POROZUMIENIE
Załącznik nr 4 do Regulaminu API-GWD CZYSTE POWIETRZE
w
sprawie dalszego powierzenia przetwarzania danych osobowych w związku
z realizacją
Programu Priorytetowego Czyste Powietrze (dalej:
Porozumienie)
zawarte w Warszawie w dniu _______________ pomiędzy:
Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie, adres: 02-673 Warszawa, ul. Konstruktorska 3a, reprezentowanym przez:
- …………………………………………………………………
- …………………………………………………………………
zwanym dalej „NFOŚiGW” lub „Powierzającym”
………………………………………
zwanym dalej „Partnerem” lub „Podmiotem przetwarzającym,
zaś łącznie zwanymi dalej „Stronami”.
Mając na uwadze:
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Białymstoku a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Gdańsku a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Katowicach a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Kielcach a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 27 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Krakowie a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Lublinie a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Łodzi a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Olsztynie a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 27 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Opolu a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Poznaniu a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Rzeszowie a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Szczecinie a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 30 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Toruniu a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Warszawie a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej we Wrocławiu a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- Porozumienie w sprawie powierzenia przetwarzania danych osobowych w związku z realizacją Programu priorytetowego Czyste Powietrze, zawartą w dniu 29 kwietnia 2020 r. (z późn. zm.) pomiędzy Wojewódzkim Funduszem Ochrony Środowiska i Gospodarki Wodnej w Zielonej Górze a Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej z siedzibą w Warszawie,
- że Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej wspólnie z Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej realizuje Program Priorytetowy „Czyste Powietrze”, w oparciu o Porozumienie w sprawie realizacji Programu Priorytetowego zawarte w dniu 7 czerwca 2018 r., (z późn. zm.)
§ 1
Definicje
Użyte w Porozumieniu określenia i skróty oznaczają:
Administrator – Wojewódzki Fundusz Ochrony Środowiska i Gospodarki Wodnej obejmujący swoim działaniem teren województwa, w którym jest zlokalizowany budynek / lokal mieszkalny objęty wnioskiem o dotację;
Xxxx Xxxxxxx – należy przez to rozumieć dane osobowe określone w art. 4 pkt 1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
Naruszenie Ochrony Danych Osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób powierzonych do przetwarzania na podstawie niniejszego Porozumienia;
Organ Nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych;
Pracownik - osobę świadczącą pracę na podstawie stosunku pracy, umowy zlecenia, umowy o dzieło lub innej umowy cywilnoprawnej zawartej z Partnerem;
Przetwarzanie Danych Osobowych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Rozporządzenie - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016);
Tajemnica bankowa – należy przez to rozumieć tajemnicę bankową określone w art. 104 ustawy z 29 sierpnia 1997 r. prawo bankowe;
Ustawa – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r.
poz. 1781).
§ 2
Powierzenie Przetwarzania Danych Osobowych
Powierzający powierza Podmiotowi przetwarzającemu, w trybie art. 28 Rozporządzenia Dane Osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w Porozumieniu.
Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu Dane Osobowe na polecenie Powierzającego zgodnie z Porozumieniem, Rozporządzeniem, Ustawą oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
§ 3
Zakres, cel i czas trwania Przetwarzania Danych
Zakres Danych Osobowych powierzonych Podmiotowi przetwarzającemu do przetwarzania dotyczy:
wnioskodawcy o dotację i obejmuje: imię i nazwisko, XXXXX, NIP, telefon kontaktowy, informację o majątkowym ustroju małżeńskim (ustawowa wspólność majątkowa lub rozdzielność majątkowa ze współmałżonką/iem), adres zamieszkania, adres budynku /lokalu mieszkalnego, adres korespondencyjny, numer konta bankowego, numer księgi wieczystej / numer działki, adres e-mail, informację dotyczącą dochodu, w tym informacji zawierającej w swoim zakresie elementy informacji o stanie zdrowia, które są elementem składowym takiego dokumentu, dane dotyczące oceny wniosku o dotację oraz rozliczenia umowy dotacji, w tym: status wniosku o dotację (w tym również anulowanie wniosku o dotację, informację o braku zawarcia umowy dotacji), decyzję na temat wniosku o dotację, wysokość wypłaconej dotacji, kwotę dotacji uzyskaną we wcześniejszych wersjach programu;
współmałżonka wnioskodawcy (jeśli dotyczy) i obejmuje: imię i nazwisko, adres zamieszkania, PESEL, informację o majątkowym ustroju małżeńskim (ustawowa wspólność majątkowa lub rozdzielność majątkowa ze współmałżonką/iem);
współwłaściciela budynku /lokalu mieszkalnego ujętego we wniosku o dofinansowanie (jeśli dotyczy) i obejmuje: imię i nazwisko, adres zamieszkania.
Powierzone przez NFOŚiGW Dane Osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w realizacji Programu Priorytetowego „Czyste Powietrze”.
Przetwarzanie powierzonych Danych Osobowych ma charakter ciągły i następuje przy wykorzystaniu systemów informatycznych Podmiotu przetwarzającego spełniających wymogi z § 4 ust.1.
Podmiot przetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania powierzonych Danych Osobowych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – które są w minimalnym zakresie niezbędne do realizacji celu określonego w ust. 2 powyżej.
Powierzone przez Powierzającego Dane Osobowe Podmiot przetwarzający będzie przetwarzał przez okres obowiązywania Porozumienia, tj. do dnia 30.06.2034 r., czyli do zakończenia okresu trwałości ostatniego przedsięwzięcia, chyba że prawo Unii lub prawo państwa członkowskiego nakazują dalsze przechowywanie Danych Osobowych. Podmiot przetwarzający jest również upoważniony do przetwarzania powierzonych Danych Osobowych po rozwiązaniu Porozumienia, gdy istnieje podstawa prawna do ich przetwarzania przez Podmiot przetwarzający wynikająca z powszechnie obowiązujących przepisów prawa lub gdy Podmiot przetwarzający przetwarza Dane Osobowe również jako samodzielny administrator danych.
§ 4
Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych Danych Osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z Przetwarzaniem Danych Osobowych, o których mowa w art. 32 Rozporządzenia.
Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych.
Do przetwarzana powierzonych Danych Osobowych mogą być dopuszczeni jedynie pracownicy Podmiotu przetwarzającego, posiadający imienne upoważnienia do przetwarzania danych osobowych lub upoważnienia do przetwarzania danych osobowych przyjętych w wewnętrznych regulacjach organizacji.
Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b Rozporządzenia, powierzonych do przetwarzania danych przez osoby, które upoważni do przetwarzania danych osobowych w celu realizacji niniejszego Porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Powierzającego i od współpracujących z nim osób oraz danych dotyczących Programu Priorytetowego „Czyste Powietrze” uzyskanych w związku z realizacją niniejszego Porozumienia, które nie są danymi publicznie dostępnymi. Powierzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Podmiotu przetwarzającego i od współpracujących z nim osób w zakresie wykonywania niniejszego Porozumienia.
Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych, o których mowa w ust. 5, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora uzyskanej za pośrednictwem Powierzającego w innym celu niż wykonanie Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia.
Podmiot przetwarzający w dacie zakończania obowiązywania Porozumienia usuwa wszelkie dane osobowe, z zastrzeżeniem § 3 ust. 5 powyżej.
Podmiot przetwarzający, w przypadku zaistnienia sytuacji, o której mowa w ust. 7, niezwłocznie, lecz nie później niż do 7 dni przekazuje Powierzającemu oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone niniejszym Porozumieniem.
Podmiot przetwarzający uwzględniając charakter przetwarzania, w miarę możliwości pomaga Administratorowi za pośrednictwem Powierzającego poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, a o których mowa w rozdziale III Rozporządzenia, oraz biorąc pod uwagę charakter przetwarzania i dostępne mu informacje pomaga Administratorowi za pośrednictwem Powierzającego wywiązywać się z obowiązków określonych w art. 32-36 Rozporządzenia.
Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi oraz Powierzającemu, na każde ich żądanie, informacji na temat przetwarzania powierzonych danych osobowych, o których mowa w ust.9, w ciągu 14 dni roboczych od dnia otrzymania żądania.
W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot przetwarzający zobowiązany jest przesłać do Powierzającego uzupełniony i podpisany formularz (oryginał) potwierdzający stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych. Wzór formularza stanowi załącznik nr 1 do niniejszego Porozumienia.
W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot przetwarzający zobowiązany jest przesłać do Powierzającego uzupełniony i podpisany formularz kontaktowy do IOD/osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych. (oryginał). Wzór formularza stanowi załącznik nr 3 do niniejszego Porozumienia. Podmiot przetwarzający zobowiązany jest do aktualizacji przedmiotowego formularza w przypadku zmiany danych kontaktowych.
§ 5
Naruszenia Ochrony Danych Osobowych
Podmiot przetwarzający, bez zbędnej zwłoki, nie później jednak niż w ciągu 36 godzin po stwierdzeniu faktu naruszenia, zgłosi Powierzającemu każde Naruszenie Ochrony Danych Osobowych. Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 Rozporządzenia, zawierać informacje umożliwiające Administratorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
§ 6
Prawo audytu
Powierzający lub podmiot przez niego upoważniony ma prawo do przeprowadzenia audytu, w celu sprawdzenia poprawności realizacji postanowień Porozumienia oraz przetwarzania powierzonych mu Danych Osobowych.
Audyt o którym mowa powyżej może zostać przeprowadzony przez Powierzającego lub podmiot przez niego upoważniony w siedzibie Podmiotu przetwarzającego nie częściej niż raz na kwartał. Strony oświadczają, że Xxxxx w żadnym wypadku nie może wykraczać po za zakres postanowień zawartych w Porozumieniu w tym w szczególności informacji stanowiących tajemnicę bankową.
Podmiot przetwarzający udostępnia Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków określonych w art. 28 Rozporządzenia.
Powierzający lub podmiot przez niego upoważniony realizować będzie audyt w godzinach pracy podmiotu przetwarzającego w sposób nieutrudniający Podmiotowi przetwarzającemu prowadzenie działalności, w sposób i zakresie ustalonym z Podmiotem przetwarzającym. Zawiadomienie o zamiarze przeprowadzenia audytu powinno być przekazane Podmiotowi przetwarzającemu przez Powierzającego na co najmniej 7 dni roboczych przed rozpoczęciem czynności.
W przypadku powzięcia przez Administratora, a także Powierzającego informacji o fakcie rażącego naruszenia przez Podmiot przetwarzający zobowiązań wynikających z Rozporządzenia lub Porozumienia, Podmiot przetwarzający umożliwi Powierzającemu, lub podmiotowi przez niego upoważnionemu, dokonanie audytu niezwłocznie, nie później niż po upływie 24 h od momentu powzięcia informacji.
Podmiot przetwarzający ma prawo nie zgodzić się na prowadzenie kontroli w imieniu Administratora w sytuacji gdy audytorem wskazanym przez Powierzającego jest podmiot prowadzący działalność konkurencyjną wobec Podmiotu przetwarzającego, czy też podmiot z nim powiązany lub podmiot/pracownik/osoba z nim współpracująca, bez względu na podstawę zatrudnienia lub współpracy. Podmiot przetwarzający ma obowiązek uzasadnić swój sprzeciw.
Po przeprowadzonym audycie Powierzający lub podmiot przez nich upoważniony sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Podmiot przetwarzający w terminie uzgodnionym z Powierzającym, nie dłuższym niż 30 dni roboczych, zobowiązuje się do zastosowania się do zaleceń (jeśli takie zostały wskazane) Powierzającego, dotyczących poprawy jakości zabezpieczania Danych Osobowych oraz sposobu ich przetwarzania lub usunięcia uchybień stwierdzonych podczas audytu lub inspekcji.
§ 7
Dalsze powierzenie danych do przetwarzania
Podmiot przetwarzający może powierzyć Dane Osobowe objęte niniejszym Porozumieniem do dalszego przetwarzania pod warunkiem, że wskazany podmiot daje gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 28 ust. 4 Rozporządzenia, przy zachowaniu zasad i celu określonych w Porozumieniu, Podmiot przetwarzający we własnym zakresie reguluje z Podprosesorami materię, o której mowa w zdaniu 1.
W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot przetwarzający lecz nie później niż 7 dni roboczych przed rozpoczęciem udostępniania API-GWD CZYSTE POWIETRZE przez Partnera w ramach Programu Priorytetowego „Czyste powietrze” Podmiot przetwarzający prześle Powierzającemu za pośrednictwem poczty elektronicznej na adres xxxxxxxxxxxxxxx@xxxxxxx.xxx.xx listę Podprocesorów z którymi będzie współpracował w tym zakresie. Powierzający ma prawo wniesienia sprzeciwu w ciągu 7 dni roboczych od przekazania listy Podprocesorów biorących udział w przetwarzaniu danych w ramach Programu Priorytetowego „Czyste Powietrze”.
Podmiot przetwarzający (w przypadku zmiany listy Podprocesorów) przekaże Powierzającemu raz w miesiącu, najpóźniej ostatniego dnia roboczego danego miesiąca aktualną listę Podprocesorów biorących udział w przetwarzaniu danych w ramach Programu Priorytetowego „Czyste Powietrze". Powierzający ma prawo wniesienia sprzeciwu (w stosunku do nowych Podprocesorów) w ciągu 7 dni roboczych od przekazania ww. listy.
Powierzający wnosi sprzeciw, o którym mowa w ust. 2 i 3, drogą elektroniczną na adres, z którego została wysłana do niego lista Podprocesorów. Do czasu upływu terminu na zgłoszenie sprzeciwu przez Powierzajacego Podprocesor nie jest uprawniony do przetwarzania w imieniu i na rzecz Administratora Danych Osobowych, na zasadach i w celu określonym w Porozumieniu.
Wzór listy Podprocesorów wraz z oświadczeniem Partnera potwierdzającym stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych przez Podprocesorów wykazanych na liście stanowi załącznik nr 2 do Porozumienia.
Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora otrzymanego za pośrednictwem Powierzającego, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora oraz Powierzającego o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 8
Odpowiedzialność Podmiotu przetwarzającego
Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub nałożonych niniejszym Porozumieniem lub gdy działał poza zgodnymi z prawem instrukcjami Administratora oraz Powierzającego lub wbrew tym instrukcjom.
Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Powierzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający Danych Osobowych określonych w Porozumieniu, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych Danych Osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez organ nadzorczy, o którym mowa w Ustawie.
Podmiot przetwarzający ponosi odpowiedzialność wobec Administratora oraz Powierzającego za nie wywiązywanie się za spoczywających na Podprocesorach, o których mowa w § 7 ust. 2, obowiązków, które Rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub w nałożonych niniejszym Porozumieniem lub gdy działał poza zgodnymi z prawem instrukcjami Administratora oraz Powierzającego lub wbrew tym instrukcjom, w szczególności za niezgłoszenie Administratorowi stwierdzonego Naruszenie Ochrony Danych Osobowych na zasadach określonych w § 5 ust. 1.
§ 9
Rozwiązanie Porozumienia
Powierzający może rozwiązać niniejsze Porozumienie ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
nie wdrożył środków wymaganych na mocy art. 32 Rozporządzenia;
pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas audytu lub inspekcji nie usunie ich w wyznaczonym terminie określonym w protokole pokontrolnym podpisanym przez Administratora lub Powierzającego i Podmiot przetwarzający;
przetwarza Dane Osobowe w sposób niezgodny z Porozumieniem.
§ 10
Postanowienia końcowe
Strony będą komunikowały się za pomocą poczty elektronicznej na wskazane adresy. -mail:
Administrator:
WFOŚiGW w Białymstoku: xxxxx@xxxxxxx.xxxxxxxxx.xx ,
WFOŚiGW w Gdańsku: xxxxxxx@xxxx.xxxxxx.xx ,
WFOŚiGW w Katowicach: xxxxx@xxxxxxx.xxxxxxxx.xx ,
WFOŚiGW w Kielcach: xxxxx@xxxx.xxx.xx ,
WFOŚiGW w Krakowie: xxxxx@xxxx.xxxxxx.xx ,
WFOŚiGW w Lublinie: xxxxxxxxxxx@xxxx.xxxxxx.xx ,
WFOŚiGW w Łodzi: xxxxxxx@xxxxxxx.xxxx.xx ,
WFOŚiGW w Olsztynie: xxxx@xxxxxxx.xxxxxxx.xx ,
WFOŚiGW w Opolu: xxxxxxxxxxx@xxxxxxx.xxxxx.xx ,
WFOŚiGW w Poznaniu: xxxxx@xxxxxx.xxxxxx.xx ,
WFOŚiGW w Rzeszowie: xxxxx@xxxxxxx.xxxxxxx.xx ,
WFOŚiGW w Szczecinie: xxxxxxxxxxx@xxxx.xxxxxxxx.xx ,
WFOŚiGW w Toruniu: xxxxxxxxxxx@xxxxxxx.xxxxx.xx ,
WFOŚiGW w Warszawie: xxxxxx@xxxxxxx.xx ,
WFOŚiGW we Wrocławiu: xxxxxx@xxx.xxxx.xx ,
WFOŚiGW w Zielonej Górze: xxxxxxxxxxx@xxxxxxx.xxxxx.xx.
Partner:………………………….
IOD NFOŚiGW: xxxxxxxxxxxxxxxxxxxxxx@xxxxxxx.xxx.xx
IOD Partnera: …………………………….
W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego, Rozporządzenia lub ustawy.
Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszego Porozumienia będzie sąd powszechny właściwości ogólnej.
Wszelkie zmiany i uzupełnienia niniejszego Porozumienia wymagają zachowania formy pisemnej pod rygorem nieważności.
____________________ ________________________
Powierzający Podmiot przetwarzający
Załącznik nr 1 do Porozumienia
Formularz potwierdzający stosowanie
środków organizacyjnych i technicznych
w zakresie ochrony
danych osobowych
……………………………………………………………………………………….. stosuje właściwe
(nazwa i adres podmiotu przetwarzającego)
środki organizacyjne i techniczne umożliwiające należyte
zabezpieczenie danych osobowych, zgodnie z RODO.
została opracowana i wdrożona dokumentacja w zakresie ochrony danych osobowych (poniżej należy wymienić kluczową opracowaną i wdrożoną dokumentację):
……………………………………………………………………………………………………….
……………………………………………………………………………………………………….
……………………………………………………………………………………………………….
wdrożono środki organizacyjne ochrony danych osobowych (poniżej należy wymienić kluczowe środki organizacyjne):
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
………………………………………………………………………………………………………..
wdrożono środki ochrony fizycznej i technicznej danych osobowych (poniżej należy wymienić kluczowe środki fizyczne i techniczne):
……………………………………………………………………………………………………….
……………………………………………………………………………………………………….
……………………………………………………………………………………………………….
……………………………………
Podpis
i pieczęć Podmiotu przetwarzającego
Załącznik nr 2 do Porozumienia
Lista Podprocesorów, z którymi
Partner współpracuje w zakresie realizacji
Porozumienia
obowiązująca na dzień………….
Partner ………………………………………………………………………. (nazwa) będący Podmiotem przetwarzającym oświadcza, że niżej wymienieni Podprocesorzy dają gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 28 ust. 4 Rozporządzenia:
L.p. |
nazwa podprocesora adres jego siedziby albo miejsce zamieszkania |
data zawarcia Porozumienia |
data zakończenia obowiązywania Porozumienia |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Załącznik nr 3 do Porozumienia
Formularz kontaktowy do inspektora ochrony danych/ osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych
………………………………………………………………………………………………..
(nazwa i adres podmiotu przetwarzającego)
wyznaczył/nie wyznaczył* inspektora ochrony danych:
………………………………………………………………………………………………………
………………………………………………………………………………………………………
………………………………………………………………………………………………………
(imię i nazwisko, numer telefonu oraz adres poczty elektronicznej).
W przypadku niewyznaczenia inspektora ochrony danych należy wskazać powyższe dane do osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych.
……………………………………
Podpis
i pieczęć Podmiotu przetwarzającego
* niepotrzebne skreślić
12