspólnika w
osobie: , zwaną dalej Podmiotem Przetwarzającym lub Partnerem;
albo
1. ….........................................................., Pesel: …..........................., zam. ul. …............. …., ...-...
….................., legitymującą/ym się dowodem osobistym: ….................................. wydanym przez
…................................................ – prowadzącą/ym działalność gospodarczą pod firmą:
…............................................................... pod adr.: ul. …............. …., ,
posługującym się NIP: …............................, Xxxxx: ,
2. ….........................................................., Pesel: …..........................., zam. ul. …............. …., ...-...
….................., legitymującą/ym się dowodem osobistym: ….................................. wydanym przez
…................................................ – prowadzącą/ym działalność gospodarczą pod firmą:
…............................................................... pod adr.: ul. …............. …., ,
posługującym się NIP: …............................, Xxxxx: ,
prowadzącymi wspólnie działalność gospodarczą w formie spółki cywilnej pod nazwą:
…...................................................... z siedzibą w …..................... pod adr.: ul. …............. …., ...-...
….................., posługującej się NIP: …........................, Regon: …......................, którą reprezentuje
Wspólnik w osobie: …...................................................................., zwaną dalej Podmiotem Przetwarzającym lub Partnerem;
łącznie zwanych dalej Stronami.
Mając na uwadze, że Xxxxxx zawarły w dniu ………… Umowę Partnerską nr………………………………….(zwaną dalej: Umową Partnerską), w celu realizacji projektu pn. Platformy Startowe „Start in Podkarpackie” ( zwanym dalej Projektem), związku z wykonywaniem której niezbędne jest przetwarzanie danych osobowych Pomysłodawców Strony postanowiły zawrzeć niniejszą umowę (zwaną dalej: Umową) następującej treści:
§ 1.
Przedmiot umowy
Przedmiotem niniejszej umowy jest powierzenie przetwarzania danych osobowych Pomysłodawców biorących udział w realizacji Projektu, w których RARR S.A. występuje jako :
a) Podmiot Przetwarzający - na podstawie umowy w zakresie powierzenia przetwarzania danych osobowych,której stroną jest PARP jako Instytucja Pośrednicząca ( stanowiącej załącznik nr 5 do umowy o dofinansowanie Projektu), w zakresie danych osobowych Pomysłodawców takich jak : imiona i nazwisko, adres e-mail oraz PESEL i te dane do dalszego przetwarzania podpowierza Partneromna zasadach określonych
poniżej;administratorem danych osobowych w tym zakresie jest minister właściwy ds. rozwoju regionalnego;
b) Administrator danych osobowych – w zakresie danych osobowych Pomysłodawców takich jak
: nr telefonu, adres zamieszkania oraz wizerunek i te dane powierza Parterom na zasadach określonych poniżej.
§2
Zasady przetwarzania danych osobowych
1.Dane osobowe Pomysłodawców wskazane w § 1 będą przetwarzane przez Podmiot Przetwarzający w celu realizacji Umowy Partnerskiej.
2.W/w dane osobowe, o których mowa w ust. 1 powyżej - zostaną przekazane Podmiotowi Przetwarzającemu w postaci papierowej i/lub elektronicznej.
3.Przez przetwarzanie danych rozumie się wszelkie operacje wykonywane na powierzonych do przetwarzania danych osobowych, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
4.Podmiot Przetwarzający zobowiązuje się przetwarzać powierzonemu dane osobowe zgodnie z niniejszą Umową, Umową Partnerską, ustawą o ochronie danych osobowych z dnia 10 maja 2018 r., Dz.U. z 2018 r., poz. 1000 (zwaną dalej: u.o.d.o) orazrozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE( zwana dalej RODO) i innymi przepisami prawa powszechnie obowiązującymi, które chronią prawa osób, których dane dotyczą.
5.Podmiot Przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonychmu danych osobowych i wykonywaniu Umowy.
6.Podmiot Przetwarzający oświadcza, że wdrożył odpowiednie środki techniczne i organizacyjne, by przetwarzanie danych osobowych spełniało wymogi przepisów prawa, w tym w szczególności RODO i chroniło prawa osób, których dane dotyczą oraz zobowiązuje się zapewnić stopień bezpieczeństwa powierzonych danych odpowiadający ryzyku, o którym mowa w art. 32 RODO.
7.Podmiot Przetwarzający zobowiązuje się do zabezpieczenia należytego przetwarzania danych osobowych – co najmniej poprzez:
a) prowadzenie wymaganej przepisami dokumentacji w zakresie przetwarzania danych osobowych;
b) zabezpieczenie znajdujących się w jego posiadaniu urządzeń i systemów informatycznych służących do przetwarzania danych osobowych zapewniających odpowiedni poziom bezpieczeństwa w oparciu o prowadzoną analizę ryzyka i zagrożeń;
c) zapewnienie przeprowadzania regularnych testów i oceny wdrożonych środków ochrony danych.
8.Podmiot Przetwarzający przetwarza powierzone mu przez RARR S.A. dane osobowe wyłącznie na udokumentowane polecenie Administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej w rozumieniu RODO - chyba że obowiązek taki nakłada na Podmiot Przetwarzający przepis prawa.
9.Podmiot Przetwarzający oświadcza, że nie przekazuje powierzonych mu przez RARR S.A. danych osobowych do państwa trzeciego lub organizacji międzynarodowej, ani nie korzysta z usług dalszych przetwarzających (podwykonawców), którzy dokonywali by takiego przekazywania danych powierzonych Podmiotowi Przetwarzającemu przez RARR S.A.
00.Xx wypadek, gdyby Podmiot Przetwarzający miał zamiar lub obowiązek przekazywać powierzone mu przez RARR S.A. dane osobowe do państwa trzeciego lub organizacji międzynarodowej – zobowiązany jest do poinformowania o tym RARR S.A., w celu umożliwienia podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania danych przez Podmiot Przetwarzający.
11.Podmiot Przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone przez RARR S.A. dane osobowe oraz do prowadzenia ewidencji tych osób. Na żądanie RARR S.A. - Podmiot Przetwarzający zobowiązany jest okazać aktualną ewidencję w/w osób oraz zobowiązać je do zachowania tajemnicy w związku z realizacja zadań.
12.Podmiot Przetwarzający zobowiązuje się zapewnić pomoc, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
13.Podmiot Przetwarzający zobowiązany jest do prowadzenia rejestrów przetwarzania danych osobowych na zasadach określonych w art. 30 RODO.
§ 3
Zgłoszenie naruszenia ochrony danych osobowych
1.Podmiot Przetwarzający na wypadek stwierdzenia naruszenia ochrony danych osobowych – zobowiązany jest zgłosić naruszenie RARR S.A. bez zbędnej zwłoki, ale nie później niż w terminie 21 godzin po stwierdzeniu naruszenia, a zgłoszenie winno odpowiadać wymogom art. 33 RODO.
2.W celu realizacji obowiązków o których mowa w ust. 1 i 2 powyżej, Podmiot Przetwarzający jest zobowiązany do zabezpieczenia dowodów, które pomogą RARR S.A. ustalić i wyjaśnić szczegóły naruszenia, w tym chwilę zdarzenia, osoby odpowiedzialne, charakter naruszenia oraz jego skalę i ewentualne negatywne skutki, osoby poszkodowane.
§4
Prawo kontroli
1. RARR S.A.przysługuje prawo kierowania zapytań do Podmiotu Przetwarzającego w zakresie dotyczącym wykonywania przez Podmiot Przetwarzający obowiązków dotyczących zabezpieczenia powierzonych mu na podstawie Umowy danych osobowych, w tym zapytań o wyniki przeprowadzonych kontroli wewnętrznych w tym zakresie; a Podmiot Przetwarzający zobowiązuje się udzielić odpowiedzi na zapytanie - w terminie 7 dni od daty otrzymania zapytania.
2. Podmiot Przetwarzający zobowiązuje się udostępniać RARR S.A. wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z Umowy i przepisów prawa, w szczególności określonych w art. 28 RODO oraz umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji i zobowiązuje się przyczyniać się do nich.
3. RARR S.A. ma prawo kontroli, czy środki zastosowane przez Podmiot Przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych przez Administratora danych osobowych spełniają wymagania wynikające z przepisów prawa i Umowy.
4. Kontrola, o której mowa w ust. 3 powyżej może nastąpić wyłącznie po uprzednim powiadomieniu Podmiotu Przetwarzającego przez RARR S.A. o zamiarze przeprowadzenia kontroli, na co najmniej 3 dni przed planowanym terminem rozpoczęcia kontroli, ze wskazaniem na piśmie osób wyznaczonych do przeprowadzenia kontroli.
5. Z czynności kontrolnych RARR S.A. sporządza protokół, którego odpis przekazuje Podmiotowi Przetwarzającemu.
6. Podmiot Przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych oraz w razie potrzeby złożenia stosownych wyjaśnień w terminie wskazanym przez RARR S.A. nie dłuższym niż 7 (siedem)1 dni.
7. Podmiot Przetwarzający zobowiązuje się poinformować RARR S.A.- bez zbędnej zwłoki, nie później niż w terminie 24 godzin od powzięcia wiedzy przez Podmiot Przetwarzający – o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot Przetwarzający danych osobowych powierzonych przez RARR S.A.
, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu Przetwarzającego, a także o wszelkich planowanych, o ile są mu wiadome, lub realizowanych kontrolach lub inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot Przetwarzający, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych.
8. Podmiot Przetwarzający poinformuje ponadto RARR S.A. o każdym naruszeniu lub podejrzeniu naruszenia poufności powierzonych danych - bez zbędnej zwłoki, nie później niż w terminie 3 (trzech) dni od powzięcia wiedzy przez Podmiot Przetwarzający o ich wystąpieniu.
§5
Dalsze powierzenie
1. Podmiot Przetwarzający nie jest uprawniony powierzyć do dalszego przetwarzania dane osobowe powierzone mu przez RARR S.A. na postawie Umowy – bez uprzedniej zgody wyrażonej na piśmie.
2. Dalsze powierzenie danych do przetwarzania odbywa się na podstawie umowy, która spełnia wymagania określone przepisami RODO, a Podmiot Przetwarzający może powierzyć dane osobowe objęte niniejszą Umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania Umowy Partnerskiej i po uzyskaniu uprzedniej pisemnej zgody RARR S.A..
3. Na wypadek dalszego powierzenia do przetwarzania danych powierzonych Podmiotowi Przetwarzającemu przez Administratora - dalszy przetwarzający winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot Przetwarzający w Umowie oraz wynikające z przepisów prawa, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.
4. Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec RARR S.A. za brak wywiązania się ze spoczywających na dalszym przetwarzającym (podwykonawcy) obowiązków ochrony danych osobowych powierzonych przez Spółkę.
1 W zawieranej umowie Administrator uprawniony jest wskazać inny odpowiedni termin.
§ 6
Odpowiedzialność Podmiotu Przetwarzającego
1. Podmiot Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie niezgodnie z Umową danych osobowych powierzonych przez RARR S.A., a w szczególności za udostępnienie ich osobom nieupoważnionym.
2. Podmiot Przetwarzający odpowiada za szkody majątkowe lub niemajątkowe jakie powstały u RARR S.A. lub osób trzecich w wyniku przetwarzania powierzonych Podmiotowi Przetwarzającemu danych osobowych niezgodnego z przepisami prawa lub Umową.
3. Podmiot Przetwarzający ponosi odpowiedzialność – jak za własne działania lub zaniechania – za działania lub zaniechania podmiotów, którym powierzył dalsze przetwarzanie danych powierzonych Podmiotowi Przetwarzającemu na podstawie Umowy.
4. W przypadku naruszenia przepisów prawa lub Umowy z przyczyn leżących po stronie Podmiotu Przetwarzającego, w następstwie czego RARR S.A. zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą pieniężną - Podmiot Przetwarzający zobowiązuje się zrekompensować RARR S.A. poniesione straty i koszty z tego tytułu.
§ 7
Usunięcie danych po zakończeniu trwania umowy
1. Podmiot Przetwarzający zobowiązuje się, że – niezwłocznie po zakończeniu trwania Umowy Podstawowej – usunie wszelkie dane osobowe powierzone przez Administratora oraz wszelkie ich istniejące kopie, w szczególności z nośników elektronicznych pozostających w dyspozycji Podmiotu Przetwarzającego, chyba że przepis prawa lub zapisy umowne nakazują przechowywanie tych danych osobowych. Podmiot Przetwarzający może dysponować jedynie danymi osobowymi i nośnikami, które mogą podlegać kontroli – do czasu związanego z możliwością jej przeprowadzenia; po tym czasie winien je niezwłocznie trwale usunąć.
2. Przez usunięcie danych osobowych, o których mowa w ust. 1 powyżej należy rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
3. Dla potwierdzenia wykonania zobowiązania do usunięcia danych oraz ich kopii Podmiot Przetwarzający – na pisemne żądanie RARR S.A. i nie dalej niż w terminie 7 (siedmiu) dni od otrzymania tego żądania – doręczy RARR S.A. oryginał lub uwierzytelnioną kopię sporządzonego w formie pisemnej protokołu zniszczenia lub innego dokumentu potwierdzającego przeprowadzenie czynności usunięcia danych oraz ich kopii.
§ 8
Czas trwania umowy
Umowa obowiązuje od dnia jej zawarcia do
…………………………………………………………………………………….
§ 9
Rozwiązanie umowy
1. RARR S.A. może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, na wypadek gdy:
a) pomimo zobowiązania do usunięcia uchybień Podmiot Przetwarzający nie zaprzestaje niewłaściwego przetwarzania danych osobowych powierzonych przez RARR S.A., w szczególności gdy pomimo zobowiązania Podmiotu Przetwarzającego do usunięcia uchybień stwierdzonych podczas kontroli RARR S.A. – Podmiot Przetwarzający nie usunie ich w wyznaczonym terminie;
b) Podmiot Przetwarzający przetwarza dane osobowe w sposób niezgodny z Umową lub przepisami prawa;
c) Podmiot Przetwarzający powierzył przetwarzanie danych osobowych powierzonych przez RARR
S.A. innemu podmiotowi bez zgody RARR S.A.;
d) Podmiot Przetwarzający nie poinformuje RARR S.A., w terminie określonym w niniejszej umowie, o stwierdzonym naruszeniu ochrony danych osobowych.
2 .Rozwiązanie umowy nie zwalnia Podmiotu Przetwarzającego od odpowiedzialności, o której mowa w § 6 Umowy.
§10
Zasady poufności
1. Podmiot Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów oraz dokumentów, w szczególności zawierających dane osobowe otrzymanych od RARR S.A. (dane poufne).
2. Podmiot Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane w innym celu niż wykonanie Umowy Partnerskiej, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 11
Postanowienia końcowe
1. Zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych Umową stosuje się obowiązujące przepisy, w szczególności RODO, u.o.d.o, ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j.: Dz. U. z 2018 r. poz. 1025 z późn. zm.).
3. Spory wynikłe w związku z zawarciem lub wykonywaniem Umowy - Strony poddają pod rozstrzygnięcie sądu właściwego miejscowo według siedziby RARR S.A.
4. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.