UMOWA NR ZP.322 2019
ZP.321.11.2019 Załącznik nr 4
UMOWA NR ZP.322 2019
O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
zawarta 2019 r. w Gliwicach pomiędzy:
Ośrodkiem Pomocy Społecznej w Gliwicach, reprezentowanym przez Xxxxxxx Xxxxxxxxx – Dyrektora, z siedzibą przy xx. Xxxxxxx Xxxxx 0, zwanym w dalszej części umowy „OPS” (xxx@xxx.xxxxxxx.xx), działającym w imieniu Administratora powierzanych danych osobowych, czyli właściwego Ministra Inwestycji i Rozwoju, a
………………………………………………………………………., zwanym w dalszej części umowy „Przetwarzającym”, zwanymi łącznie jako „Strony”.
Na podstawie art. 28 ust. 3 i 9 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE.L.119 z 4 maja 2016 r.
Mając na uwadze, że:
- Strony zawarły umowę nr , której przedmiotem jest zakup pakietu usług eksperckich
niezbędnych do przygotowania Ośrodka Pomocy Społecznej w Gliwicach do wdrożenia usprawnień organizacyjnych zgodnie z zapisami wniosku o dofinansowanie projektu współfinansowanego przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Wiedza Edukacja Rozwój na lata 2014-2020 pn. „Nowa jakość pomocy społecznej – wdrożenie usprawnień organizacyjnych w Ośrodku Pomocy Społecznej w Gliwicach”, w związku z wykonywaniem, której OPS powierzy Przetwarzającemu przetwarzanie danych w zakresie określonym Umową,
- koniecznym jest ustalenie warunków, na jakich Przetwarzający wykonuje operacje przetwarzania danych osobowych w imieniu OPS,
- Strony zawierając Umowę dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE.L.119, s. 1, Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
§ 1
Definicje
Dla potrzeb niniejszej umowy, Strony ustalają następujące znaczenie niżej wymienionych pojęć:
1) Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby;
2) Przetwarzanie danych osobowych – wszelkie operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) Umowa – niniejsza umowa powierzenia przetwarzania danych osobowych;
4) Umowa główna – umowa nr ………………., której przedmiotem jest zakup pakietu usług eksperckich niezbędnych do przygotowania Ośrodka Pomocy Społecznej w Gliwicach
do wdrożenia usprawnień organizacyjnych zgodnie z zapisami wniosku o dofinansowanie projektu współfinansowanego przez Unię Europejską ze środków Europejskiego Funduszu Społecznego w ramach Programu Operacyjnego Wiedza Edukacja Rozwój na lata 2014-2020 pn. „Nowa jakość pomocy społecznej – wdrożenie usprawnień organizacyjnych w Ośrodku Pomocy Społecznej w Gliwicach”, zawarta przez Strony r.
5) RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE. L. 119 z 4 maja 2016 r. wraz ze sprostowaniem z 19.04.2018 r.
6) Administrator – właściwy minister do spraw rozwoju regionalnego (XXX@xxxx.xxx.xx).
7) IP – Minister Rodziny, Pracy i Polityki Społecznej, xx. Xxxxxxxxxxx 0/0/0, 00-000 Xxxxxxxx (Instytucja Pośrednicząca).
§ 2
Oświadczenia Stron
1. Strony oświadczają, że niniejsza Umowa została zawarta w celu wykonania obowiązków, o których mowa w RODO, w związku z zawarciem Umowy głównej.
2. OPS oświadcza, że spełnia warunki legalności przetwarzania danych osobowych, jak również, że jest uprawniony przez IP, która działa w imieniu Administratora do dalszego powierzenia danych osobowych.
3. Przetwarzający oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, doświadczeniem, wiedzą i wykwalifikowanym personelem, umożliwiającymi mu prawidłowe wykonanie niniejszej Umowy, spełnienie wymogów RODO oraz gwarantuje ochronę praw osób, których dane dotyczą.
4. Przetwarzający na potwierdzenie gwarancji, o których mowa w ust. 3 przekazał OPS opis wdrożonych mechanizmów zapewniających bezpieczeństwo przetwarzania danych osobowych, stanowiący załącznik nr 1 do niniejszej umowy.
§ 3
Przedmiot Umowy oraz zakres, charakter i cel przetwarzania danych osobowych
1. OPS w imieniu Administratora w trybie art. 28 ust 3 RODO powierza Przetwarzającemu do przetwarzania dane osobowe, a Przetwarzający zobowiązuje się do zgodnego z prawem i niniejszą Umową ich przetwarzania, w celu realizacji Umowy głównej.
2. Zakres powierzonych do przetwarzania danych osobowych uczestników projektu pn. „Nowa jakość pomocy społecznej – wdrożenie usprawnień organizacyjnych w Ośrodku Pomocy Społecznej w Gliwicach”, w zbiorze „Program Operacyjny Wiedza Edukacja Rozwój:
a) Dane uczestnika: imię, nazwisko, XXXXX, kraj, płeć, wykształcenie.
b) Dane kontaktowe uczestnika: województwo, powiat, gmina, miejscowość, ulica,
nr budynku, nr lokalu, kod pocztowy, telefon kontaktowy.
c) Szczegóły i rodzaj wsparcia: wykonywany zawód, nazwa pracodawcy.
3. Przetwarzanie danych osobowych odbywa się w formie papierowej oraz przy wykorzystaniu systemów informatycznych.
4. Dane osobowe będą przetwarzane przez Przetwarzającego wyłącznie w celu i w zakresie realizacji Umowy Głównej, w szczególności:
a) udzielenia wsparcia uczestnikom projektu
b) potwierdzenia kwalifikowalności wydatków
c) monitoringu
d) ewaluacji
e) kontroli
f) audytu prowadzonego przez upoważnione instytucje
g) sprawozdawczości
h) rozliczenia
i) zachowania trwałości
j) archiwizacji.
Charakter i cel przetwarzania wynikają z postanowień Umowy Głównej oraz założeń, zasad i celów projektu pn. „Nowa jakość pomocy społecznej – wdrożenie usprawnień organizacyjnych w Ośrodku Pomocy Społecznej w Gliwicach”, opisanych we wniosku o dofinansowanie ww. projektu.
§ 4
Zasady przetwarzania danych osobowych
1. Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w § 3 niniejszej Umowy.
2. Przetwarzający zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem OPS wydanym w imieniu Administratora, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez OPS w imieniu Xxxxxxxxxxxxxx, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
3. Przetwarzający informuje OPS przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO.
5. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO, a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
b) współdziałać z O P S w wywiązywaniu się z obowiązków określonych w art. 32 -36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać OPS informacje dotyczące stosowanych środków zabezpieczania danych osobowych;
c) współdziałać z OPS w sytuacji naruszenia ochrony danych osobowych:
i. niezwłocznie informować OPS o podejrzeniach l u b stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji,
ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą,
iii. przekazywać za pośrednictwem OPS informacje niezbędne Administratorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu,
iv. umożliwiać OPS uczestnictwo w czynnościach wyjaśniających i informować OPS o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi, za pośrednictwem OPS, spełnienie obowiązku powiadomienia organu nadzoru.
d) współdziałać z OPS w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
e) niezwłocznie informować OPS, jeżeli zdaniem Przetwarzającego wydane mu polecenie
stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
f) stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO;
g) dopuszczać do przetwarzania danych osobowych, w szczególności do urządzeń w ramach, których dane osobowe są przetwarzane, wyłącznie osoby działające z jego upoważnienia, w zakresie wydanych przez OPS udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych;
h) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w tajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego;
i) prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu OPS
działającego w imieniu Administratora, o którym mowa w art. 30 RODO, o ile dotyczy.
6. Przetwarzający nie może skorzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody OPS.
7. Przetwarzający zobowiązuje się do niezwłocznego, jednak nie później niż w ciągu 7 dni od powzięcia takiej informacji, poinformowania OPS o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w zakresie danych osobowych.
8. W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji OPS, do usunięcia lub zwrócenia OPS wszelkich danych osobowych oraz do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany OPS nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub Umowy głównej, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
9. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Przetwarzający ma obowiązek zastosować się do wymogów, o których mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować OPS o planowanych zmianach w taki sposób i terminach, aby zapewnić OPS realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii OPS grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Przetwarzającego.
§ 5
Prawo kontroli
1. OPS w imieniu Administratora, zgodnie z art. 28 ust. 3 pkt h) RODO ma prawo kontroli, czy środki zastosowane przez Przetwarzającego przy przetwarzaniu danych osobowych i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia Umowy.
2. Przetwarzający zobowiązany jest umożliwiać OPS lub wskazanej przez OPS osobie trzeciej, dokonania audytów lub inspekcji, aby potwierdzić, iż przetwarzanie toczy się zgodnie z prawem oraz niniejszą Umową, a także wykonać wynikające z nich zalecenia, aby zapewnić zgodne z prawem przetwarzanie danych osobowych powierzonych Przetwarzającemu.
3. OPS realizować będzie prawo audytu lub inspekcji w godzinach pracy Przetwarzającego.
4. Przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji w terminie wskazanym przez OPS.
5. Przetwarzający udostępnia OPS wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
§ 6
Odpowiedzialność Stron
1. Przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
2. Przetwarzający odpowiada za szkody spowodowane zastosowaniem lub brakiem zastosowania właściwych środków bezpieczeństwa.
3. Przetwarzający odpowiada za szkody, jakie powstaną u Administratora w imieniu, którego działa OPS lub osób trzecich w wyniku niezgodnego z RODO lub niniejszą Umową przetwarzaniem danych osobowych przez Przetwarzającego, w szczególności w sytuacji zapłaty odszkodowania przez Administratora na podstawie art. 82 RODO.
4. W przypadku niewykonania lub nienależytego wykonania przez Przetwarzającego niniejszej Umowy, Przetwarzający zobowiązuje się do zapłaty odszkodowania na zasadach ogólnych.
§ 7
Wynagrodzenie
Wykonanie przedmiotu niniejszej Umowy przez Przetwarzającego nie będzie wiązać się z dodatkowymi kosztami dla OPS.
§ 8
Zasady zachowania poufności
1. Przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od OPS i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
2. Przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody OPS w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 9
Rozwiązanie umowy
OPS może rozwiązać niniejszą Umowę ze skutkiem natychmiastowym, gdy Przetwarzający:
a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
b) przetwarza dane osobowe w sposób niezgodny z Umową;
c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody OPS.
§ 10
Postanowienia końcowe
1. Niniejsza Umowa wchodzi w życie z dniem jej podpisania i zostaje zawarta na czas obowiązywania Umowy głównej oraz wykonania wszystkich zobowiązań wynikających z niniejszej Umowy.
2. Wszelkie zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
3. Postanowienia niniejszej Umowy zastępują dotychczasowe regulacje w zakresie ochrony danych osobowych. W razie wątpliwości w zakresie stosowania postanowień umownych dotyczących obowiązków związanych z ochroną danych osobowych pierwszeństwo mają postanowienia niniejszej Umowy. Oznacza to także, że kwestie dotyczące przetwarzania danych osobowych pomiędzy OPS, a Przetwarzającym należy regulować poprzez zmiany niniejszej Umowy.
4. W sprawach nie uregulowanych niniejszą Umową mają zastosowanie przepisy RODO oraz przepisy krajowe.
5. Spory związane z wykonywaniem niniejszej Umowy rozstrzygane będą przez sąd
właściwy dla siedziby OPS.
6. Umowa została sporządzona w trzech jednobrzmiących egzemplarzach, dwa dla OPS oraz jeden dla Przetwarzającego.