Grantodawca oraz podmioty wymienione w art. 87 ust. 1 ustawy wdrożeniowej są administratorami w rozumieniu art. 4 pkt 7 RODO. Przetwarzanie danych odbywa się zgodnie z rozdziałem 18 ustawy wdrożeniowej.

Grantodawca i podmioty wskazane w ust. 1 przetwarzają dane osobowe w celach określonych w art. 4 RODO, w tym m.in. do monitorowania, kontroli, sprawozdawczości, komunikacji, publikacji, ewaluacji, zarządzania finansowego, weryfikacji, audytów oraz do ustalania kwalifikowalności uczestników.

Grantodawca powierza Grantobiorcy przetwarzanie danych osobowych na warunkach opisanych w tym paragrafie.

1. Rozporządzenie ogólne (RODO)
2. Rozporządzenie EFS+
3. Ustawa wdrożeniowa

Powierzone dane mogą być przetwarzane wyłącznie w celu realizacji projektu objętego grantem, w zakresie wskazanym w ust. 2.

1. Zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa zgodnie z art. 32 RODO.
2. Wdrożenie środków technicznych i organizacyjnych spełniających wymogi RODO.
3. Dopuszczenie do przetwarzania wyłącznie osób upoważnionych przez Grantobiorcę oraz podmioty z ust. 8 posiadające imienne upoważnienia.
4. Prowadzenie ewidencji osób upoważnionych.
5. Prowadzenie rejestru podmiotów z ust. 8.
6. Prowadzenie rejestru kategorii czynności przetwarzania zgodnie z art. 30 ust. 2 RODO.
7. Udostępnianie Grantodawcy dokumentów na żądanie.
8. Wykonywanie obowiązków informacyjnych wobec osób, których dane dotyczą (art. 13-14 RODO).
9. Zachowanie tajemnicy danych osobowych i sposobów ich zabezpieczenia, także po ustaniu stosunku prawnego.
10. Udostępnianie danych wyłącznie podmiotom upoważnionym na podstawie prawa.

Grantobiorca odpowiada wobec osób trzecich i Grantodawcy za szkody wynikłe z nieprzestrzegania RODO, ustawy i innych przepisów oraz za przetwarzanie danych niezgodnie z Umową.

Grantodawca umocowuje Grantobiorcę do powierzania danych podmiotom świadczącym usługi w ramach projektu, jeśli w ciągu 7 dni roboczych nie wniesie sprzeciwu. Powierzenie wymaga pisemnej umowy.

Grantobiorca zobowiązuje się formułować umowy powierzenia danych tak, aby podmioty wdrożyły odpowiednie środki techniczne i organizacyjne zgodnie z RODO oraz chroniły prawa osób, których dane dotyczą.

1. Wdrożenie odpowiednich środków technicznych i organizacyjnych.
2. Ponoszenie odpowiedzialności za szkody wynikłe z nieprzestrzegania przepisów.
3. Prowadzenie rejestru kategorii czynności przetwarzania.
4. Wykonywanie obowiązków informacyjnych wobec osób.
5. Umożliwienie kontroli lub audytu zgodności przetwarzania danych.

Zakres danych powierzanych podmiotom powinien być adekwatny do celu powierzenia i każdorazowo indywidualnie dostosowany.

Grantodawca umocowuje Grantobiorcę do wydawania i odwoływania imiennych upoważnień. Wzory określone w załącznikach 3 i 4 do Umowy.

Upoważnienia ważne do odwołania, nie dłużej niż do dnia wskazanego w §14 ust. 1 Umowy. Upoważnienie wygasa przy ustaniu stosunku prawnego. Grantobiorca powinien mieć co najmniej jedną osobę z upoważnieniem do nadzoru dokumentacji.

Grantodawca umocowuje Grantobiorcę do dalszego upoważniania podmiotów z ust. 8 do wydawania i odwoływania upoważnień.

Grantodawca umożliwia Grantobiorcy określenie wzorów upoważnień dla podmiotów z ust. 14, zachowując wszystkie elementy wskazane w załącznikach do Umowy.

Grantobiorca informuje Grantodawcę niezwłocznie, nie później niż w ciągu 24 godzin, o każdym naruszeniu danych osobowych. Informacje te wysyłane będą na ustalony adres e-mail.

Jeżeli naruszenie skutkuje wysokim ryzykiem dla praw lub wolności osób, Grantobiorca, na polecenie Grantodawcy, zawiadamia osoby, których dane dotyczą.

Grantobiorca informuje Grantodawcę o wszystkich czynnościach prowadzonych przez organy nadzorcze, Policję lub sąd dotyczących ochrony danych osobowych.

Grantobiorca umożliwi Grantodawcy kontrolę zgodności przetwarzania danych z RODO, ustawą i Umową. Pisemne zawiadomienie minimum 3 dni robocze przed kontrolą lub audytem.

W przypadku rażącego naruszenia, Grantodawca może przeprowadzić niezapowiedzianą kontrolę.

1. Wstęp do pomieszczeń w godzinach pracy podmiotu kontrolowanego, z imiennym upoważnieniem.
2. Żądanie wyjaśnień od osób upoważnionych.
3. Wgląd do dokumentów i sporządzanie kopii.
4. Oględziny urządzeń, nośników i systemu informatycznego.

Grantobiorca stosuje zalecenia kontroli dotyczące zabezpieczenia danych i sposobu ich przetwarzania.

Grantobiorca informuje Grantodawcę o wynikach kontroli wraz z informacją o zastosowaniu się do zaleceń.

Grantobiorca wspiera Grantodawcę w odpowiadaniu na żądania osób, których dane dotyczą, zgodnie z rozdziałem III RODO.

Grantobiorca pomaga Grantodawcy w wykonywaniu obowiązków wynikających z art. 32–36 RODO, uwzględniając charakter przetwarzania i dostępne informacje.