1.
Minister właściwy do spraw gospodarki może, w drodze porozumienia, powierzyć instytutowi badawczemu w rozumieniu art. 1 ustawowe pojęcie instytutu badawczego ust. 1 ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. z 2024 r. poz. 534, z 2025 r. poz. 1017 i 1080 oraz z 2026 r. poz. 160) lub instytutowi działającemu w ramach Sieci Badawczej Łukasiewicz w rozumieniu ustawy z dnia 21 lutego 2019 r. o Sieci Badawczej Łukasiewicz (Dz. U. z 2024 r. poz. 925 i 1089 oraz z 2026 r. poz. 160), w którego przedmiocie i zakresie działalności znajdują się badania naukowe i prace rozwojowe w dziedzinie pozostałych nauk przyrodniczych i technicznych, realizację niektórych zadań związanych z utrzymaniem i rozwojem systemu, polegających na zapewnianiu jego ciągłej i bezawaryjnej pracy, podejmowaniu działań serwisowych oraz wdrażaniu nowych funkcjonalności tego systemu.
2.
Zadania, o których mowa w ust. 1, są finansowane z budżetu państwa, z części, której dysponentem jest minister właściwy do spraw gospodarki.
3.
Porozumienie, o którym mowa w ust. 1, określa w szczególności:
1)
przedmiot porozumienia i okres jego trwania;
2)
charakter i cel przetwarzania danych niezbędny dla utrzymania i rozwoju systemu;
3)
wskazanie, że dotyczy danych, o których mowa w art. 24a rejestry prowadzone przez organ kontroli w systemie informatycznym ust. 2;
4)
kategorie podmiotów, o których mowa w art. 24a rejestry prowadzone przez organ kontroli w systemie informatycznym ust. 2 pkt 2;
5)
prawa i obowiązki administratora danych;
6)
obowiązki podmiotu, z którym zawarto porozumienie, o których mowa w ust. 4;
7)
sposób, zakres oraz częstotliwość prowadzenia przez administratora danych kontroli przetwarzania danych.
4.
Podmiot, z którym zawarto porozumienie, jest obowiązany:
1)
przetwarzać dane wyłącznie w celu niezbędnym dla utrzymania i rozwoju systemu;
2)
działać wyłącznie zgodnie z upoważnieniem administratora danych;
3)
zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności, również w zakresie środków technicznych ich zabezpieczenia;
4)
udzielać administratorowi danych pomocy w realizacji praw osób, których dane dotyczą, zgodnie z prawami określonymi w rozdziale III rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
5)
po zakończeniu świadczenia usługi przetwarzania danych usunąć albo zwrócić administratorowi danych wszelkie dane osobowe oraz usunąć wszelkie istniejące kopie danych osobowych, chyba że przepisy prawa wymagają przechowywania tych danych osobowych;
6)
udostępniać administratorowi danych wszelkie informacje związane z weryfikacją prawidłowości realizacji porozumienia, o którym mowa w ust. 1;
7)
przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, któremu powierzył przetwarzanie danych osobowych.
5.
Podmiot, z którym zawarto porozumienie, może powierzyć przetwarzanie danych innemu podmiotowi przetwarzającemu każdorazowo wyłącznie na podstawie pisemnej umowy, w przypadku gdy porozumienie, o którym mowa w ust. 1, przewiduje takie prawo, na warunkach i w zakresie przez nie określonych.
6.
Powierzenie przetwarzania danych, o którym mowa w ust. 5, następuje za zgodą administratora danych. Przepisy ust. 1, 3 i 4 stosuje się odpowiednio.
