Umowa powierzenia przetwarzania danych osobowych
Umowa powierzenia przetwarzania danych osobowych
zawarta w dniu pomiędzy :
Rzeszowską Agencją Rozwoju Regionalnego S.A. w Rzeszowie, xx. Xxxxxxx 00, 00-000 Xxxxxxx, wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy w Rzeszowie - XII Wydział Gospodarzy Krajowego Rejestru Sądowego pod nr 0000008207, NIP: 000-00-00-000, REGON: 690260330, o kapitale zakładowym w wysokości 36 077.000,00
PLN opłaconym w całości, prowadzący Rzeszowski Ośrodek Wsparcia Ekonomii Społecznej (ROWES)
reprezentowaną przez:
Xxxxxxxx Xxxxxxxx - Prezesa Zarządu zwanym w dalszej części umowy RARR S.A. a
…………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………….. zwany w dalszej części umowy „Podmiotem przetwarzającym” lub reprezentowana przez:
……………………………………………….
- zwaną w dalszej części umowy podmiotem przetwarzającym.
§1.
Powierzenie przetwarzania danych osobowych
1.Przedmiotem umowy jest powierzenie przetwarzania danych osobowych uczestników projektów pn. „…..…………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………….”prze twarzanych w celu
………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………..
§2
Zakres i cel przetwarzania
1.RARR S.A. oświadcza, że Administratorem danych uczestników w/w projektu jest…………………………………………………………………………………………………………………………………………
…………………………………………………………………………………., który decyduje o środkach i celach przetwarzanych danych jest:
a) w ramach zbioru: …………………………………………………………………………… -
………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………..
b) w ramach zbioru: ……………………………………………………………. jest minister właściwy ds. rozwoju regionalnego, z siedzibą w: 00-000 Xxxxxxxx, Xx. Xxxxxx Xxxxxx 0/0;
Rzeszowska Agencja Rozwoju Regionalnego S.A. przetwarza dane osobowe uczestników projektów zgodnie z umową o dofinansowanie projektu ………………………………………………….
na podstawie umowy nr …………………………………………….. zawartej z ………………………………………………………………………………………………….. na zasadzie dalszego powierzenia.
2. RARR S.A. powierza do przetwarzania, w szczególności do gromadzenia, przechowywania, edycji, następujące dane osobowe:
A)………………………………………
B)……………………………….……..
C)……………………………………..
D)……………………………………..
W/w dane osobowe zostaną przekazane podmiotowi przetwarzającemu w formie papierowej i elektronicznej
3. Powierzone przez RARR S.A. dane osobowe będą przetwarzane przez podmiot przetwarzający wyłącznie w celu określonym w § 1, w sposób zgodny z treścią niniejszej umowy.
§3
Sposób wykonania umowy w zakresie przetwarzania danych osobowych
1.Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, ustawą o ochronie danych osobowych z dnia 10 maja 2018r. (Dz.U. 2018, poz. 1000) oraz rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz innymi
przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez podjęcie środków technicznych i organizacyjnych, min. poprzez :
a) prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych;
b) zabezpieczenie znajdujących się w jego posiadaniu urządzeń i systemów informatycznych służących do przetwarzania danych osobowych zapewniających odpowiedni poziom bezpieczeństwa określony w obowiązujących przepisach, w oparciu o prowadzoną analizę ryzyka i zagrożeń;
c) zapewnienie przeprowadzania regularnych testów i oceny wdrożonych środków ochrony danych;
d) dopuszczenie do przetwarzania danych wyłącznie osób, którym udzielił upoważnienia do przetwarzania danych osobowych i równocześnie zobowiązał je do zachowania poufności zarówno w trakcie zatrudnienia ich w podmiocie przetwarzającym jak i po jego ustaniu;
e) poinformowanie o obowiązku przekazania, wynikającym z przepisów prawa, powierzonych danych do Państwa trzeciego lub organizacji międzynarodowej.
3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy wykonywaniu umowy.
4. Podmiot przetwarzający każdorazowo poinformuje RARR S.A. o wszelkich zdarzeniach mogących skutkować odpowiedzialnością RARR S.A. lub Administratora, w tym każdym prawnie usprawiedliwionym żądaniu udostepnienia danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, jak również o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez podmiot przetwarzający. Podmiot przetwarzający poinformuje ponadto RARR S.A. o każdym naruszeniu lub podejrzeniu naruszenia poufności powierzonych danych - w terminie trzech dni od powzięcia przez podmiot przetwarzający informacji o ich wystąpieniu.
5.Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody RARR S.A.
6.Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie RARR S.A. danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje
RARR S.A. o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
7.Podmiot przetwarzający oświadcza, że dokonał wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie powierzonych danych spełniało wymogi rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) i chroniło prawa osób, których dane dotyczą
§4
Zapytania
1. RARR S.A. przysługuje prawo kierowania zapytań do podmiotu przetwarzającego w zakresie prawidłowości wykonania przez podmiot przetwarzający obowiązków dotyczących zabezpieczenia powierzonych mu na podstawie niniejszej umowy danych osobowych.
2. Podmiot przetwarzający zobowiązuje się udzielić odpowiedzi na zapytanie, o którym mowa w ust. 1, w terminie 7 dni od daty otrzymania zapytania.
§5
Prawo kontroli
1.RARR S.A. ma prawo do przeprowadzania kompleksowej kontroli w zakresie zabezpieczenia powierzonych danych osobowych na podstawie niniejszej umowy.
2.Kontrola, o której mowa w niniejszym paragrafie może nastąpić wyłącznie po uprzednim powiadomieniu podmiotu przetwarzającego przez RARR S.A. o zamiarze przeprowadzenia kontroli, na co najmniej 3 dni przed planowanym terminem rozpoczęcia kontroli, ze wskazaniem na piśmie osób wyznaczonych przez RARR S.A. do przeprowadzenia kontroli.
3. Z czynności kontrolnych RARR S.A. sporządza protokół, którego przekazuje podmiotowi przetwarzającemu.
4. Podmiot przetwarzający zobowiązuje się dostosować do zaleceń pokontrolnych mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych oraz w razie potrzeby złożenia stosownych wyjaśnień w terminie 7 dni.
§6
Odpowiedzialność podmiotu powierzającego
1.Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystywanie powierzonych danych osobowych niezgodnie z treścią umowy, a w szczególności za ich udostępnienie osobom nieupoważnionym.
2. W przypadku naruszenia przepisów ustawy lub umowy powierzenia z przyczyn leżących po stronie podmiotu przetwarzającego, w następstwie czego RARR S.A. zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą pieniężną, podmiot przetwarzający zobowiązuje się zrekompensować RARR S.A. poniesione straty i koszty z tego tytułu. Podmiot przetwarzający może uwolnić się od obowiązku zapłaty odszkodowania, pokrycia strat i kosztów jeżeli udowodni, że zdarzenie które doprowadziło do powstania szkody nie jest przez niego zawinione.
§7
Zniszczenie danych po rozwiązaniu umowy
1. Podmiot przetwarzający zobowiązuje się do niezwłocznego skutecznego usunięcia danych osobowych, które zostały mu powierzone do realizacji umowy, w szczególności z nośników elektronicznych pozostających w dyspozycji podmiotu przetwarzającego. Podmiot przetwarzający winien dysponować jedynie danymi osobowymi i nośnikami, które mogą podlegać kontroli– do czasu związanego z możliwością jej przeprowadzenia lub być podporządkowane pod zasadę trwałości projektu. Po tym czasie winien je niezwłocznie trwale usunąć.
2. Przez usunięcie danych osobowych, o których mowa w ust 1 należy rozumieć zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
3. Na pisemne żądanie RARR S.A., podmiot przetwarzający ma obowiązek przedstawić w terminie 7 dni pisemny protokół potwierdzający fakt zniszczenia danych osobowych.
§8
Czas trwania umowy
1.Niniejsza umowa zostaje zawarta na czas i w zakresie realizacji zadania pod nazwą:
………………………………………………………………………………………………………………….” określonym umową nr …………………………………………………………………………………….. z dnia ………………………...
§9
Prawo odstąpienia od umowy
1.RARR S.A. ma prawo odstąpić od umowy, gdy podmiot przetwarzający:
a) wykorzystał dane osobowe w sposób niezgodny z umową powierzenia;
b) powierzył wykonanie przedmiotu umowy osobie trzeciej bez pisemnej zgody RARR S.A.;
c) pomimo zobowiązania do usunięcia uchybień nie zaprzestaje niewłaściwego przetwarzania danych osobowych.
2.Odstąpienie RARR S.A. od umowy nie zwalnia podmiotu przetwarzającego od rekompensaty strat, o których mowa w § 6 pkt 2 umowy powierzenia.
§10
Zasady zachowania poufności
1,Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów oraz dokumentów, w szczególności zawierających dane osobowe otrzymanych od RARR S.A. ( dane poufne).
2.Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody RARR S.A. danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
§ 11
Przepisy końcowe
1.Zmiana niniejszej umowy może nastąpić tylko w formie pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych niniejszą umową stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2016 r. poz. 380 z późn. zm.), ustawy z dnia 10 maja 2018r. ( DZ.U. 2018, poz. 1000) r. o ochronie danych osobowych oraz pozostałych przepisów powszechnie obowiązujących.
3.W razie powstania sporu związanego z wykonaniem niniejszej umowy strony poddają jego rozstrzygnięcie sądowi powszechnemu właściwemu miejscowo dla siedziby RARR S.A..
4.Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, jeden dla RARR S.A., jeden dla podmiotu przetwarzającego.
…..………………………………..…. ……………………………………….. (RARR S.A.) (Podmiot przetwarzający)