Sfinansowano w ramach reakcji Unii na pandemię COVID-19
Sfinansowano w ramach reakcji Unii na pandemię COVID-19
Załącznik
nr 1 do umowy nr …
do umowy z Wyko
Umowa podpowierzenia przetwarzania danych osobowych
W dniu ................................... w Mławie pomiędzy:
Miastem Mława, z siedzibą przy xx. Xxxxx Xxxxx 00, 00-000 Xxxxx, NIP: 569 176 00 34 zwanym dalej Zamawiającym,
reprezentowanym przez:
Burmistrza Miasta Mława - Xxxxxxxxx Xxxxxxxxxxxxx
przy kontrasygnacie Skarbnika Miasta Mława - Xxxxxxx Xxxxxxxx
zwanym dalej „Podmiotem przetwarzającym” lub „Zlecającym”
a
firmą ………………………. z siedzibą w …………………………. o Nr NIP………………., o Nr REGON………………., zarejestrowaną w KRS ………………….. pod nr ……………., reprezentowaną przez:
1. …………………………..
2. …………………………..
zwanym dalej „Dalszym podmiotem przetwarzającym” lub „Wykonawcą”
zwanymi łącznie „Stronami”
Preambuła
Zważywszy, że:
-Minister
Funduszy i Polityki Regionalnej – jako Instytucja Zarządzająca w
Programie Polska Cyfrowa 2014-2020 (POPC 2014-2020) – określa
jakie dane osobowe, w jaki sposób i w jakim celu będą przetwarzane
w związku z realizacją Programu, pełno on rolę Administratora
danych osobowych w rozumieniu Rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w
sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz
uchylenia dyrektywy95/46/WE (dalej: RODO);
-Na
podstawie Porozumienia w sprawie powierzania przetwarzania danych
osobowych w związku z realizacją Programu Operacyjnego Polska
Cyfrowa na lata 2014-2020 z dnia 12 czerwca 2015r., zawartego
pomiędzy Powierzającym a Instytucją Pośredniczącą, Grantodawca,
w trybie art. 28RODO, powierzył Grantobiorcy przetwarzanie Danych
osobowych w imieniu
i na rzecz administratora,
na warunkach i w celach opisanych w umowie, w ramach zbioru Program
Operacyjny Polska Cyfrowa na lata 2014-2020;
-Strony łączy umowa z dnia ________ o _________ (zwana dalej: Umową główną), na mocy której Dalszy podmiot przetwarzający _________________; Projekt “Cyfrowa gmina” jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020
-W związku z wykonywaną Umową główną Podmiot przetwarzający korzysta z danych osobowych powierzonych przez Administratora, które powierza do dalszego przetwarzania Wykonawcy;
Strony postanawiają zawrzeć niniejszą Umowę o następującej treści:
§ 1 Definicje pojęć
Strony
postanawiają nadać brzmienia określonym pojęciom użytym w
niniejszej Umowie
w sposób następujący:
1. „Dane osobowe” – oznacza wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej powierzone do przetwarzania niniejszą Umową;
2. „Podmiot danych” – osoba, której dane dotyczą;
3. „Dane wrażliwe” – Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, danych biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej Podmiotu danych;
4. „Dane zwykłe” – oznacza dane niebędące Danymi wrażliwymi;
5. „Naruszenie” - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
6. „Państwa trzecie” – oznacza państwo spoza Europejskiego Obszaru Gospodarczego;
7. „Informacje poufne” – oznaczają w szczególności wszelkie informacje, dane, dane osobowe, nośniki danych, dokumenty uzyskane przez Podmiot przetwarzający, bezpośrednio lub pośrednio, od Administratora lub w związku z realizacją Umowy lub Umowy głównej;
8. „Subprocesor” – oznacza podmiot przetwarzający, z którego usług korzysta Wykonawca celem realizacji umowy powierzenia lub Umowy Głównej,
9.
„Projekt” –
należy przez to rozumieć przedsięwzięcie realizowane przez
Zlecającego
w ramach umowy o powierzenie Xxxxxx, do którego
odnosi się Umowa Główna;
§ 2 Przedmiot Umowy
1.
Zlecający powierza Wykonawcy do dalszego przetwarzania dane osobowe
przetwarzane
w ramach realizacji Umowy głównej i w celach
określonych w niniejszej Umowie.
2. Wykonawca zobowiązuje się przetwarzać dane osobowe zgodnie z powszechnie obowiązującymi przepisami prawa, z niniejszym Umową oraz instrukcjami Zlecającego, oraz Administratora.
§ 3 Cele przetwarzania
Projekt
“Cyfrowa gmina” jest finansowany ze środków Europejskiego
Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska
Cyfrowa na lata 2014-2020Podmiot przetwarzający będzie przetwarzał
powierzone dane osobowe wyłącznie w celu aplikowania
o środki
europejskie i realizacji Projektu w szczególności kwalifikowalności
wydatków, udzielenia wsparcia Projektu, ewaluacji, monitoringu,
kontroli, sprawozdawczości oraz działań informacyjno-promocyjnych,
w ramach programu, do realizacji którego odnosi się Umowa główna.
§ 4 Zakres powierzonych Danych osobowych
1. W ramach niniejszej Umowy Administrator powierza Podmiotowi przetwarzającemu do przetwarzania następujące kategorie Danych osobowych:
a) Zakres danych osobowych wnioskodawców, beneficjentów, partnerów:
Nazwa wnioskodawcy (beneficjenta)
Forma prawna
Forma własności
NIP
REGON
Adres siedziby: Ulica , Nr budynku, Nr lokalu, Kod pocztowy, Miejscowość, Kraj, Województwo, Powiat, Gmina, Telefon, Fax, Adres e-mail, Adres strony www
Osoba/y uprawniona/e do podejmowania decyzji wiążących w imieniu wnioskodawcy
Osoba do kontaktów roboczych: Imię, Nazwisko, Numer telefonu, Adres e-mail, Numer faksu, Adres, Ulica, Nr budynku, Nr lokalu, Kod pocztowy, Miejscowość
b) Dane pracowników zaangażowanych w przygotowanie i realizację projektów, oraz dane pracowników instytucji zaangażowanych we wdrażanie Programu Operacyjnego Polska Cyfrowa2014 2020, którzy zajmują się obsługą projektów:
Imię
Nazwisko
Adres e-mail
rodzaj użytkownika
Miejsce pracy
Numer telefonu
Nazwa wnioskodawcy/beneficjenta
c)
Osoby fizyczne i osoby prowadzące działalność gospodarczą,
których dane będą przetwarzane
w związku z badaniem
kwalifikowalności środków w projekcie:
Nazwa wykonawcy
Imię
Projekt “Cyfrowa gmina” jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020
Nazwisko
Kraj
NIP
Adres: Ulica, Nr budynku, Nr lokalu, Kod pocztowy, Miejscowość
Nr rachunku bankowego
Kwota wynagrodzenia
2. Zakres danych osobowych powierzonych do przetwarzania:
Zbiór Centralny system teleinformatyczny wspierający realizację programów operacyjnych
3. Zakres kategorii Danych osobowych określony w ust. 1 powyżej jest katalogiem zamkniętym, przetwarzanie przez Dalszy podmiot przetwarzający innych danych nie jest objęte niniejszą Umową.
§ 5 Operacje przetwarzania
Przez przetwarzanie rozumie się dokonywanie niezbędnych operacji na danych osobowych takich jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie.
§ 6 Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się:
1.
stosować środki techniczne i organizacyjne mające na celu
należyte, odpowiednie do zagrożeń oraz kategorii danych objętych
ochroną, zabezpieczenie powierzonych do przetwarzania danych
osobowych, w szczególności zabezpieczyć je przed udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem
z naruszeniem przepisów prawa oraz zmianą,
utratą, uszkodzeniem lub zniszczeniem, zapewniające adekwatny
stopień bezpieczeństwa odpowiadający ryzyku związanym
z
przetwarzaniem danych osobowych, o którym mowa w art. 32
Rozporządzenia;
2. przetwarzać powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora – co dotyczy również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakładają na niego przepisy prawa powszechnie obowiązującego; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo tonie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
3. nadać imienne upoważnienia do przetwarzania powierzonych danych osobowych zatrudnionym przez niego lub współpracujących z nim na podstawie umów cywilnoprawnych osobom, które będą uczestniczyły w przetwarzaniu powierzonych danych osobowych, według wzoru upoważnień określonych w Załącznikach nr 1 i 2 Umowy, Wzory upoważnień zostały określone przez Administratora.
4. zapewnić, by osoby zatrudnione przez niego lub współpracujących z nim na podstawie umów cywilnoprawnych osobom, które będą uczestniczyły w przetwarzaniu powierzonych danych osobowych te zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych;
5.
pomagać Podmiotowi przetwarzającemu oraz Administratorowi
wywiązywać się
z obowiązków określonych w art. 32-36
Rozporządzenia;
6. w przypadku stwierdzenia podejrzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych, zgłosić je niezwłocznie Podmiotowi przetwarzającemu jednak nie później niż w terminie 12 godzin po jego stwierdzeniu, na adres mailowy przewidziany do komunikacji między Stronami w związku z realizowaniem Umowy głównej;
7. pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania przez nią jej praw określonych w Rozporządzeniu;
8. prowadzić rejestr kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO;
9. pracowania jedynie z dokumentami niezbędnymi do wykonania obowiązków wynikających z Umowy głównej;
10. przechowywania dokumentów w czasie nie dłuższym niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone, zgodnie z przepisami prawa powszechnie obowiązującego oraz Umową główną;
11. nietworzenia kopii dokumentów innych niż niezbędne do realizacji Umowy głównej;
12. zachowania w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO powierzonych do przetwarzania Danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania Danych osobowych z Wykonawcą;
13. zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania Danych osobowych, przetwarzaniem z naruszeniem ustawy o ochronie osobowych oraz RODO, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem;
14. nieprzemieszczania dokumentów lub ich kopii poza miejsce przetwarzania
15. zabezpieczenia korespondencji i wszelkich dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania Danych osobowych, a w szczególności przed kradzieżą, uszkodzeniem i zaginięciem;
16. niewykorzystywania zebranych na podstawie Umowy Danych osobowych dla celów innych niż określone w niniejszej Umowie (za wyjątkiem sytuacji, w których jest administratorem tych samych Danych osobowych).
§ 7 Dalsze powierzenie
1. Podmiot przetwarzający nie może powierzyć Danych osobowych powierzonych mu do przetwarzania na podstawie niniejszej Umowy do dalszego przetwarzania Subprocesorom, chyba że uzyska uprzednio zgodę Podmiotu przetwarzającego lub Administratora.
2. Umowa dalszego powierzenia przez Wykonawcę powinna być zawarta na co najmniej tych samych warunkach, co niniejsza Umowa.
§ 8 Odpowiedzialność Podmiotu przetwarzającego
1.
Dalszy podmiot przetwarzający ponosi odpowiedzialność za
udostępnienie lub wykorzystanie powierzonych danych osobowych
niezgodnie z postanowieniami Umowy,
a w szczególności za
udostępnienie tych danych osobowych osobom nieupoważnionym.
2. Dalszy podmiot przetwarzający zobowiązany jest niezwłocznie poinformować Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający powierzonych Danych osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych Danych osobowych, a także o wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących ochrony danych osobowych.
§ 9 Prawo kontroli
1. Podmiotowi przetwarzającemu lub upoważnionemu przez niego audytorowi zewnętrznemu przysługuje prawo kontroli przestrzegania zasad przetwarzania powierzonych danych osobowych, w szczególności w zakresie przestrzegania postanowień niniejszej Umowy oraz spełnienia wymogów przewidzianych w Rozporządzeniu oraz innych powszechnie obowiązujących przepisach prawa.
2. Prawo kontroli realizowane przez Podmiot przetwarzający polega w pierwszej kolejności na weryfikacji przez Administratora dokumentacji wykorzystywanej przez Podmiot przetwarzający, a związanej z zapewnieniem bezpieczeństwa i ochrony danych osobowych, udostępnionej przez Podmiot przetwarzający wyłącznie do wglądu. Udostępnienie dokumentacji nastąpi w terminie 3 dni roboczych od momentu poinformowania o takim żądaniu Podmiotu przetwarzającego przez Administratora w formie pisemnej.
3.
W przypadku, gdy analiza dokumentacji, o której mowa w ust. 2 wykaże
istotne nie prawidłowości w zakresie przestrzegania przez Dalszy
podmiot przetwarzający przepisów
o ochronie danych osobowych,
Podmiot przetwarzający jest uprawniony do przeprowadzenia audytu
kontrolnego.
4. Kontrolerzy Podmiotu przetwarzającego mają w szczególności prawo:
a) wstępu, w godzinach pracy podmiotu kontrolowanego, za okazaniem imiennego
b) upoważnienia, do pomieszczeń, w których znajduje się zbiór powierzonych do przetwarzania Danych osobowych, oraz pomieszczeń, w których powierzone do przetwarzania Dane osobowe są przetwarzane poza zbiorem danych osobowych;
c) żądania złożenia pisemnych i ustnych wyjaśnień przez pracowników Wykonawcy w zakresie niezbędnym do ustalenia stanu faktycznego;
d) wglądu do wszelkich dokumentów mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
e) przeprowadzania oględzin urządzeń, nośników oraz w szczególności systemu informatycznego służącego do przetwarzania powierzonych do przetwarzania Danych osobowych.
5. Wykonawca zobowiązuje się zastosować do zaleceń dotyczących poprawy jakości zabezpieczenia Danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli przeprowadzonych przez Podmiot przetwarzający albo inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
6. W przypadku stwierdzenia przez Administratora istotnych niezgodności w przetwarzaniu powierzonych danych osobowych, Podmiot przetwarzający zobowiązany jest do ich usunięcia najpóźniej w terminie 7 dni od dnia zgłoszenia takiego żądania przez Administratora i zgodnie z jego zaleceniami.
7. Podmiot przetwarzający zobowiązany jest udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez niego obowiązków określonych w art. 28
Rozporządzenia, a także przyczyniać się do wykonywania przez Administratora przysługującego mu prawa kontroli, chyba, że stanowi to tajemnicę przedsiębiorstwa Podmiotu przetwarzającego i nie jest związane z przetwarzaniem powierzonych Danych osobowych.
1. Dalszy podmiot przetwarzający zobowiązuje się względem Podmiotu przetwarzającego do zachowania poufności i nieujawniania osobom trzecim Informacji poufnych, chyba, że Podmiot przetwarzający wyrazi na to zgodę w formie pisemnej pod rygorem nieważności lub jeżeli konieczność taka wynika z przepisów prawa powszechnie obowiązującego.
2. Informacje poufne będą wykorzystywane przez Dalszy podmiot przetwarzający wyłącznie w celu i w zakresie niezbędnym do realizowania Umowy oraz Umowy głównej.
§ 11 Czas obowiązywania i rozwiązywanie Umowy
1. Umowa została zawarta na czas określony do dnia ………………………………………….
2. Strony mogą wypowiedzieć niniejszą Umowę z zachowaniem 30 dniowego terminu wypowiedzenia. Przy czym wypowiedzenie niniejszej Umowy bez jednoczesnego wypowiedzenia Umowy głównej pozostaje bezskuteczne.
3. Strony mogą w każdym czasie rozwiązać Umowę za zgodnym porozumieniem określając warunki zakończenia przetwarzania, przy uwzględnieniu postanowień określonych w ust. 6poniżej.
4. Dalszy podmiot przetwarzający zobowiązuje się do usunięcia powierzonych do przetwarzania Danych osobowych z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenia nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dan osobowe, w terminie do 30 dni po upływie terminu wskazanego w Umowie na przechowywanie dokumentów dotyczących udzielonej pomocy;
5. Dalszy podmiot przetwarzający zobowiązuje się do niezwłocznego przekazania Podmiotowi przetwarzającemu pisemnego oświadczenia, w którym potwierdzi, że Dalszy podmiot Projekt “Cyfrowa gmina” jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020przetwarzający nie posiada żadnych Danych osobowych, których przetwarzanie zostało mu powierzone niniejszą Umową, po zrealizowaniu obowiązku określonego w ust. 4 powyżej.
§ 12 Postanowienia końcowe
1. Wszelkie zmiany, uzupełnienia, rozwiązanie lub wypowiedzenie Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym Umową zastosowanie mają przepisy Rozporządzenia, Kodeksu cywilnego oraz inne przepisy prawa powszechnie obowiązującego w Polsce.
3. W przypadku uznania mocą prawomocnego orzeczenia sądowego lub prawomocnej decyzji administracyjnej, lub w przypadku sprzeczności z prawem któregokolwiek z postanowień Umowy, Strony postanawiają, że zamiast tego postanowienia (lub postanowień) zastosowanie mieć będą odpowiednie przepisy powszechnie obowiązującego prawa.
4. Strony postanawiają, że w przypadku powstania sporu na gruncie niniejszej Umowy, w pierwszej kolejności będą się starały dojść do porozumienia w drodze polubownej. Jeżeli nie będzie to możliwe, sądem właściwym do rozstrzygnięcia wszelkich sporów wynikających z Umowy będzie sąd właściwy miejscowo ze względu na siedzibę Podmiotu przetwarzającego.
5. Załączniki stanowią integralną część umowy.
a) Załącznik nr 1 - Wzór upoważnienia do przetwarzania danych osobowych (zał. nr 5);
b)
Załącznik nr 2 - Wzór odwołania upoważnienia do przetwarzania
danych osobowych (zał.
nr 6).
6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.
…………………………. Podmiot przetwarzający |
………………………………… Dalszy podmiot przetwarzający |
|
|