Dawid
Ł.
Administrator
Bezpieczeństwa
Informacji (ABI), EF
Temat: Przetwarzanie danych w projektach dofinansowanych z EFS
Poniżej zapisy umowy umowy o dofinansowanie dot. ochrony danych osobowych:Ochrona danych osobowych
§ 30.
1. Na podstawie art. 31 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U.
z 2014 r. poz. 1182 z późn. zm.) Instytucja Zarządzająca Regionalnym Programem Operacyjnym powierza Beneficjentowi przetwarzanie danych osobowych w imieniu i na rzecz Instytucji Zarządzającej i na warunkach opisanych w niniejszym paragrafie.
2. Powierzenie przetwarzania danych osobowych, o którym mowa w ust. 1 następuje wyłącznie
w celu umożliwienia realizacji projektu i zbierania wymaganych niezbędnych danych na temat uczestników projektu.
3. Zakres powierzanych danych osobowych określa załącznik nr 11 do niniejszej umowy Powierzane dane są przetwarzane na podstawie art. 23 ust. 1 pkt 2 oraz art. 27 ust. 2 pkt 2 Ustawy o ochronie danych osobowych.
4. Instytucja Zarządzająca umocowuje Beneficjenta do dalszego powierzenia przetwarzania danych osobowych, w imieniu i na rzecz Instytucji Zarządzającej podmiotom świadczącym usługi na rzecz Beneficjenta w związku z realizacją niniejszego projektu. Powierzenie przetwarzania danych osobowych podmiotom, o których mowa w zdaniu pierwszym, odbywa się na podstawie umów zawieranych na piśmie.
5. Umowy, o których mowa w ust. 4 zawierają zapisy analogiczne do zapisów niniejszego paragrafu
i mogą być zawierane pod warunkiem niewyrażenia sprzeciwu przez Instytucję Zarządzającą
w terminie 7 dni roboczych od dnia wpłynięcia informacji o zamiarze powierzania przetwarzania danych osobowych do Instytucji Zarządzającej. Beneficjent jest zobowiązany do każdorazowego dostosowania zakresu danych osobowych powierzanych do przetwarzania przy czym zakres nie może być szerszy niż zakres określony ust. 3.
6. Instytucja Zarządzająca, zobowiązuje Beneficjenta do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 24 i art. 25 Ustawy o ochronie danych osobowych.
7. Instytucja Zarządzająca, zobowiązuje Beneficjenta do takiego formułowania umów, o których mowa w ust. 4, by podmioty te były zobowiązane do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 24 i art. 25 Ustawy o ochronie danych osobowych.
8. Beneficjent jest zobowiązany odebrać od uczestnika Projektu oświadczenie, którego wzór stanowi załącznik nr 10 do niniejszej umowy. Oświadczenia przechowuje Beneficjent w swojej siedzibie lub w innym miejscu, w którym są przechowywane dokumenty związane z Projektem. Zmiana wzoru oświadczenia przez Instytucję Zarządzającą nie wymaga aneksowania niniejszej umowy.
9. Beneficjent zobowiązany jest podjąć, przed rozpoczęciem przetwarzania danych osobowych, środki zabezpieczające, o których mowa w art. 36-39 Ustawy o ochronie danych osobowych oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a Ustawy o ochronie danych osobowych, a w szczególności zobowiązany jest do:
a) zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,
b) zapewnienia, aby dane były udostępniane wyłącznie podmiotom upoważnionym do żądania informacji na podstawie przepisów prawa,
c) ograniczenia dostępu do danych wyłącznie dla osób posiadających upoważnienie
do przetwarzania danych,
d) prowadzenia ewidencji osób upoważnionych do dostępu do danych osobowych,
e) prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w której skład wchodzą Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
f) zapewnienia, aby osoby mające dostęp do danych osobowych zachowywały je w tajemnicy, przy czym obowiązek ten istnieje również po ustaniu zatrudnienia tych osób.
10. Instytucja Zarządzająca uprawniona jest do żądania od Beneficjenta pisemnych wyjaśnień dotyczących:
a) stosowanych przez nią środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w tym stosowanych środków sprzętowych i programowych,
b) przetwarzania powierzonych danych osobowych.
11. Beneficjent zobowiązuje się do:
a) niezwłocznego informowania Instytucji Zarządzającej o wszelkich przypadkach naruszenia bezpieczeństwa oraz tajemnicy danych osobowych lub ich niewłaściwym użyciu, a także
o wszelkich czynnościach związanych z niniejszą umową, prowadzonych przed Generalnym Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub sądami;
b) umożliwienia Instytucji Zarządzającej dokonania kontroli w miejscach, w których są przetwarzane powierzone dane osobowe, w zakresie stosowania niniejszej umowy w terminie ustalonym przez strony, nie później jednak niż 5 dni kalendarzowych od dnia powiadomienia Beneficjenta przez Instytucję Zarządzającą o zamiarze przeprowadzenia kontroli, w celu sprawdzenia prawidłowości przetwarzania oraz zabezpieczania danych osobowych;
c) w przypadku powzięcia przez Instytucję Zarządzającą wiadomości o rażącym naruszeniu przez Beneficjenta zobowiązań wynikających z Ustawy o ochronie danych osobowych lub niniejszej umowy, Beneficjent umożliwi Instytucji Zarządzającej dokonanie niezapowiedzianej kontroli;
d) zastosowania się do zaleceń pokontrolnych Instytucji Zarządzającej, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania.