Umowa podpowierzenia przetwarzania danych osobowych
Załącznik nr 7 do zapytania ofertowego
Umowa podpowierzenia przetwarzania danych osobowych
zawarta w dniu w Krupskim Młynie pomiędzy Gminą Xxxxxxx Młyn z
siedzibą w Krupskim Młynie, ul. Xxxxxxxxxxx 0, 00-000 Xxxxxxx Xxxx, NIP 000-00-00-000
reprezentowaną przez:
1. Wójta Gminy Xxxxxxx Młyn - Pana Xxxxxxxxxx Xxxx zwanym dalej „Podmiotem przetwarzającym" lub „Zlecającym" a Firmą
………………………..z siedzibą w……………..Nr NIP………………Nr REGON ,
zarejestrowaną w KRS…………………… pod nr ………….. …..
reprezentowaną przez:
1) …………………………………………………..
2) …………………………………………………..
zwanym dalej „Dalszym podmiotem przetwarzającym" lub „Wykonawcą" zwanymi łącznie „Stronami"
Preambuła: Zważywszy, że:
- Minister Funduszy i Polityki Regionalnej - jako Instytucja Zarządzająca w Programie Polska Cyfrowa 2014-2020 (POPC 2014-2020) - określa jakie dane osobowe, w jaki sposób i w jakim celu będą przetwarzane w związku z realizacją Programu, pełni rolę Administratora danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679z dnia 27 kwietnia 2016
r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy95/46/WE (dalej: RODO);
- Na podstawie Porozumienia w sprawie powierzania przetwarzania danych osobowych w związku z realizacją Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 z dnia 12 czerwca 2015r., zawartego pomiędzy Powierzającym a Instytucją Pośredniczącą, Grantodawca, w trybie art. 28 RODO, powierzył Grantobiorcy przetwarzanie Danych osobowych w imieniu i na rzecz administratora, na warunkach i w celach opisanych w umowie, w ramach zbioru Program Operacyjny Polska Cyfrowa na lata 2014-2020;
- Strony łączy umowa z dnia…………Nr (zwana dalej: Umową główną), na mocy której
Dalszy podmiot przetwarzający ;
- W związku z wykonywaną Umową główną Podmiot przetwarzający korzysta z danych osobowych powierzonych przez Administratora, które powierza do dalszego przetwarzania Wykonawcy; Strony postanawiają zawrzeć niniejszą Umowę o następującej treści:
§ 1
Definicje pojęć
Strony postanawiają nadać brzmienia określonym pojęciom użytym w niniejszej Umowie w sposób następujący:
1. „dane osobowe" - oznacza wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej powierzone do przetwarzania niniejszą Umową;
2. „Podmiot danych" - osoba, której dane dotyczą;
3. „dane wrażliwe" - Dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, danych biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej Podmiotu danych;
4. „dane zwykłe" - oznacza dane niebędące Danymi wrażliwymi;
5. „naruszenie" - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
6. „Państwa trzecie" - oznacza państwo spoza Europejskiego Obszaru Gospodarczego;
7. „Informacje poufne" - oznaczają w szczególności wszelkie informacje, dane, dane osobowe, nośniki danych, dokumenty uzyskane przez Podmiot przetwarzający, bezpośrednio lub pośrednio, od Administratora lub w związku z realizacją Umowy lub Umowy głównej;
8. „Subprocesor" - oznacza podmiot przetwarzający, z którego usług korzysta Wykonawca celem realizacji umowy powierzenia lub Umowy Głównej,
9. „Projekt" - należy przez to rozumieć przedsięwzięcie realizowane przez Zlecającego w ramach umowy o powierzenie Xxxxxx, do którego odnosi się Umowa Główna;
§ 2
Przedmiot Umowy
1. Zlecający powierza Wykonawcy do dalszego przetwarzania dane osobowe przetwarzane w ramach realizacji Umowy głównej i w celach określonych w niniejszej Umowie.
2. Wykonawca zobowiązuje się przetwarzać dane osobowe zgodnie z powszechnie obowiązującymi przepisami prawa, z niniejszym Umową oraz instrukcjami Zlecającego, oraz Administratora.
§ 3
Cele przetwarzania
Projekt "Cyfrowa gmina" jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014-2020. Podmiot przetwarzający będzie przetwarzał powierzone dane osobowe wyłącznie w celu aplikowania o środki europejskie i realizacji Projektu w szczególności kwalifikowalności wydatków, udzielenia wsparcia Projektu, ewaluacji, monitoringu, kontroli, sprawozdawczości oraz działań informacyjnopromocyjnych, w ramach programu, do realizacji którego odnosi się Umowa główna.
§ 4
Zakres powierzonych danych osobowych
1. W ramach niniejszej Umowy Administrator powierza Podmiotowi przetwarzającemu do przetwarzania następujące kategorie danych osobowych:
a) Zakres danych osobowych wnioskodawców, beneficjentów, partnerów:
- Nazwa wnioskodawcy (beneficjenta)
- Forma prawna - Forma własności
- NIP
- REGON
- Adres siedziby: Ulica , Nr budynku, Nr lokalu, Kod pocztowy, Miejscowość, Kraj, Województwo, Powiat, Gmina, Telefon, Fax, Adres e-mail, Adres strony www
- Osoba/y uprawniona/e do podejmowania decyzji wiążących w imieniu wnioskodawcy
- Osoba do kontaktów roboczych: Imię, Nazwisko, Numer telefonu, Adres e-mail, Numer faksu, Adres,
Ulica, Nr budynku, Nr lokalu, Kod pocztowy, Miejscowość
b) Dane pracowników zaangażowanych w przygotowanie i realizację projektów, oraz dane pracowników instytucji zaangażowanych we wdrażanie Programu Operacyjnego Polska Cyfrowa2014 2020, którzy zajmują się obsługą projektów:
- Imię
- Nazwisko
- Adres e-mail
- rodzaj użytkownika
- Miejsce pracy
- Numer telefonu
- Nazwa wnioskodawcy/beneficjenta
c) Osoby fizyczne i osoby prowadzące działalność gospodarczą, których dane będą przetwarzane w związku z badaniem kwalifikowalności środków w projekcie:
- Nazwa wykonawcy
- Imię
- Nazwisko
- Kraj
- NIP
- Adres: Ulica, Nr budynku, Nr lokalu, Kod pocztowy, Miejscowość
- Nr rachunku bankowego
- Kwota wynagrodzenia
2. Zakres danych osobowych powierzonych do przetwarzania:
- Zbiór Centralny system teleinformatyczny wspierający realizację programów operacyjnych
3. Zakres kategorii Danych osobowych określony w ust. 1 powyżej jest katalogiem zamkniętym, przetwarzanie przez Dalszy podmiot przetwarzający innych danych nie jest objęte niniejszą Umową.
§ 5
Operacje przetwarzania
Przez przetwarzanie rozumie się dokonywanie niezbędnych operacji na danych osobowych takich jak: utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie.
§ 6
Obowiązki Podmiotu przetwarzającego Podmiot przetwarzający zobowiązuje się:
1) stosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o którym mowa w art. 32 Rozporządzenia;
2) przetwarzać powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora - co dotyczy również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakładają na niego przepisy prawa powszechnie obowiązującego; w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo tonie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
3) nadać imienne upoważnienia do przetwarzania powierzonych danych osobowych zatrudnionym przez niego lub współpracujących z nim na podstawie umów cywilnoprawnych osobom, które będą uczestniczyły w przetwarzaniu powierzonych danych osobowych, według wzoru upoważnień. Wzory upoważnień zostały określone przez Administratora.
4) zapewnić, by osoby zatrudnione przez niego lub współpracujących z nim na podstawie umów cywilnoprawnych osobom, które będą uczestniczyły w przetwarzaniu powierzonych danych osobowych te zobowiązały się do zachowania w tajemnicy przetwarzanych danych osobowych;
5) pomagać Podmiotowi przetwarzającemu oraz Administratorowi wywiązywać się z obowiązków określonych w art. 32-36 Rozporządzenia;
6) w przypadku stwierdzenia podejrzenia naruszenia zasad ochrony i przetwarzania powierzonych danych osobowych, zgłosić je niezwłocznie Podmiotowi przetwarzającemu jednak nie później niż w terminie 12 godzin po jego stwierdzeniu, na adres mailowy przewidziany do komunikacji między Stronami w związku z realizowaniem Umowy głównej;
7) pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania przez nią jej praw określonych w Rozporządzeniu;
8) prowadzić rejestr kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO;
9) pracowania jedynie z dokumentami niezbędnymi do wykonania obowiązków wynikających z Umowy głównej;
10) przechowywania dokumentów w czasie nie dłuższym niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone, zgodnie z przepisami prawa powszechnie obowiązującego oraz Umową główną;
11) nietworzenia kopii dokumentów innych niż niezbędne do realizacji Umowy głównej;
12) zachowania w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO powierzonych do przetwarzania Danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania Danych osobowych z Wykonawcą;
13) zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania Danych osobowych, przetwarzaniem z naruszeniem ustawy o ochronie osobowych oraz RODO, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem;
14) nieprzemieszczania dokumentów lub ich kopii poza miejsce przetwarzania
15) zabezpieczenia korespondencji i wszelkich dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania Danych osobowych, a w szczególności przed kradzieżą, uszkodzeniem i zaginięciem;
16) niewykorzystywania zebranych na podstawie Umowy Danych osobowych dla celów innych niż określone w niniejszej Umowie (za wyjątkiem sytuacji, w których jest administratorem tych samych Danych osobowych).
§ 7
Dalsze powierzenie
1. Podmiot przetwarzający nie może powierzyć danych osobowych powierzonych mu do przetwarzania na podstawie niniejszej Umowy do dalszego przetwarzania Subprocesorom, chyba że uzyska uprzednio zgodę Podmiotu przetwarzającego lub Administratora.
2. Umowa dalszego powierzenia przez Wykonawcę powinna być zawarta na co najmniej tych samych warunkach, co niniejsza Umowa.
§ 8
Odpowiedzialność Podmiotu przetwarzającego
1. Dalszy podmiot przetwarzający ponosi odpowiedzialność za udostępnienie lub wykorzystanie powierzonych danych osobowych niezgodnie z postanowieniami Umowy, a w szczególności za udostępnienie tych danych osobowych osobom nieupoważnionym.
2. Dalszy podmiot przetwarzający zobowiązany jest niezwłocznie poinformować Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający powierzonych danych osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych osobowych, a także o wszelkich planowanych lub realizowanych kontrolach i inspekcjach dotyczących ochrony danych osobowych.
§ 9
Prawo kontroli
1. Podmiotowi przetwarzającemu lub upoważnionemu przez niego audytorowi zewnętrznemu przysługuje prawo kontroli przestrzegania zasad przetwarzania powierzonych danych osobowych, w szczególności w zakresie przestrzegania postanowień niniejszej Umowy oraz spełnienia wymogów przewidzianych w Rozporządzeniu oraz innych powszechnie obowiązujących przepisach prawa.
2. Prawo kontroli realizowane przez Podmiot przetwarzający polega w pierwszej kolejności na weryfikacji przez Administratora dokumentacji wykorzystywanej przez Podmiot przetwarzający, a związanej z zapewnieniem bezpieczeństwa i ochrony danych osobowych, udostępnionej przez Podmiot przetwarzający wyłącznie do wglądu. Udostępnienie dokumentacji nastąpi w terminie 3dni
roboczych od momentu poinformowania o takim żądaniu Podmiotu przetwarzającego przez Administratora w formie pisemnej.
3. W przypadku, gdy analiza dokumentacji, o której mowa w ust. 2 wykaże istotne nie prawidłowości w zakresie przestrzegania przez Dalszy podmiot przetwarzający przepisów o ochronie danych osobowych, Podmiot przetwarzający jest uprawniony do przeprowadzenia audytu kontrolnego.
4. Kontrolerzy Podmiotu przetwarzającego mają w szczególności prawo:
a) wstępu, w godzinach pracy podmiotu kontrolowanego, za okazaniem imiennego upoważnienia, do pomieszczeń, w których znajduje się zbiór powierzonych do przetwarzania Danych osobowych, oraz pomieszczeń, w których powierzone do przetwarzania Dane osobowe są przetwarzane poza zbiorem danych osobowych;
b) żądania złożenia pisemnych i ustnych wyjaśnień przez pracowników Wykonawcy w zakresie niezbędnym do ustalenia stanu faktycznego;
c) wglądu do wszelkich dokumentów mających bezpośredni związek z przedmiotem kontroli lub audytu oraz sporządzania ich kopii;
d) przeprowadzania oględzin urządzeń, nośników oraz w szczególności systemu informatycznego służącego do przetwarzania powierzonych do przetwarzania Danych osobowych.
5. Wykonawca zobowiązuje się zastosować do zaleceń dotyczących poprawy jakości zabezpieczenia Danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku kontroli przeprowadzonych przez Podmiot przetwarzający albo inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
6. W przypadku stwierdzenia przez Administratora istotnych niezgodności w przetwarzaniu powierzonych danych osobowych, Podmiot przetwarzający zobowiązany jest do ich usunięcia najpóźniej w terminie 7 dni od dnia zgłoszenia takiego żądania przez Administratora i zgodnie z jego zaleceniami.
7. Podmiot przetwarzający zobowiązany jest udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez niego obowiązków określonych w art. 28 Rozporządzenia, a także przyczyniać się do wykonywania przez Administratora przysługującego mu prawa kontroli, chyba, że stanowi to tajemnicę przedsiębiorstwa Podmiotu przetwarzającego i nie jest związane z przetwarzaniem powierzonych danych osobowych.
§ 10
Informacje poufne
1. Dalszy podmiot przetwarzający zobowiązuje się względem Podmiotu przetwarzającego do zachowania poufności i nieujawniania osobom trzecim Informacji poufnych, chyba, że Podmiot
przetwarzający wyrazi na to zgodę w formie pisemnej pod rygorem nieważności lub jeżeli konieczność taka wynika z przepisów prawa powszechnie obowiązującego.
2. Informacje poufne będą wykorzystywane przez Dalszy podmiot przetwarzający wyłącznie w celu i w zakresie niezbędnym do realizowania Umowy oraz Umowy głównej.
§ 11
Czas obowiązywania i rozwiązywanie Umowy
1. Umowa została zawarta na czas określony do dnia 1 września 2022.
2. Strony mogą wypowiedzieć niniejszą Umowę z zachowaniem 30 dniowego terminu wypowiedzenia. Przy czym wypowiedzenie niniejszej Umowy bez jednoczesnego wypowiedzenia Umowy głównej pozostaje bezskuteczne.
3. Strony mogą w każdym czasie rozwiązać Umowę za zgodnym porozumieniem określając warunki zakończenia przetwarzania, przy uwzględnieniu postanowień określonych w ust. 5 poniżej.
4. Dalszy podmiot przetwarzający zobowiązuje się do usunięcia powierzonych do przetwarzania Danych osobowych z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenia nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dane osobowe, w terminie do 30 dni po upływie terminu wskazanego w Umowie na przechowywanie dokumentów dotyczących realizacji przedmiotu zamówienia;
5. Dalszy podmiot przetwarzający zobowiązuje się do niezwłocznego przekazania Podmiotowi przetwarzającemu pisemnego oświadczenia, w którym potwierdzi, że Dalszy podmiot Projekt "Cyfrowa gmina" jest finansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Polska Cyfrowa na lata 2014- 2020 przetwarzający nie posiada żadnych Danych osobowych, których przetwarzanie zostało mu powierzone niniejszą Umową, po zrealizowaniu obowiązku określonego w ust. 4 powyżej.
§ 12
Postanowienia końcowe
1. Wszelkie zmiany, uzupełnienia, rozwiązanie lub wypowiedzenie Umowy powinny być dokonane w formie pisemnej pod rygorem nieważności.
2. W zakresie nieuregulowanym Umową zastosowanie mają przepisy Rozporządzenia, Kodeksu cywilnego oraz inne przepisy prawa powszechnie obowiązującego w Polsce.
3. W przypadku uznania mocą prawomocnego orzeczenia sądowego lub prawomocnej decyzji administracyjnej, lub w przypadku sprzeczności z prawem któregokolwiek z postanowień Umowy, Strony postanawiają, że zamiast tego postanowienia (lub postanowień) zastosowanie mieć będą odpowiednie przepisy powszechnie obowiązującego prawa.
4. Strony postanawiają, że w przypadku powstania sporu na gruncie niniejszej Umowy, w pierwszej kolejności będą się starały dojść do porozumienia w drodze polubownej. Jeżeli nie będzie to możliwe, sądem właściwym do rozstrzygnięcia wszelkich sporów wynikających z Umowy będzie sąd właściwy miejscowo ze względu na siedzibę Podmiotu przetwarzającego.
5. Załącznik stanowiący integralną część umowy: Wzór upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych - Załącznik nr 6 do zapytania ofertowego
6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.