Common use of Obowiązki podmiotu przetwarzającego Clause in Contracts

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszego Porozumienia. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszego porozumienia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po ustaniu ich zatrudnienia. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. W miarę możliwości Podmiot Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 32-36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu podejrzenia naruszenia ochrony danych osobowych lub naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądaniew ciągu 24 h od powzięcia wiadomości o naruszeniu, nie później niż wskazując w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie zgłoszeniu: Opis charakteru naruszenia ochrony danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązkówtym w miarę możliwości kategorie osób oraz przybliżoną liczbę osób, o których mowa dane dotyczą i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; Imię i nazwisko oraz dane kontaktowe inspektora danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; Opis możliwych konsekwencji naruszenia ochrony danych osobowych; Opis środków zastosowanych lub proponowanych przez Przetwarzającego danych w pkt 4.4celu zapobieżeniu naruszenia ochrony danych osobowych, w tym stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków. Zgłoszenie naruszenia danych następuje do Inspektora ochrony danych SP ZOZ w Brzesku, tj. Xxxxxx Xxxxxxxxx-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu PrzetwarzającegoXxxxx, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniatel.00 00 00 000 lub bezpośrednio do Sekretariatu Dyrekcji. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający Wykonawca zobowiązuje się przetwarzać Dane zgodnie z RODOsię: stosować środki techniczne í organizacyjne zapewniające ochronę powierzonych danych, polskimi przepisami, a w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia AdministratoraW celu wykonania obowiązku, o którym mowa powyżejw zdaniu poprzedzającym, nakłada Wykonawca posiada wdrożony, certyfikowany System Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001, przy przetwarzaniu powierzonych danych osobowych na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnympodstawie Umowy powierzenia, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności zabezpieczy je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia (RODO) i ochronę prawa osób, których dane dotyczą, upoważnić do przetwarzania danych osobowych wskazanych w § 1 ust. 1 Porozumienia wszystkie osoby, które będą przetwarzały powierzone dane w celu realizacji Umowy i Umowy powierzenia, prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub Umowy powierzenia, zarówno w trakcie zatrudnienia lub współpracy z Wykonawcą, jak i po ustaniu zatrudnienia lub współpracy. Wykonawca pomaga Zamawiającemu: w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODORozporządzenia (Prawa osoby, której dane dotyczą). W związku w wywiązywaniu się z realizacją tego obowiązku Podmiot Przetwarzający jest obowiązków określonych w art. 32-36 Rozporządzenia, w szczególności zobowiązany do udzielania informacji oraz ujawnienia w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych Danych (lub ich kopii) danych osobowych na żądanie Administratora podstawie Umowy powierzenia, zgłasza je Zleceniodawcy za pośrednictwem osób wskazanych w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami§9 ust. Podmiot Przetwarzający powinien również niezwłocznie2 Umowy powierzenia bez zbędnej zwłoki, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego48 godzin od chwili stwierdzenia naruszenia. Podmiot Przetwarzający nie Wykonawca po zakończeniu trwania umowy jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieusunięcia powierzonych danych osobowych oraz usunięcia wszelkich ich istniejących kopii, o ile przepis prawa powszechnie obowiązującego nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie nakazuje przechowywania danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę przy przetwarzaniu danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne ich zabezpieczenia poprzez wdrożenie i organizacyjne, aby zapewnić stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzanezgodnie z art. 32 RODO. Strony zgodnie potwierdzają, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. iż Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie przetwarzający przedstawił Administratorowi informacje i dokumenty potwierdzające, że Podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych) . Podmiot przetwarzający zobowiązany jest do niezwłocznego przedstawiania Administratorowi wszelkich aktualizacji informacji i dokumentów, o których mowa w zdaniu poprzednim. Podmiot przetwarzający zobowiązuje się do nadania stosownych upoważnień do przetwarzania powierzonych mu danych osobowych wszystkim osobom, które będą miały dostęp do danych osobowych i będą je przetwarzały w celu realizacji niniejszej umowy, chyba że przetwarzanie wymagane jest przez prawo Unii Europejskiej lub prawo państwa członkowskiego. Podmiot przetwarzający zobowiąże upoważnione osoby, o których mowa w ust. 2 do bezterminowego zachowania w tajemnicy powierzonych im do przetwarzania danych osobowych, także po ustaniu ewentualnego zatrudnienia u Podmiotu przetwarzającego, chyba że taki obowiązek wynika z powszechnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych. Podmiot przetwarzający zobowiązany jest do niezwłocznego przekazywania Administratorowi informacji, komu zostały udzielone upoważnienia, o których mowa w ust. 2, na każde jego żądanie. Podmiot przetwarzający zobowiązany jest do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego określonych w niniejszej umowie oraz w RODO. Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania: w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji , oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczychdostępne Podmiotowi przetwarzającemu informacje, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 32-36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający bez zbędnej zwłoki, nie później niż w terminie 10 dni roboczych24 godzin od powzięcia uzasadnionego podejrzenia wystąpienia zdarzenia, wszelkie informacje niezbędne powiadomi Administratora: o wszelkich przypadkach nieprzestrzegania postanowień umowy lub przepisów prawa dotyczących ochrony danych osobowych przetwarzanych na mocy niniejszej umowy, których dopuścił się Podmiot przetwarzający, jego pracownicy i inne osoby, przy pomocy których przetwarza powierzone dane osobowe lub podwykonawcy; o wszelkich wnioskach ze strony organu nadzorującego przetwarzanie danych osobowych lub innej instytucji, w zakresie dotyczącym przetwarzania danych osobowych na podstawie niniejszej umowy, chyba że prawo stanowi inaczej, zwłaszcza jeżeli obowiązują jakiekolwiek zakazy w świetle prawa karnego, w celu chronienia poufności postępowania przygotowawczego prowadzonego przez te organy; o wszelkich naruszeniach zasad dotyczących przetwarzania i ochrony danych osobowych, w tym ich utracie, zniszczeniu, uszkodzeniu, nieuprawnionej zmianie lub ujawnieniu, lub incydentach przypadkowego lub nieupoważnionego dostępu do wykazania spełnienia danych osobowych przetwarzanych na mocy niniejszej umowy; o wszelkich zażaleniach lub wnioskach dotyczących danych osobowych (zwłaszcza wnioskach o dostęp do danych osobowych przetwarzanych na mocy umowy), ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o sprzeciwie wobec przetwarzania, a także o wniosku o przeniesienie danych osobowych przetwarzanych na mocy umowy, przesłanych bezpośrednio przez osoby, których dotyczą dane, bez udzielania na nie odpowiedzi do momentu uzyskania odpowiedniego polecenia Administratora, chyba że Podmiot przetwarzający posiada stosowne upoważnienie do udzielenia na nie odpowiedzi; jeżeli jego zdaniem wydane mu przez Administratora polecenie stanowi naruszenie przepisów o ochronie danych. Informacja, o której mowa w ust. 7 pkt 1 i 3 powinna co najmniej opisywać: charakter naruszenia zasad dotyczących przetwarzania i ochrony danych osobowych, w tym w miarę możliwości wskazywać osoby, których dane objęte zostały naruszeniem, czas, miejsce i okoliczności zdarzenia; możliwe konsekwencje naruszenia ochrony danych osobowych; działania wyjaśniające podjęte przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. przetwarzający; środki zastosowane lub proponowane przez Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązkówtym, w stosownych przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych skutków; czy Podmiot przetwarzający zgłosił naruszenie ochrony danych osobowych organowi nadzorującemu lub powiadomił o nim osoby, których dane objęte zostały naruszeniem. Informacje, o których mowa w ust. 7 pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego1 i 3 przekazywane będą pocztą elektroniczną na adres xxxx.xxxxxxx@xxxxxxxxxx.xxx.xx i xxxxxx.xxxxxxx@xxxxxxxxxxx.xxx.xx, Strony uprzednio uzgodnią w sposób zapewniający ich pokrycia w drodze odrębnego porozumienia. 4.9poufność, wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia. Podmiot Przetwarzający przetwarzający zobowiązuje się niezwłocznie poinformować do niezwłocznego informowania Administratora o podjęciu każdym postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w niniejszej umowie, o każdej decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych osobowych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem powierzonych danych osobowych usuwa wszelkie dane osobowe w terminie 30 dni od dnia zakończenia świadczenia usług związanych z przetwarzaniem powierzonych danych osobowych oraz usuwa w tym terminie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Dla uniknięcia niejasności, Administrator potwierdza, że Podmiot przetwarzający nie jest uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli do przetwarzania Danychdanych osobowych po zakończeniu obowiązywania niniejszej umowy.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane powierzone mu dane osobowe zgodnie z RODOniniejszą umową, polskimi przepisamiRozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy, w tym do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ponadto podmiot przetwarzający zobowiązuje się do przeszkolenia tych osób pod kątem przepisów i zasad dotyczących przetwarzania danych osobowych, w szczególności polskimi przepisami regulującymi ochronę Ustawy, oraz RODO, a także odpowiedzialności karnej i cywilnej za ich nieprzestrzeganie. 3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa wart. 28 ust. 3 lit. b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych oraz Porozumieniemw celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu. 4.24. Z zastrzeżeniem ust. 5, przetwarzanie danych osobowych przez Podmiot Przetwarzający będzie następować wyłącznie w sposób zgodny z prawem, w zakresie określonym w Umowie, wyłącznie na udokumentowane polecenie Administratora, wyrażone w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) – chyba, że przetwarzanie następować będzie w wykonaniu obowiązku nałożonego przepisami prawa. 5. Podmiot Przetwarzający zobowiązuje przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot przetwarzający jest zobowiązany poinformować Administratora o stosującym się przetwarzać Dane wyłącznie do niego obowiązku prawnym co najmniej na polecenie Administratora (na podstawie Porozumienia24 godziny przed rozpoczęciem przetwarzania, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe wiążące go przepisy nie zabraniają mu udzielania takiej informacji informacji, z uwagi na ważny interes publiczny. 4.36. Przetwarzanie danych osobowych przez Podmiot przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy. 7. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek współdziałania z Administratorem poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych organizacyjne w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje celu wywiązania się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane osobowe dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. 8. W związku Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru czynności przetwarzania danych osobowych zgodnie z realizacją tego obowiązku art. 30 RODO. Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) przetwarzający udostępnia na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronamiprowadzony rejestr czynności przetwarzania danych. 9. Podmiot Przetwarzający powinien również niezwłocznieprzetwarzający, jednak nie później niż w terminie 7 dni roboczychuwzględniając charakter przetwarzania oraz dostępne mu informacje, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieW szczególności niezwłocznie, nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających przetwarzający poinformuje o tym Administratora oraz umożliwi mu uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuchwilą ich dokonania, w szczególności obowiązkówo stwierdzeniu faktycznego naruszenia. Powiadomienie o stwierdzeniu naruszenia powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaaby umożliwić Administratorowi spełnienie obowiązku powiadomienia organów nadzoru. 4.910. Podmiot Przetwarzający zobowiązuje przetwarzający w terminie 7 dni od dnia zakończenia obowiązywania niniejszej Umowy, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. W takim wypadku Podmiot przetwarzający może przechowywać tylko te dane osobowe, których dotyczy przedmiotowy obowiązek prawny i jedynie w sposób co najmniej zgodny z niniejszą Umową. Jeżeli trwałe usunięcie danych osobowych wymaga zniszczenia nośnika na którym się niezwłocznie poinformować Administratora o podjęciu znajdują, nośnik raki powinien zostać zniszczony. Zwrot lub usunięcie danych osobowych zostanie wykazane w pisemnym protokole, podpisanym przez uprawniony organ nadzoru jakichkolwiek działań względem przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w zakresie kontroli przetwarzania Danychterminie 7 dni od dokonania wskazanych w nim czynności.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznychosób, których Dane dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzaneprzetwarzały powierzone dane osobowe, oraz zapewnić realizację zasad przy czym będą to jedynie osoby, które posiadają odpowiednie przeszkolenie z zakresu ochrony danych w fazie projektowania oraz domyślnej ochrony danychosobowych i są niezbędne do realizacji celu niniejszej Umowy. 4.44. Podmiot Przetwarzający przetwarzający zobowiązuje się wspierać Administratora (zapewnić, że osoby, które upoważnia do przetwarzania danych osobowych, w szczególności poprzez stosowanie odpowiednich środków technicznych celu realizacji niniejszej Umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 pkt b) Rozporządzenia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i organizacyjnych) po jego ustaniu. Podmiot przetwarzający zapewnia ponadto, że osoby o których mowa w realizacji niniejszym ustępie, będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej. 5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem niezwłocznie usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. W razie wpływu do Podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, Podmiot przetwarzający niezwłocznie informuje o tym Administratora. Udzielając informacji, Xxxxxxx przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania. 4.67. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, nie później niż przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOciągu 24 godzin. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszego Porozumienia. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszego porozumienia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po ustaniu ich zatrudnienia. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. W miarę możliwości Podmiot Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 32-36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu podejrzenia naruszenia ochrony danych osobowych lub naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądaniew ciągu 24 h od powzięcia wiadomości o naruszeniu, nie później niż wskazując w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie zgłoszeniu: Opis charakteru naruszenia ochrony danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązkówtym w miarę możliwości kategorie osób oraz przybliżoną liczbę osób, o których mowa dane dotyczą i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; Imię i nazwisko oraz dane kontaktowe inspektora danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; Opis możliwych konsekwencji naruszenia ochrony danych osobowych; Opis środków zastosowanych lub proponowanych przez Przetwarzającego danych w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającegocelu zapobieżeniu naruszenia ochrony danych osobowych, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniatym stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków. Zgłoszenie naruszenia danych następuje do Inspektora ochrony danych Szpitalu Specjalistycznym im. Xxxxxxx Xxxxxxxxxxxx w Mielcu, tel. 00 00 00 000 lub bezpośrednio do Sekretariatu Dyrekcji. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane powierzone mu dane osobowe zgodnie z RODOniniejszą umową, polskimi przepisamiRozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy, w tym do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ponadto podmiot przetwarzający zobowiązuje się do przeszkolenia tych osób pod kątem przepisów i zasad dotyczących przetwarzania danych osobowych, w szczególności polskimi przepisami regulującymi ochronę Ustawy, Rozporządzenia oraz RODO, a także odpowiedzialności karnej i cywilnej za ich nieprzestrzeganie. 3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych oraz Porozumieniemw celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu. 4.24. Z zastrzeżeniem ust. 5, przetwarzanie danych osobowych przez Podmiot Przetwarzający będzie następować wyłącznie w sposób zgodny z prawem, w zakresie określonym w Umowie, wyłącznie na udokumentowane polecenie Administratora, wyrażone w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) – chyba, że przetwarzanie następować będzie w wykonaniu obowiązku nałożonego przepisami prawa. 5. Podmiot Przetwarzający zobowiązuje przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot przetwarzający jest zobowiązany poinformować Administratora o stosującym się przetwarzać Dane wyłącznie do niego obowiązku prawnym co najmniej na polecenie Administratora (na podstawie Porozumienia24 godziny przed rozpoczęciem przetwarzania, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe wiążące go przepisy nie zabraniają mu udzielania takiej informacji informacji, z uwagi na ważny interes publiczny. 4.36. Przetwarzanie danych osobowych przez Podmiot przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy. 7. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek współdziałania z Administratorem poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych organizacyjne w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje celu wywiązania się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane osobowe dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. 8. W związku Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru czynności przetwarzania danych osobowych zgodnie z realizacją tego obowiązku art. 30 RODO. Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) przetwarzający udostępnia na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronamiprowadzony rejestr czynności przetwarzania danych. 9. Podmiot Przetwarzający powinien również niezwłocznieprzetwarzający, jednak nie później niż w terminie 7 dni roboczychuwzględniając charakter przetwarzania oraz dostępne mu informacje, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieW szczególności niezwłocznie, nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających przetwarzający poinformuje o tym Administratora oraz umożliwi mu uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuchwilą ich dokonania, w szczególności obowiązkówo stwierdzeniu faktycznego naruszenia. Powiadomienie o stwierdzeniu naruszenia powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaaby umożliwić Administratorowi spełnienie obowiązku powiadomienia organów nadzoru. 4.910. Podmiot Przetwarzający zobowiązuje przetwarzający w terminie 7 dni od ustania obowiązywania umowy głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. W takim wypadku Podmiot przetwarzający może przechowywać tylko te dane osobowe, których dotyczy przedmiotowy obowiązek prawny i jedynie w sposób co najmniej zgodny z niniejszą Umową. Jeżeli trwałe usunięcie danych osobowych wymaga zniszczenia nośnika na którym się niezwłocznie poinformować Administratora o podjęciu znajdują, nośnik raki powinien zostać zniszczony. Zwrot lub usunięcie danych osobowych zostanie wykazane w pisemnym protokole, podpisanym przez uprawniony organ nadzoru jakichkolwiek działań względem przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w zakresie kontroli przetwarzania Danychterminie 7 dni od dokonania wskazanych w nim czynności.

Obowiązki podmiotu przetwarzającego. 4.1Podmiot przetwarzający zobowiązuje się stosować środki techniczne i organizacyjne zapewniające adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, zgodnie z art. 32 RODO oraz art. 39 ustawy DODO. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się nadać upoważnienia do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy oraz Porozumieniem. 4.2dopuszczać do przetwarzania danych osobowych jedynie osoby upoważnione. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumieniazapewnić zachowanie w tajemnicy, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu o której mowa w oparciu o przepisy art. 28 ust. 3 lit. b RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych oraz art. 43 ustawy DODO, przetwarzanych danych przez upoważnione przez niego osoby, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratoradanych osobowych z Podmiotem przetwarzającym. Podmiot przetwarzający zobowiązany jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania, o którym mowa powyżejw art. 30 ust. 2 RODO oraz wykazu kategorii czynności przetwarzania dokonywanych w imieniu administratora, nakłada na Podmiot Przetwarzający obowiązujące prawoo którym mowa w art. 35 ust. 4 ustawy DODO. Podmiot Przetwarzający każdorazowo poinformuje Administratora przetwarzający pomaga Administratorowi w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji niezbędnym zakresie wywiązywać się z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 32 – 36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający niezwłocznie informuje Administratora o: wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu obowiązków dotyczących ochrony powierzonych do przetwarzania danych osobowych, z zastrzeżeniem ust. 8, wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem. Podmiot przetwarzający, bez zbędnej zwłoki, nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin po stwierdzeniu naruszenia, wszelkie zgłosi Administratorowi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno oprócz elementów określonych w art. 33 ust. 3 RODO oraz art. 44 ust. 4 ustawy DODO, zawierać informacje niezbędne do wykazania spełnienia przez umożliwiające Administratorowi określenie, czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Po rozwiązaniu lub wygaśnięciu Umowy, Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający przetwarzający zobowiązuje się niezwłocznie poinformować Administratorazwrócić Administratorowi powierzone dane osobowe i trwale usunąć je z wszystkich nośników, jeżelizarówno w postaci elektronicznej, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowychjak i papierowej. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia oraz w art. 39 Ustawy. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się do zapewnienia szkolenia z zakresu ochrony danych osobowych oraz nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia oraz w art. 34 ust 5 pkt 3 ustawy DODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, w szczególności rozwiązaniu lub wygaśnięciu niniejszej Umowy, zakończenia przez Administratora współpracy z osobą, której dane osobowe dotyczą lub skorzystania przez te osoby z praw im przysługujących, zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. W przypadku rozwiązania lub wygaśnięcia niniejszej Umowy lub Umowy podstawowej Podmiot przetwarzający dokonuje czynności, o których mowa w ust. 5 powyżej w dniu rozwiązania lub wygaśnięcia niniejszej Umowy lub Umowy podstawowej. W przypadku, gdy obowiązek, o którym mowa w ust. 5 powyżej aktualizuje się w związku z zakończeniem przez Administratora współpracy z osobą, której dane osobowe dotyczą lub skorzystania przez te osoby z praw im przysługujących, a dane osobowe podlegające zwrotowi dotyczą konkretnej osoby obowiązek ich zwrotu aktualizuje się z dniem, w którym Administrator zwrócił się ze stosownym wnioskiem do Podmiotu przetwarzającego. Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO. 4.632-36 Rozporządzenia oraz w Ustawie DODO. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, nie później niż przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7ciągu 24 h od pierwszego zgłoszenia. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratoraprzetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z chwilą ich dokonania, jeżeli, jego zdaniem, instrukcja a w szczególności stwierdzenia naruszenia. Powiadomienie o stwierdzeniu naruszenia winno być przesłane do Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuwraz z niezbędnymi dokumentami dotyczącymi naruszenia, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniacelu umożliwienia spełnienia obowiązku powiadomienia organu nadzorczego. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane przetwarzający zobowiązany jest w szczególności do: przetwarzania danych wyłącznie zgodnie z udokumentowanymi poleceniami lub instrukcjami Administratora, przy czym za takie polecenie Administratora uznaje się realizację postanowień Umowy podstawowej; poinformowania Administratora, o zamiarze lub obowiązku przekazania danych poza Europejski Obszar Gospodarczy, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia przetwarzania; udzielenia dostępu do danych osobowych wyłącznie osobom, którym dostęp do danych jest niezbędny w związku z realizacją Umowy i posiadającym odpowiednie upoważnienie. Upoważnienia nadawane są zgodnie z procedurami obowiązującymi w Podmiocie przetwarzającym na okres nie dłuższy niż czas obowiązywania Umowy i Umowy podstawowej; uzyskania od osób, które zostały upoważnione do przetwarzania danych w związku z realizacją Umowy, pisemnych zobowiązań do zachowania tajemnicy, ewentualnie otrzymania od nich oświadczenia, że podlegają ustawowemu obowiązkowi zachowania tajemnicy; zapewnienia ochrony danych i podjęcia środków ochrony danych, o których mowa w art. 32 RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratorazgodnie z dalszymi postanowieniami umowy; realizacji obowiązku informacyjnego, o którym mowa powyżejw art. 13 i art. 14 RODO, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnymprzypadku pozyskiwania danych w imieniu Administratora; biorąc pod uwagę charakter przetwarzania, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy w miarę możliwości pomagania Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje organizacyjne wywiązać się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO; współpracy z Administratorem przy wykonywaniu przez Administratora obowiązków z zakresu ochrony danych, o których mowa w art. W związku 32-36 RODO, tj. ochrona danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych i uprzednie konsultacje z realizacją tego obowiązku Podmiot Przetwarzający organem nadzorczym; natychmiastowego poinformowania Administratora o stwierdzonej wątpliwości co do zgodności z prawem wydanych przez Administratora poleceń lub instrukcji (w formie pisemnej z uzasadnieniem); zastosowania się do wymogu projektowania prywatności, o którym mowa w art. 25 ust. 1 RODO, w przypadku planowania dokonania zmian w sposobie przetwarzania danych oraz jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (poinformowania Administratora o planowanych zmianach w taki sposób i w takich terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Podmiot przetwarzający zmiany w opinii Administratora grożą uzasadnionemu poziomowi bezpieczeństwa danych lub ich kopii) na żądanie zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych przez Podmiot przetwarzający; poinformowania Administratora w terminie 7 dni roboczycho zautomatyzowanym przetwarzaniu, w formie uzgodnionej pomiędzy Stronami. tym profilowaniu przez Podmiot Przetwarzający powinien również przetwarzający, w celu i w zakresie niezbędnym do wykonania przez Administratora obowiązku informacyjnego; współpracy z Urzędem Ochrony Danych Osobowych w zakresie wykonywanych przez niego zadań; Podmiot przetwarzający zobowiązuje się niezwłocznie, jednak nie później niż w terminie ciągu 7 dni roboczychod powzięcia informacji, poinformować zawiadomić Administratora o wniosku dotyczącym realizacji praw o: każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia wynika z przepisów prawa; każdym żądaniu otrzymanym od osoby, której Dane dane zostały powierzone Podmiotowi Przetwarzającemu mu do przetwarzania, powstrzymując się jednocześnie od odpowiedzi na żądanie; każdym postępowaniu, decyzji lub orzeczeniu dotyczącym przetwarzania przez AdministratoraPodmiot przetwarzający danych osobowych, złożonym u Podmiotu Przetwarzającegoktóre zostały mu powierzone do przetwarzania na podstawie Umowy; każdej planowanej inspekcji, kontroli lub audytowi dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych, które zostały mu powierzone do przetwarzania na podstawie Umowy. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych przetwarzający w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzypadku podejrzenia i/lub stwierdzenia naruszenia ochrony danych osobowych: informuje o podejrzeniu i/lub stwierdzeniu naruszenia ochrony danych osobowych Administratora bez zbędnej zwłoki, nie później niż w terminie 10 dni roboczych24 godzin od powzięcia takiej informacji; współpracuje przy ocenie naruszenia i ewentualnym zawiadomieniu o tym organu nadzorczego i/lub osób, wszelkie których dane dotyczą; przekazuje informacje niezbędne Administratorowi do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z właściwych przepisów RODOorganem nadzorczym i wdrożenia zaleceń organu; umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających; przekazując informację o stwierdzeniu naruszenia, przesyła również wszelką niezbędną dokumentację dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOprzetwarzający oświadcza, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznychby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których Dane będą przetwarzanedane dotyczą. 2. Administrator upoważnia Podmiot przetwarzający do udzielenia, w imieniu Administratora, upoważnień do przetwarzania danych osobowych osobom zatrudnionym przez Podmiot przetwarzający, za pomocą których będzie wykonywał przedmiot niniejszej Umowy. Podmiot przetwarzający zobowiązany jest do przekazywania listy osób upoważnionych na wniosek Administratora. 3. Podmiot przetwarzający zobowiązuje się do wykorzystania powierzonych danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy głównej oraz zapewnić realizację zasad do zapewnienie ochrony powierzonych danych osobowych zgodnie z przepisami RODO i w tym celu zobowiązuje się między innymi: a) nie przetwarzać danych osobowych w innym zakresie i innym celu niż określony wyżej, b) zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych przed przetwarzaniem danych, c) dopuścić do przetwarzania danych osobowych w systemach informatycznych wyłącznie osoby posiadające upoważnienia wydane przez Wykonawcę, d) zobowiązać osoby upoważnione do przetwarzania danych osobowych do zachowania tych danych w fazie projektowania oraz domyślnej ochrony tajemnicy zarówno w trakcie zatrudnienia u Zamawiającego jak i po jego ustaniu, e) umożliwiać dokonywanie kontroli zgodności przetwarzania danych. 4.4f) podjąć wszelkie środki zapewniające bezpieczeństwo przetwarzania wymagane na mocy art. Podmiot Przetwarzający zobowiązuje 32 RODO; g) pomagać Zamawiającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii; h) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi Zamawiającemu wywiązać się z obowiązków określonych w art. 32–36 RODO.; 4.6. Podmiot Przetwarzający zobowiązuje i) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Zamawiającego usunąć lub zwrócić mu wszelkie dane osobowe oraz usunąć wszelkie ich istniejące kopie; j) umożliwić Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzanie audytów, w tym inspekcji, i przyczyniać się do nich; k) niezwłocznie informować o wszelkich naruszeniach ochrony danych osobowych przetwarzanych w imieniu Xxxxxxxxxxxxx; l) przeszkolić z zakresu ochrony danych osobowych swoich pracowników oraz inne osoby, które przetwarzają dane osobowe Zamawiającego; m) udostępniać Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, Zamawiającemu wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, opisanych w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.punktach a – k.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę przy przetwarzaniu powierzonych danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) , określonych przez Administratora w stosowanych przez niego politykach bezpieczeństwa, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. Podmiot przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem. 2. Podmiot przetwarzający zobowiązany jest dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do wydania upoważnień do przetwarzania danych osobowych, wszystkim osobom (pracownikom i współpracownikom Podmiotu przetwarzającego), które będą przetwarzały powierzone dane w celu określonym w § 1 ust. 3 Umowy powierzenia. Upoważnienia, o których mowa powyżej wydawane są maksymalnie na czas realizacji Umowy powierzenia. 4. Podmiot przetwarzający, zgodnie z wymaganiem zawartym w art. 28 ust 3 lit. b Rozporządzenia, zobowiązany jest zapewnić, aby osoby, które zostały upoważnione do przetwarzania powierzonych danych osobowych, zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczenia w tajemnicy, zarówno w trakcie zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Podmiot przetwarzający zapewnia, że dane osobowe nie będą udostępniane jego pracownikom przed podpisaniem przez nich oświadczeń o zachowaniu poufności. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich praw jej praw, określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji Rozporządzenia oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać wywiązywania się z obowiązków określonych w art. 32–36 RODO33-34 Rozporządzenia. 4.67. W przypadku stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 Rozporządzenia, Podmiot przetwarzający zobowiązuje się do bezzwłocznego, jednak nie później niż w ciągu 24 (dwudziestu czterech) godzin, przekazania Administratorowi informacji o zaistniałym zdarzeniu. 8. Informacja, o której mowa w ust. 7 powyżej, powinna być przekazana w formie pisemnej lub przekazana pocztą elektroniczną na adresy wskazane w § 11 ust. 2 i powinna zawierać: czas i miejsce zdarzenia, szczegółowy opis naruszenia ochrony danych osobowych, dane osoby, która zgłosiła naruszenie, ustalenia w sprawie naruszenia dokonane przez Podmiot przetwarzający, dane osób odpowiedzialnych za zaistniałe naruszenie, o ile zostało to ustalone. 9. Podmiot Przetwarzający zobowiązuje przetwarzający jest zobowiązany do współpracy z Administratorem w zakresie wyjaśnienia okoliczności naruszenia ochrony danych osobowych, określenia jego skutków, a także prowadzonych działań zaradczych mających na celu zminimalizowanie negatywnych skutków naruszenia. 10. Za czynności wykonywane w ramach lub w związku z realizacją Umowy powierzenia, Podmiotowi przetwarzającemu nie należy się odrębne wynagrodzenie. Z tytułu realizacji Umowy powierzenia Podmiotowi przetwarzającemu nie przysługują w stosunku do Administratora jakiekolwiek roszczenia, chyba że szkoda powstanie z winy umyślnej Administratora; w takim przypadku Administrator odpowiada do wysokości szkody rzeczywistej. 11. Podmiot przetwarzający: a) zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 ust. 2 Rozporządzenia i udostępniać go Administratorowi na jego żądanie, nie później niż chyba, że Podmiot przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 Rozporządzenia; b) zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zostały przeszkolone w terminie 10 dni roboczychzakresie przepisów prawa i procedur dotyczących postępowania przy przetwarzaniu danych osobowych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie prawa i procedur dotyczących postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, stosownie do art. 32 RODO. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się zastosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w szczególności w zakresie stosowania RODO. Przetwarzanie danych osobowych będzie odbywać się wyłącznie na udokumentowane polecenie Administratora. Za udokumentowane polecenie uznaje się zadania zlecone do wykonywania przez Administratora zgodnie z Umową Główną. Podmiot przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli zdaniem Podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów dotyczących ochrony danych osobowych. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie, o których mowa w art. 29 RODO oraz przeszkolone z zakresu przepisów dotyczących ochrony danych osobowych. Podmiot przetwarzający zobowiązuje się do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych i zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbiorów danych oraz komu są przekazywane. Administrator upoważnia Podmiot przetwarzający do wyznaczenia osób, które będą uprawnione do przetwarzania danych osobowych w zakresie niezbędnym do realizacji zobowiązań wynikających z Umowy Głównej i niniejszej Umowy. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy i Umowy Głównej, zarówno w trakcie realizacji Umowy Głównej, jak i po jej zrealizowaniu. Podmiot przetwarzający zobowiązany jest do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zgodnie z art. 30 ust. 2 RODO. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 32-36 RODO. 4.6. Podmiot Przetwarzający przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi w ciągu 24 godzin. W przypadku zmiany przepisów dotyczących ochrony danych osobowych, Podmiot przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądaniedo dostosowania zasad przetwarzania danych do nowych przepisów. Inspektorem ochrony danych dla Podmiotu przetwarzającego jest Xxx Xxxxxx Xxxxxxx, nie później niż w terminie 10 dni roboczyche-mail: xxx@xxxxxx.xx.xxx.xx, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOtel. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych: 12 / 000-00-00. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane dane osobowe zgodnie z RODOudokumentowanymi poleceniami Administratora, polskimi przepisami, przy czym za udokumentowane polecenia uważa się polecenia lub instrukcje przekazywane drogą elektroniczną lub na piśmie na dane kontaktowe określone w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2Umowie Podstawowej. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumieniasię, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych przy przetwarzaniu powierzonych danych osobowych, do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. Środki te będą poddawane cyklicznym przeglądom i dostosowywane do zidentyfikowanych ryzyk. Podmiot przetwarzający zobowiązuje się do prowadzenia analizy ryzyka i na żądanie Administratora przedstawienia jej wyników. Stosowane w dniu zawierania umowy środki są wykazane w załączniku do Umowy. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się do dopuszczenia do przetwarzania wyłącznie osób zatrudnionych na podstawie umowy o pracę i nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający zobowiązuje się do prowadzenia zgodnego z art. 30 ust. 2 Rozporządzenia rejestru kategorii czynności przetwarzania dokonywanych w imieniu Administratora. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO. 4.632-36 Rozporządzenia. W tym celu Podmiot przetwarzający jest zobowiązany w terminie 7 dni od zgłoszenia żądania przez Administratora udostępnić mu wszelkie żądane informacje. W przypadku zgłoszenia przez Administratora żądania podjęcia działań związanych ze zgłoszeniem przez osobę fizyczną żądania na podstawie art. 15-21 Rozporządzenia, Podmiot przetwarzający wykona żądanie Administratora oraz poinformuje go o podjętych w tym zakresie działaniach w terminie 7 dni. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi– robi to niezwłocznie, w każdym wypadku nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOciągu 24 godzin od wykrycia. Zgłoszenie następuje inspektorowi ochrony danych Administratora drogą mailową: …………….. lub telefonicznie……………………… Zgłoszenie powinno zawierać co najmniej elementy wskazane w art. 33 ust. 3 Rozporządzenia. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający przy przetwarzaniu powierzonych danych osobowych zobowiązuje się przetwarzać Dane zgodnie do ich zabezpieczenia przez stosowanie odpowiednich środków technicznych i organizacyjnych, odpowiadających stanowi wiedzy technicznej, zapewniających zgodność z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznychosób, których Dane dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzaneprzetwarzały powierzone dane osobowe, oraz zapewnić realizację zasad przy czym będą to jedynie osoby, które mają odpowiednie przeszkolenie z zakresu ochrony danych w fazie projektowania oraz domyślnej ochrony danychosobowych i są niezbędne do realizacji celu niniejszej Umowy. 4.44. Podmiot Przetwarzający zobowiązuje przetwarzający zapewnia, że osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zobowiążą się wspierać Administratora (do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o którym mowa w szczególności poprzez stosowanie odpowiednich środków technicznych art. 28 ust. 3 lit. b RODO, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i organizacyjnych) po jego ustaniu. Podmiot przetwarzający zapewnia ponadto, że osoby, o których mowa w realizacji niniejszym ustępie, będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej. 5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji dane dotyczą oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 32-36 RODO. Podmiot przetwarzający – w razie wpływu do niego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane – informuje o tym Administratora w terminie 5 dni roboczych od otrzymania wiadomości. Udzielając informacji, Xxxxxxx przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania. 4.67. W przypadku stwierdzenia jakiegokolwiek naruszenia ochrony danych osobowych Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający zgłasza je Administratorowi na jego żądanie, nie później niż bez zbędnej zwłoki w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.ciągu 24 h.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane powierzone mu dane osobowe zgodnie z RODOniniejszą umową, polskimi przepisamiRozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy, w tym do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ponadto podmiot przetwarzający zobowiązuje się do przeszkolenia tych osób pod kątem przepisów i zasad dotyczących przetwarzania danych osobowych, w szczególności polskimi przepisami regulującymi ochronę Ustawy, Rozporządzenia oraz RODO, a także odpowiedzialności karnej i cywilnej za ich nieprzestrzeganie. 3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych oraz Porozumieniemw celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu. 4.24. Z zastrzeżeniem ust. 5, przetwarzanie danych osobowych przez Podmiot Przetwarzający będzie następować wyłącznie w sposób zgodny z prawem, w zakresie określonym w Umowie, wyłącznie na udokumentowane polecenie Administratora, wyrażone w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) – chyba, że przetwarzanie następować będzie w wykonaniu obowiązku nałożonego przepisami prawa. 5. Podmiot Przetwarzający zobowiązuje przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot przetwarzający jest zobowiązany poinformować Administratora o stosującym się przetwarzać Dane wyłącznie do niego obowiązku prawnym co najmniej na polecenie Administratora (na podstawie Porozumienia24 godziny przed rozpoczęciem przetwarzania, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe wiążące go przepisy nie zabraniają mu udzielania takiej informacji informacji, z uwagi na ważny interes publiczny. 4.36. Przetwarzanie danych osobowych przez Podmiot przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy. 7. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek współdziałania z Administratorem poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych organizacyjne w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje celu wywiązania się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane osobowe dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. 8. W związku Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru czynności przetwarzania danych osobowych zgodnie z realizacją tego obowiązku art. 30 RODO. Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) przetwarzający udostępnia na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronamiprowadzony rejestr czynności przetwarzania danych. 9. Podmiot Przetwarzający powinien również niezwłocznieprzetwarzający, jednak nie później niż w terminie 7 dni roboczychuwzględniając charakter przetwarzania oraz dostępne mu informacje, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieW szczególności niezwłocznie, nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających przetwarzający poinformuje o tym Administratora oraz umożliwi mu uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuchwilą ich dokonania, w szczególności obowiązkówo stwierdzeniu faktycznego naruszenia. Powiadomienie o stwierdzeniu naruszenia powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaaby umożliwić Administratorowi spełnienie obowiązku powiadomienia organów nadzoru. 4.910. Podmiot Przetwarzający zobowiązuje przetwarzający w terminie 7 dni od ustania obowiązywania umowy głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. W takim wypadku Podmiot przetwarzający może przechowywać tylko te dane osobowe, których dotyczy przedmiotowy obowiązek prawny i jedynie w sposób co najmniej zgodny z niniejszą Umową. Jeżeli trwałe usunięcie danych osobowych wymaga zniszczenia nośnika, na którym się niezwłocznie poinformować Administratora o podjęciu znajdują, nośnik raki powinien zostać zniszczony. Zwrot lub usunięcie danych osobowych zostanie wykazane w pisemnym protokole, podpisanym przez uprawniony organ nadzoru jakichkolwiek działań względem przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w zakresie kontroli przetwarzania Danychterminie 7 dni od dokonania wskazanych w nim czynności.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych Danych Osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z Przetwarzaniem Danych Osobowych, o których mowa w art. 32 Rozporządzenia. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych Osobowych. Do przetwarzana powierzonych Danych Osobowych mogą być dopuszczeni jedynie pracownicy Podmiotu przetwarzającego, posiadający imienne upoważnienia do przetwarzania danych osobowych lub upoważnienia do przetwarzania danych osobowych przyjętych w wewnętrznych regulacjach organizacji. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust 3 pkt b Rozporządzenia, powierzonych do przetwarzania danych przez osoby, które upoważni do przetwarzania danych osobowych w celu realizacji niniejszego Porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Powierzającego i od współpracujących z nim osób oraz danych dotyczących Programu Priorytetowego „Czyste Powietrze” uzyskanych w związku z realizacją niniejszego Porozumienia, które nie są danymi publicznie dostępnymi. Powierzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Podmiotu przetwarzającego i od współpracujących z nim osób w zakresie wykonywania niniejszego Porozumienia. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych, o których mowa w ust. 5, nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora uzyskanej za pośrednictwem Powierzającego w innym celu niż wykonanie Porozumienia, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Porozumienia. Podmiot przetwarzający w dacie zakończania obowiązywania Porozumienia usuwa wszelkie dane osobowe, z zastrzeżeniem § 3 ust. 5 powyżej. Podmiot przetwarzający, w przypadku zaistnienia sytuacji, o której mowa w ust. 7, niezwłocznie, lecz nie później niż do 7 dni przekazuje Powierzającemu oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone niniejszym Porozumieniem. Podmiot przetwarzający uwzględniając charakter przetwarzania, w miarę możliwości pomaga Administratorowi za pośrednictwem Powierzającego poprzez odpowiednie środki techniczne i organizacyjne wywiązywać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich praw określonych a o których mowa w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji Rozporządzenia, oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać biorąc pod uwagę charakter przetwarzania i dostępne mu informacje pomaga Administratorowi wywiązać za pośrednictwem Powierzającego wywiązywać się z obowiązków określonych w art. 32–36 RODO. 4.632-36 Rozporządzenia. Podmiot Przetwarzający przetwarzający zobowiązuje się udostępniać do udzielenia Administratorowi oraz Powierzającemu, na jego każde ich żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie informacji na temat przetwarzania powierzonych danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającegoust.9, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9ciągu 14 dni roboczych od dnia otrzymania żądania. W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot przetwarzający zobowiązany jest przesłać do Powierzającego uzupełniony i podpisany formularz (oryginał) potwierdzający stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych. Wzór formularza stanowi załącznik nr 1 do niniejszego Porozumienia. W terminie 30 dni roboczych od zawarcia niniejszego Porozumienia Podmiot przetwarzający zobowiązany jest przesłać do Powierzającego uzupełniony i podpisany formularz kontaktowy do IOD/osoby odpowiedzialnej za prowadzenie spraw w zakresie ochrony danych osobowych. (oryginał). Wzór formularza stanowi załącznik nr 3 do niniejszego Porozumienia. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego przetwarzający zobowiązany jest do aktualizacji przedmiotowego formularza w zakresie kontroli przetwarzania Danychprzypadku zmiany danych kontaktowych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane powierzone mu dane osobowe zgodnie z RODOniniejszym porozumieniem, polskimi przepisamiRozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2które chronią prawa osób, których dane dotyczą. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumieniasię, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych przy przetwarzaniu powierzonych danych osobowych, do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODOart. W związku z realizacją tego obowiązku 32 Rozporządzenia Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5danych osobowych. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszego porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie Przetwarzającym, jak i po jego ustaniu. Podmiot Przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem przechowuje wszelkie dane osobowe zgodnie z obowiązującymi go przepisami prawnymi w tym przepisami ustawy o rachunkowości, kodeksu pracy oraz ustawy o narodowym zasobie archiwalnym i archiwach oraz aktów wykonawczych wydanych na jej podstawie. W miarę możliwości Podmiot Przetwarzający pomaga Administratorom w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO. 4.632-36 Rozporządzenia. Podmiot Przetwarzający zobowiązuje się udostępniać po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądaniew ciągu 48 h od momentu stwierdzenia naruszenia. Wszelkie decyzje, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie dotyczące przetwarzania danych osobowych, odbiegające od ustaleń zawartych w niniejszym porozumieniu, powinny być przekazywane drugiej stronie w formie pisemnej pod rygorem nieważności. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych opisanych w §1 ust. 3 Umowy zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej Umowy oraz zabezpieczenia danych osobowych przed dostępem osób nieupoważnionych. 4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej Umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Podmiot przetwarzający po zakończeniu świadczenia usług, z którymi związane jest przetwarzanie, zwróci powierzone mu dane lub dokona ich zniszczenia – adekwatnie do woli Zamawiającego oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych po zakończeniu przetwarzania danych osobowych. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.67. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki – nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od jego wystąpienia – zgłosi Zamawiającemu każde naruszenie danych osobowych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOktórego będzie uczestnikiem. 4.78. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować przetwarzający prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowychzawierający informacje wskazane w art. 30 ust. 2 Rozporządzenia. 4.89. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuprzetwarzający oświadcza, że w szczególności obowiązkówramach obowiązującej w jego przedsiębiorstwie polityki bezpieczeństwa informacji wdrożył procedury dotyczące zarządzania incydentami bezpieczeństwa. 10. Podmiot przetwarzający jest zobowiązany do wykonywania regularnych audytów wewnętrznych z zakresu bezpieczeństwa danych osobowych – nie rzadziej niż jeden raz w roku kalendarzowym wykonywania zamówienia publicznego, o których którym mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniawyżej. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających zgodność z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić adekwatny stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznychosób, których Dane dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzaneprzetwarzały powierzone dane osobowe, oraz zapewnić realizację zasad przy czym będą to jedynie osoby, które posiadają odpowiednie przeszkolenie z zakresu ochrony danych osobowych i są niezbędne do w fazie projektowania oraz domyślnej ochrony danychrealizacji celu niniejszej Umowy. 4.44. Podmiot Przetwarzający przetwarzający zobowiązuje się wspierać Administratora (zapewnić, że osoby, które upoważnia do przetwarzania danych osobowych, w szczególności poprzez stosowanie odpowiednich środków technicznych celu realizacji niniejszej Umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, o której mowa w art. 28 ust. 3 pkt b) Rozporządzenia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i organizacyjnych) po jego ustaniu. Podmiot przetwarzający zapewnia ponadto, że osoby o których mowa w realizacji niniejszym ustępie będą przetwarzały dane osobowe zgodnie z zasadą wiedzy koniecznej. 5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem niezwłocznie usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. W razie wpływu do Podmiotu przetwarzającego żądania w zakresie realizacji praw osób, których dotyczą powierzone dane, Podmiot przetwarzający niezwłocznie informuje o tym Administratora. Udzielając informacji, Xxxxxxx przetwarzający przekazuje dane nadawcy i treść żądania oraz określa, w jakim zakresie jest w stanie przyczynić się do realizacji żądania. 4.67. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, nie później niż przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.ciągu 48h

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane przetwarzający przetwarza dane osobowe wyłącznie zgodnie z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie udokumentowanymi poleceniami lub instrukcjami Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.42. Podmiot Przetwarzający przetwarzający zobowiązuje się wspierać Administratora (w szczególności się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO. 3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy. 5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b RODO, przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. Podmiot przetwarzający uzyskuje od osób, które zostały upoważnione do przetwarzania danych w wykonaniu Umowy, udokumentowane zobowiązania do zachowania tajemnicy, ewentualnie upewnia się, że te osoby podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. 6. Podmiot przetwarzający jest zobowiązany na każde żądanie Administratora, w szczególności po zakończeniu świadczenia usług związanych z przetwarzaniem danych, do natychmiastowego zwrotu lub całkowitego i trwałego usunięcia (wedle wyboru Administratora) danych osobowych powierzonych do przetwarzania, chyba, że dalsze przetwarzanie danych osobowych przez Podmiot przetwarzający będzie miało swoje podstawy w realizacji przepisach prawa. Każdorazowy zwrot powierzonych danych osobowych zostanie potwierdzony protokołem podpisanym przez należycie umocowanych przedstawicieli Stron, natomiast w przypadku usunięcia danych, Podmiot przetwarzający jest zobowiązany do poinformowania Administratora danych na piśmie o dacie i sposobie, w jaki dane osobowe zostały usunięte. 7. Biorąc pod uwagę charakter przetwarzania, w miarę możliwości, Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osóbosoby, których Dane dotyczą, której dane dotyczą w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać wywiązywania się z obowiązków określonych w art. 32–36 32-36 RODO. 4.68. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, jednak nie później później, niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOciągu 24 godzin. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane powierzone mu dane osobowe zgodnie z RODOniniejszą umową, polskimi przepisamiRozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy i umowy głównej, w tym do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ponadto podmiot przetwarzający zobowiązuje się do przeszkolenia tych osób pod kątem przepisów i zasad dotyczących przetwarzania danych osobowych, w szczególności polskimi przepisami regulującymi ochronę Ustawy oraz RODO, a także odpowiedzialności karnej i cywilnej za ich nieprzestrzeganie. 3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych oraz Porozumieniemw celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu. 4.24. Z zastrzeżeniem ust. 5, przetwarzanie danych osobowych przez podmiot przetwarzający będzie następować wyłącznie w sposób zgodny z prawem, w zakresie określonym w Umowie, wyłącznie na udokumentowane polecenie Administratora, wyrażone w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) – chyba, że przetwarzanie następować będzie w wykonaniu obowiązku nałożonego przepisami prawa. 5. Podmiot Przetwarzający zobowiązuje przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku Podmiot przetwarzający jest zobowiązany poinformować Administratora o stosującym się przetwarzać Dane wyłącznie do niego obowiązku prawnym co najmniej na polecenie Administratora (na podstawie Porozumienia24 godziny przed rozpoczęciem przetwarzania, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe wiążące go przepisy nie zabraniają mu udzielania takiej informacji informacji, z uwagi na ważny interes publiczny. 4.36. Przetwarzanie danych osobowych przez Podmiot przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy. 7. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek współdziałania z Administratorem poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych organizacyjne w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje celu wywiązania się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane osobowe dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. 8. W związku Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru czynności przetwarzania danych osobowych zgodnie z realizacją tego obowiązku art. 30 RODO. Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) przetwarzający udostępnia na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronamiprowadzony rejestr kategorii czynności przetwarzania danych. 9. Podmiot Przetwarzający powinien również niezwłocznieprzetwarzający, jednak nie później niż w terminie 7 dni roboczychuwzględniając charakter przetwarzania oraz dostępne mu informacje, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieW szczególności niezwłocznie, nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających przetwarzający poinformuje o tym Administratora oraz umożliwi mu uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuchwilą ich dokonania, w szczególności obowiązkówo stwierdzeniu faktycznego naruszenia. Powiadomienie o stwierdzeniu naruszenia powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaaby umożliwić Administratorowi spełnienie obowiązku powiadomienia organów nadzoru. 4.910. Podmiot Przetwarzający zobowiązuje przetwarzający w terminie 7 dni od ustania obowiązywania Umowy głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. W takim wypadku Podmiot przetwarzający może przechowywać tylko te dane osobowe, których dotyczy przedmiotowy obowiązek prawny i jedynie w sposób co najmniej zgodny z niniejszą Umową. Jeżeli trwałe usunięcie danych osobowych wymaga zniszczenia nośnika na którym się niezwłocznie poinformować Administratora o podjęciu znajdują, nośnik taki powinien zostać zniszczony. Zwrot lub usunięcie danych osobowych zostanie wykazane w pisemnym protokole, podpisanym przez uprawniony organ nadzoru jakichkolwiek działań względem przedstawiciela Podmiotu Przetwarzającego przetwarzającego i dostarczonym Administratorowi w zakresie kontroli przetwarzania Danychterminie 7 dni od dokonania wskazanych w nim czynności.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę się: 1) przy przetwarzaniu powierzonych danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie PorozumieniaUmowy, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności zabezpieczyć je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniający adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia, wykaz stosowanych środków technicznych i organizacyjnych na dzień zawarcia UPD stanowi załącznik nr 2. Podmiot przetwarzający przedstawi Administratorowi informacje i dokumenty potwierdzające, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych wskazanych w załączniku, przed przekazaniem danych osobowych. Podmiot przetwarzający zobowiązany jest do niezwłocznego przedstawiania Administratorowi wszelkich aktualizacji informacji i dokumentów, o których mowa w zdaniu poprzednim. 2) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 UPD wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy i UPD, 3) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, 4) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnia do przetwarzania danych osobowych w celu realizacji Umowy lub UPD, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy, 5) udostępniać Administratorowi na jego żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w UPD, 6) stosować środki w celu zaradzenia naruszeniom ochrony danych osobowych oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków, 7) stosować się do pisemnych instrukcji wydanych przez Administratora w zakresie przetwarzania powierzonych danych osobowych, chyba że co innego wynika z wiążących Podmiot przetwarzający obowiązujących przepisów prawa. W tym drugim przypadku Podmiot przetwarzający informuje Administratora o przepisach prawnych i wynikających z nich obowiązkach, 8) dokumentować wszelkie naruszenia ochrony danych w tym ich okoliczności, skutki oraz 3 podjęte działania zaradcze w sposób określony w § 7. 2. Podmiot przetwarzający pomaga Administratorowi: 1) w realizacji miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODORozporządzenia (Prawa osoby, której dane dotyczą), 2) w wywiązywaniu się z obowiązków określonych w art. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest 32-36 Rozporządzenia, w szczególności zobowiązany do udzielania informacji oraz ujawnienia w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych Danych (lub ich kopii) danych osobowych na żądanie Administratora podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami§ 10 ust. Podmiot Przetwarzający powinien również 5 UPD niezwłocznie, jednak nie później niż w terminie 7 dni roboczych24 godzin od chwili stwierdzenia naruszenia, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającegoz uwzględnieniem postanowień ust. 1 pkt 8 i § 7). 3. Podmiot Przetwarzający przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosekprzekazywania informacji o naruszeniu ochrony powierzonych danych jakimkolwiek podmiotom bez uprzedniej konsultacji z Administratorem. 4.54. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODOprzetwarzający jest zobowiązany do niezwłocznego poinformowania o wszelkich zgłoszeniach praw osób których dane dotyczą, jeżeli zgłoszenia te dotyczą powierzonych danych. 4.65. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający po zakończeniu Umowy, nie później niż w terminie 10 ciągu 30 dni roboczychod jej zakończenia, wszelkie informacje niezbędne jest zobowiązany na żądanie Administratora do wykazania spełnienia przez usunięcia lub zwrotu Administratorowi powierzonych danych osobowych, o ile przepis prawa powszechnie obowiązującego nie stanowi inaczej. 6. Podmiot Przetwarzający obowiązków przetwarzający nie ma prawa do wykorzystywania powierzonych danych w jakimkolwiek celu po wygaśnięciu, rozwiązaniu lub odstąpieniu od Umowy, z wyjątkiem usunięcia lub zwrotu Administratorowi; dane te stanowią tajemnicę przedsiębiorstwa Administratora. 7. Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie w celach dla których otrzymał instrukcje oraz w celu wypełnienia zobowiązań wynikających z właściwych przepisów UPD. Podmiot przetwarzający nie będzie wykorzystywać danych osobowych do innych celów. 8. Podmiot przetwarzający nie będzie przekazywał danych osobowych stronom trzecim, chyba że przekazanie to odbywa się zgodnie z instrukcjami Administratora w związku z realizacją Umowy lub gdy jest to konieczne w celu wywiązania się z obowiązku prawnego. 9. Podmiot przetwarzający nie będzie modyfikował danych osobowych bez instrukcji Administratora. 10. Podmiot przetwarzający powinien prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zgodnie z wymogami wynikającymi z RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Jeżeli Podmiot Przetwarzający zobowiązuje się przetwarzać przetwarzający (działając jako Podmiot przetwarzający) przetwarza Dane osobowe w imieniu Xxxxxxx (działającego jako Administrator danych): a. Przetwarza lub zleca komuś przetworzenie takich Danych osobowych zgodnie z RODO, polskimi przepisami, Przepisami w szczególności polskimi przepisami regulującymi ochronę zakresie ochrony danych osobowych oraz Porozumieniemobowiązujących go jako Podmiotu przetwarzającego dane. 4.2b. Przetwarza — oraz zapewnia, by jakakolwiek osoba działająca z jej upoważnienia przetwarzała — Dane osobowe w imieniu Administratora oraz w sposób zgodny z jej udokumentowanymi instrukcjami, jeśli nie wymaga tego prawo Unii lub Państwa członkowskiego UE, któremu podlega Podmiot przetwarzający. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – W takim przypadku przed rozpoczęciem przetwarzania – Podmiot przetwarzający poinformuje Administratora o tym obowiązku takim wymogu prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej chyba że prawo takie zabrania przetwarzania takich informacji z uwagi na ważny interes publicznyważnych powodów dotyczących interesu publicznego. Niniejsze Warunki będą ograniczać się do udokumentowanych instrukcji przekazywanych Podmiotowi przetwarzającemu przez Administratora. Po poleceniu Administratora Podmiot przetwarzający może również poprawić, usunąć lub zablokować dane osobowe; zapewnić, że tylko przeszkolony personel ma dostęp do Danych osobowych. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy c. Uwzględniając charakter przetwarzania oraz informacje dostępne dla Podmiotu przetwarzającego, zapewnia on Administratorowi ekonomicznie uzasadnione wsparcie w przestrzeganiu jego zobowiązań wynikających z obowiązujących Przepisów w zakresie ochrony danych, w tym w dokonywaniu wszelkich niezbędnych ocen skutków dla ochrony danych. d. Wdraża odpowiednie środki techniczne i organizacyjneorganizacyjne wymagane przez obowiązujące Przepisy w zakresie ochrony danych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw chronić Dane osobowe przed przypadkowym lub wolności osób fizycznychniezgodnym z prawem zniszczeniem, których Dane będą przetwarzaneprzypadkową utratą, zmianą, nieupoważnionym dostępem, ujawnieniem lub przekazaniem, niewłaściwym wykorzystaniem oraz zapewnić realizację zasad ochrony danych przed innymi niezgodnymi z prawem formami przetwarzania, a co najmniej następujące środki bezpieczeństwa: i. pseudonimizacja i szyfrowanie; ii. środki przeznaczone do nieprzerwanego zapewnienia poufności, integralności, dostępności oraz elastyczności systemów przetwarzania oraz usług; iii. środki przeznaczone do przywrócenia dostępności oraz dostępu do Danych osobowych we właściwym czasie w fazie projektowania razie incydentu fizycznego bądź technicznego; iv. regularne testy oraz domyślnej ochrony danych. 4.4oceny skuteczności technicznych i organizacyjnych środków bezpieczeństwa. Zgodnie z Załącznikiem nr 1 Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich przetwarzający dokumentuje wdrażanie środków technicznych i organizacyjnych) . e. Udostępnia Administratorowi uzasadnione informacje konieczne do wykazania zgodności ze zobowiązaniami Podmiotu przetwarzającego do przestrzegania obowiązujących Przepisów w zakresie ochrony danych oraz umożliwia i przyczynia się do realizacji obowiązku odpowiadania na żądania osób, których Dane dotycząprocesów audytu, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (tym kontroli przeprowadzonych przez Administratora lub ich kopii) na żądanie innego upoważnionego przez Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronamiaudytora. Podmiot Przetwarzający powinien również niezwłocznieprzetwarzający będzie udostępniać informacje zgodnie z tym punktem tylko, jednak gdy informacje dotyczą przetwarzania przez Podmiot przetwarzający Danych osobowych w imieniu Administratora oraz tego rodzaju informacje są w posiadaniu Podmiotu przetwarzającego, i nie później niż będzie to naruszać praw ani zobowiązań Podmiotu przetwarzającego w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany zakresie zachowania poufności lub ochrony prawnej ani uprawniony do odpowiadania na taki wniosekw inny sposób osłabiać bezpieczeństwa lub integralności systemów lub danych. 4.5. f. Na podstawie prawa Administratora do przeprowadzenia audytu Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.przetwarzający otrzymuje przynajmniej cztery

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane powierzone mu dane osobowe zgodnie z RODOniniejszą umową, polskimi przepisamiRozporządzeniem oraz z innymi przepisami prawa powszechnie obowią- zującego, które chronią prawa osób, których dane dotyczą. 2. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy, w tym do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ponadto podmiot przetwarzający zobowiązuje się do przeszkolenia tych osób pod kątem przepisów i zasad dotyczących przetwarzania danych osobowych, w szczególności polskimi przepisami regulującymi ochronę Ustawy oraz RODO, a także odpowiedzialności karnej i cywilnej za ich nieprzestrzeganie. 3. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b Rozporządzenia, przetwarzanych danych przez osoby, które upoważnione zostaną do przetwarzania danych osobowych oraz Porozumieniemw celu realizacji niniejszej Umowy, zarówno w trakcie trwania zatrudnienia ich u Podmiotu przetwarzającego, jak i po jego ustaniu. 4.24. Z zastrzeżeniem ust. 5, przetwarzanie danych osobowych przez Podmiot Przetwarzający będzie następować wyłącznie w sposób zgodny z prawem, w zakresie określonym w Umowie, wyłącznie na udokumentowane polecenie Administratora, wyrażone w formie dokumentowej (papierowej lub cyfrowej, w tym za pośrednictwem poczty elektronicznej) – chyba, że przetwarzanie następować będzie w wykonaniu obowiązku nałożonego przepisami prawa. 5. Podmiot Przetwarzający zobowiązuje przetwarzający ma prawo przetwarzać dane osobowe, jeżeli obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Podmiot Przetwarzający. W takim przypadku Podmiot przetwarzający jest zobowiązany poinformować Administratora o stosującym się przetwarzać Dane wyłącznie do niego obowiązku prawnym co najmniej na polecenie Administratora (na podstawie Porozumienia24 godziny przed rozpoczęciem przetwarzania, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe wiążące go przepisy nie zabraniają mu udzielania takiej informacji informacji, z uwagi na ważny interes publiczny. 4.36. Przetwarzanie danych osobowych przez Podmiot przetwarzający jest ograniczone do celu i zakresu wskazanych w załączniku nr 1 do umowy. 7. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy przetwarzający, biorąc pod uwagę charakter przetwarzania, ma obowiązek współdziałania z Administratorem poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych organizacyjne w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje celu wywiązania się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane osobowe dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. 8. W związku Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji opisującej sposób przetwarzania danych, w tym rejestru kategorii czynności przetwarzania danych osobowych zgodnie z realizacją tego obowiązku art. 30 RODO. Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) przetwarzający udostępnia na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronamiprowadzony rejestr kategorii czynności przetwarzania danych. 9. Podmiot Przetwarzający powinien również niezwłocznieprzetwarzający, jednak nie później niż w terminie 7 dni roboczychuwzględniając charakter przetwarzania oraz dostępne mu informacje, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieW szczególności niezwłocznie, nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od chwili uzyskania informacji o potencjalnym naruszeniu, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających przetwarzający poinformuje o tym Administratora oraz umożliwi mu uczestnictwo w czynnościach wyjaśniających i informuje go o ustaleniach z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniuchwilą ich dokonania, w szczególności obowiązkówo stwierdzeniu faktycznego naruszenia. Powiadomienie o stwierdzeniu naruszenia powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaaby umożliwić Administratorowi spełnienie obowiązku powiadomienia organów nadzoru. 4.910. Podmiot Przetwarzający zobowiązuje przetwarzający w terminie 7 dni od ustania obowiązywania umowy głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. W takim wypadku Podmiot przetwarzający może przechowywać tylko te dane osobowe, których dotyczy przedmiotowy obowiązek prawny i jedynie w sposób co najmniej zgodny z niniejszą Umową. Jeżeli trwałe usunięcie danych osobowych wymaga zniszczenia nośnika na którym się niezwłocznie poinformować Administratora o podjęciu znajdują, nośnik raki powinien zostać zniszczony. Zwrot lub usunięcie danych osobowych zostanie wykazane w pisemnym protokole, podpisanym przez uprawniony organ nadzoru jakichkolwiek działań względem przedstawiciela Podmiotu Przetwarzającego i dostarczonym Administratorowi w zakresie kontroli przetwarzania Danychterminie 7 dni od dokonania wskazanych w nim czynności.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający zobowiązuje się może przetwarzać Dane powierzone dane wyłącznie w zakresie i celu przewidzianym w niniejszej umowie oraz zgodnie z ogólnym rozporządzeniem o ochronie danych. 2. Podmiot Przetwarzający: 1) przed rozpoczęciem przetwarzania podejmuje wszelkie środki wymagane na mocy art. 32 RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych uwzględniając stan wiedzy technicznej, koszt wdrażania oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumieniacharakter, Umowy zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu wolności osób fizycznych o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratoraróżnym prawdopodobieństwie wystąpienia i wadze zagrożenia, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw temu ryzyku; 2) przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora, za które strony uważają w szczególności postanowienia Umowy Głównej oraz inne polecenia przekazywane drogą elektroniczną lub wolności na piśmie; 3) zapewnia ograniczenie dostępu do powierzonych danych wyłącznie do osób fizycznychprzez siebie upoważnionych, których Dane będą przetwarzane, oraz zapewnić realizację zasad dostęp do tych danych jest potrzebny do należytego wykonywania Umowy Głównej; 4) zapewnia przeszkolenie osób upoważnionych z zakresu ochrony danych osobowych oraz zapewnia, by osoby te zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Głównej oraz ustaniu stosunku umownego z Podmiotem Przetwarzającym; 5) nie może przekazywać powierzonych danych do państwa trzeciego lub organizacji międzynarodowej; 6) prowadzi rejestr wszystkich kategorii czynności przetwarzania wykonywanych w fazie projektowania oraz domyślnej ochrony danych.imieniu Administratora, o którym mowa w art. 30 ust. 2 RODO, chyba że jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO; 4.47) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. Podmiot Przetwarzający zobowiązuje 28 ust. 2 i 4 RODO; 8) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji ; 9) uwzględniając charakter przetwarzania oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczychdostępne mu informacje, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO.32-36 RODO (środki bezpieczeństwa danych, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych, uprzednie konsultacje z organem nadzorczym); 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie10) po zakończeniu Umowy Głównej, nie później niż w terminie 10 dni roboczychzależnie od decyzji Administratora usuwa lub zwraca mu wszelkie powierzone dane oraz usuwa wszelkie ich istniejące kopie, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie chyba że prawo nakazuje przechowywanie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę przy przetwarzaniu danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne ich zabezpieczenia poprzez wdrożenie i organizacyjne, aby zapewnić stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzanezgodnie z art. 32 RODO. Strony zgodnie potwierdzają, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. iż Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie przetwarzający przedstawił Administratorowi informacje i dokumenty potwierdzające, że Podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Podmiot przetwarzający zobowiązany jest do niezwłocznego przedstawiania Administratorowi wszelkich aktualizacji informacji i dokumentów, o których mowa w zdaniu poprzednim. 2. Podmiot przetwarzający zobowiązuje się do nadania stosownych upoważnień do przetwarzania powierzonych mu danych osobowych wszystkim osobom, które będą miały dostęp do danych osobowych i będą je przetwarzały w celu realizacji niniejszej umowy, chyba że przetwarzanie wymagane jest przez prawo Unii Europejskiej lub prawo państwa członkowskiego. 3. Podmiot przetwarzający zobowiąże upoważnione osoby, o których mowa w ust. 2 do bezterminowego zachowania w tajemnicy powierzonych im do przetwarzania danych osobowych, także po ustaniu ewentualnego zatrudnienia u Podmiotu przetwarzającego, chyba że taki obowiązek wynika z powszechnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych. 4. Podmiot przetwarzający zobowiązany jest do niezwłocznego przekazywania Administratorowi informacji, komu zostały udzielone upoważnienia, o których mowa w ust. 2, na każde jego żądanie. 5. Podmiot przetwarzający zobowiązany jest do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego określonych w niniejszej umowie oraz w RODO. 6. Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania: 1) w realizacji miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji , 2) oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczychdostępne Podmiotowi przetwarzającemu informacje, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 32-36 RODO. 4.67. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający bez zbędnej zwłoki, nie później niż w terminie 10 dni roboczych24 godzin od powzięcia uzasadnionego podejrzenia wystąpienia zdarzenia, wszelkie informacje niezbędne powiadomi Administratora: 1) o wszelkich przypadkach nieprzestrzegania postanowień umowy lub przepisów prawa dotyczących ochrony danych osobowych przetwarzanych na mocy niniejszej umowy, których dopuścił się Podmiot przetwarzający, jego pracownicy i inne osoby, przy pomocy których przetwarza powierzone dane osobowe lub podwykonawcy; 2) o wszelkich wnioskach ze strony organu nadzorującego przetwarzanie danych osobowych lub innej instytucji, w zakresie dotyczącym przetwarzania danych osobowych na podstawie niniejszej umowy, chyba że prawo stanowi inaczej, zwłaszcza jeżeli obowiązują jakiekolwiek zakazy w świetle prawa karnego, w celu chronienia poufności postępowania przygotowawczego prowadzonego przez te organy; 3) o wszelkich naruszeniach zasad dotyczących przetwarzania i ochrony danych osobowych, w tym ich utracie, zniszczeniu, uszkodzeniu, nieuprawnionej zmianie lub ujawnieniu, lub incydentach przypadkowego lub nieupoważnionego dostępu do wykazania spełnienia danych osobowych przetwarzanych na mocy niniejszej umowy; 4) o wszelkich zażaleniach lub wnioskach dotyczących danych osobowych (zwłaszcza wnioskach o dostęp do danych osobowych przetwarzanych na mocy umowy), ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o sprzeciwie wobec przetwarzania, a także o wniosku o przeniesienie danych osobowych przetwarzanych na mocy umowy, przesłanych bezpośrednio przez osoby, których dotyczą dane, bez udzielania na nie odpowiedzi do momentu uzyskania odpowiedniego polecenia Administratora, chyba że Podmiot przetwarzający posiada stosowne upoważnienie do udzielenia na nie odpowiedzi; 5) jeżeli jego zdaniem wydane mu przez Administratora polecenie stanowi naruszenie przepisów o ochronie danych. 8. Informacja, o której mowa w ust. 7 pkt 1 i 3 powinna co najmniej opisywać: 1) charakter naruszenia zasad dotyczących przetwarzania i ochrony danych osobowych, w tym w miarę możliwości wskazywać osoby, których dane objęte zostały naruszeniem, czas, miejsce i okoliczności zdarzenia; 2) możliwe konsekwencje naruszenia ochrony danych osobowych; 3) działania wyjaśniające podjęte przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOprzetwarzający; 4) środki zastosowane lub proponowane przez Podmiot przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych skutków; 5) czy Podmiot przetwarzający zgłosił naruszenie ochrony danych osobowych organowi nadzorującemu lub powiadomił o nim osoby, których dane objęte zostały naruszeniem. 4.79. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązkówInformacje, o których mowa w ust. 7 pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego1 i 3 przekazywane będą pocztą elektroniczną na adres xxxx.xxxxxxx@xxxxxxxxxx.xxx.xx i xxxxxx.xxxxxxx@xxxxxxxxxxx.xxx.xx, Strony uprzednio uzgodnią w sposób zapewniający ich pokrycia w drodze odrębnego porozumieniapoufność, wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia. 4.910. Podmiot Przetwarzający przetwarzający zobowiązuje się niezwłocznie poinformować do niezwłocznego informowania Administratora o podjęciu każdym postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w niniejszej umowie, o każdej decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych osobowych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający. 11. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem powierzonych danych osobowych usuwa wszelkie dane osobowe w terminie 30 dni od dnia zakończenia świadczenia usług związanych z przetwarzaniem powierzonych danych osobowych oraz usuwa w tym terminie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 12. Dla uniknięcia niejasności, Administrator potwierdza, że Podmiot przetwarzający nie jest uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli do przetwarzania Danychdanych osobowych po zakończeniu obowiązywania niniejszej umowy.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, do zachowania w szczególności polskimi przepisami regulującymi ochronę tajemnicy wszystkich informacji dotyczących danych osobowych oraz Porozumieniemprzetwarzać je z należytą starannością oraz zgodnie z Rozporządzeniem i z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 4.22. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych przy przetwarzaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratoraich zabezpieczenia poprzez podjęcie stosownych środków technicznych i organizacyjnych, o którym których mowa powyżejw art. 32 Rozporządzenia, nakłada na zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem tych danych osobowych przez Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publicznyPrzetwarzający. 4.33. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania do zachowania w tajemnicy informacji dotyczących danych osobowych, w tym sposobów ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw pierwotnej lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danychUmowy powierzenia. 4.44. Podmiot Przetwarzający zabezpieczy dane osobowe w sposób uniemożliwiający: dostęp do nich osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie ich z naruszeniem obowiązujących przepisów prawa oraz jakąkolwiek ich utratę, w zakresie, za który w ramach niniejszej Umowy odpowiada Podmiot Przetwarzający. 5. W odniesieniu do danych osobowych Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczychciągu 24 godzin od momentu zaistnienia zdarzenia, poinformować zawiadomić Administratora o wniosku dotyczącym realizacji praw o: 1) każdym prawnie umocowanym żądaniu udostępnienia tych danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, lub gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia; 2) każdym nieupoważnionym dostępie do tych danych osobowych; 3) każdym żądaniu wynikającym z art. 15-22 Rozporządzenia otrzymanym od osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu te dane osobowe są przez Administratoraniego przetwarzane; 4) otrzymaniu informacji na temat planowanej u niego kontroli organu nadzorczego lub innego uprawnionego organu, złożonym u Podmiotu Przetwarzającegojeśli kontrola ta miałaby objąć swoim zakresem te dane osobowe; 5) otrzymaniu informacji o wszczęciu jakiegokolwiek postępowania, w szczególności administracyjnego lub sądowego bądź wydania jakiejkolwiek decyzji administracyjnej lub orzeczenia, jeśli dotyczyłyby one tych danych osobowych; 6) każdym przypadku wystąpienia incydentu naruszenia bezpieczeństwa tych danych osobowych, polegającego w szczególności na ich ujawnieniu osobom do tego nieuprawnionym oraz utracie nośników danych je zawierających. 6. W zakresie danych osobowych oraz biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na taki wniosekżądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia. 4.57. W zakresie danych osobowych oraz uwzględniając charakter przetwarzania, Podmiot Przetwarzający zobowiązuje się pomagać będzie realizował obowiązek informacyjny określony w art. 13-14 Rozporządzenia wobec osób, o których mowa w § 2 ust. 2. Wskazany w zdaniu pierwszym obowiązek musi zostać zrealizowany przez Podmiot Przetwarzający w formie pisemnej i w sposób umożliwiający udowodnienie, że osoba, której dane osobowe dotyczą, została zapoznana z jego treścią. Zamawiający może żądać od Wykonawcy potwierdzenia w formie pisemnej spełnienia wskazanego z zdaniu pierwszym obowiązku. 8. W zakresie danych osobowych oraz uwzględniając charakter przetwarzania i dostępne informacje, Podmiot Przetwarzający pomaga Administratorowi wywiązać wywiązywać się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.69. Podmiot Przetwarzający nie będzie przekazywał danych osobowych do państw trzecich oraz organizacji międzynarodowych, jak również do innych podmiotów nieuprawnionych do ich otrzymania. 10. Podmiot Przetwarzający zobowiązany jest do ujęcia stosownych informacji dotyczących danych osobowych w prowadzonym przez siebie rejestrze wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 Rozporządzenia. 11. Podmiot Przetwarzający zobowiązuje się udostępniać umożliwić przetwarzanie danych osobowych wyłącznie osobom, które będą posiadały wydane przez niego stosowne upoważnienie do przetwarzania danych osobowych oraz które zobowiążą się do zachowania w poufności informacji o danych osobowych, w tym o sposobach ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy pierwotnej lub Umowy powierzenia, jak również po ustaniu stosunku prawnego łączącego te osoby z Podmiotem Przetwarzającym. 12. Podmiot Przetwarzający zobowiązuje się prowadzić ewidencję osób, o których mowa w ust. 11. 13. Podmiot Przetwarzający zobowiązany jest udzielić Administratorowi – na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne pisemne żądanie – wszelkich informacji niezbędnych do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaUmowie powierzenia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy oraz umów merytorycznych. 4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 lit. b) Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia i poleca do przetwarzania dane osobowe w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Załącznik nr 1 zawiera wykaz osób o których mowa w ust. 3 powyżej, dopuszczonych do realizacji Umowy oraz umów merytorycznych. Wymienione w załączniku osoby zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych zgodnie z Rozporządzeniem. 6. Zmiana Załącznika nr 1 nie powoduje zmiany Umowy, o każdorazowej jego zmianie czy rozszerzeniu Wykonawca jest zobowiązany niezwłocznie powiadomić Administratora przedkładając mu aktualizację Załącznika nr 1. 7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 8. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.69. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądanie, ale nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOciągu 24 godzin. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę do przetwarzania danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na udokumentowane polecenie Administratora (na podstawie PorozumieniaAdministratora, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, taki nakłada na Podmiot Przetwarzający obowiązujące prawoniego prawo Unii lub prawo krajowe. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – W takim przypadku przed rozpoczęciem przetwarzania – Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile właściwe przepisy prawo nie zabraniają mu zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować Administrator może wydawać kolejne polecenia w formie pisemnej lub elektronicznej przez cały okres obowiązywania Umowy przetwarzania danych osobowych. Polecenia te zawsze są dokumentowane. 2. Za udokumentowane polecenie uznaje się zadanie zlecone do wykonania postanowieniami umowy głównej. 3. Podmiot przetwarzający bezzwłocznie (nie później niż następnego dnia roboczego po otrzymaniu polecenia) powiadamia Administratora (pisemnie lub elektronicznie wraz z uzasadnieniem), jeżeli w jego opinii polecenie wydane mu przez Administratora narusza przepisy RODO lub obowiązujące przepisy Unii lub prawa krajowego z zakresu ochrony danych. 4. W celu zapewnienia bezpieczeństwa danych osobowych Podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku nr 2 do tej umowy. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, Strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą. 5. Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania tej umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się (w drodze indywidualnych oświadczeń) do zachowania poufności przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności (także po ustaniu zatrudnienia lub ustaniu stosunku cywilnoprawnego albo odwołaniu upoważnienia), zgodnie z zasadami obowiązującymi w Podmiocie przetwarzającym. 6. Podmiot przetwarzający zobowiązuje się do prowadzenia dokumentacji (w formie pisemnej lub elektronicznej) opisującej sposób przetwarzania danych, w tym rejestru wszystkich kategorii czynności przetwarzania danych osobowych, dokonywanych w imieniu Administratora, jeżeli taki obowiązek spoczywa na Podmiocie przetwarzającym, zgodnie z przepisem art. 30 ust. 2 i 5 RODO. 7. Podmiot przetwarzający niezwłocznie (nie później niż następnego dnia roboczego od dnia wpływu) zawiadamia Administratora (drogą elektroniczną na adres: xxx@xx.xxx.xx) o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że Administrator wyraził na to zgodę. 8. Podmiot przetwarzający pomaga Administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Podmiot przetwarzający wypełniając swoje obowiązki, zgodnie z ust. 7 i 8, stosuje się do poleceń Administratora. 9. Podmiot przetwarzający pomaga Administratorowi w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje Podmiot przetwarzający: 1) przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych („ocena skutków dla ochrony danych”), jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych; 2) skonsultowania się z organem nadzorczym przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu jego ograniczenia; 3) zapewnienia prawidłowości i aktualności danych osobowych poprzez niezwłoczne poinformowanie Administratora, jeżeli Podmiot przetwarzający stwierdzi, że przetwarzane przez niego dane osobowe są nieprawidłowe lub nieaktualne; 4) wdrożenia odpowiednich środków technicznych i organizacyjnych, zgodnie z art. 32 RODO. 10. Strony określają w załączniku nr 2 do tej umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku za pomocą których Podmiot przetwarzający jest zobowiązany pomagać Administratorowi, jak również zakres wymaganej pomocy. 11. W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający współpracuje z Administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 RODO, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje Podmiot przetwarzający. 12. W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Podmiot przetwarzający, Podmiot przetwarzający zgłasza naruszenie Administratorowi (drogą elektroniczną na adres: xxxx.xxx@xx.xxx.xx) niezwłocznie po tym, jak dowiedział się o naruszeniu, nie później niż w ciągu 24 godzin, od stwierdzenia incydentu. Zgłoszenie to powinno zawierać co najmniej: 1) opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie); 2) dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych; 3) wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków. 13. W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez Administratora, Podmiot przetwarzający wspomaga Administratora: 1) przy zgłaszaniu naruszenia ochrony danych osobowych organowi nadzorczemu niezwłocznie po tym, jak Administrator dowiedział się o naruszeniu, w stosownych przypadkach (chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych); 2) przy uzyskaniu informacji o charakterze danych osobowych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (tym w szczególności poprzez stosowanie odpowiednich środków technicznych miarę możliwości kategorii i organizacyjnych) w realizacji obowiązku odpowiadania na żądania przybliżonej liczby osób, których Dane dotycządane dotyczą oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie; 3) przy uzyskiwaniu informacji o możliwych konsekwencjach naruszenia ochrony danych osobowych; 4) przy uzyskaniu informacji o środkach zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w zakresie wykonywania ich praw określonych tym w rozdziale III RODO. W związku z realizacją tego stosownych przypadkach środkach w celu zminimalizowania jego ewentualnych negatywnych skutków; 5) przy wypełnianiu obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw zawiadomienia bez zbędnej zwłoki osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratoradane dotyczą, złożonym u Podmiotu Przetwarzającegoo naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. 14. Jeżeli przekazanie wszystkich informacji, o których mowa w ust. 12 i 13, równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki. 15. Podmiot Przetwarzający nie przetwarzający zobowiązany jest zobowiązany ani uprawniony do odpowiadania dokumentowania (w formie pisemnej lub elektronicznej) wszelkich incydentów oraz podejmowania wszelkich działań mających na taki wniosekcelu ograniczenie oraz usunięcie skutków naruszeń ochrony danych osobowych. 4.516. Strony określają w załączniku nr 2 do tej umowy wszystkie inne elementy, które ma przedstawić Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z przetwarzający wspomagając Administratora w wypełnianiu jego obowiązków określonych w art. 32–36 33 i 34 RODO. 4.617. Podmiot Przetwarzający przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z umową powierzenia, przepisami RODO, a w szczególności za bezpodstawne udostępnienie lub przekazywanie danych osobowych nieuprawnionym podmiotom lub osobom. 18. Jeżeli w związku z powierzeniem przetwarzania danych osobowych Powierzający zostanie prawomocnym orzeczeniem zobowiązany do wypłaty odszkodowania, zadośćuczynienia lub zostanie ukarany grzywną, Podmiot przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądaniezrekompensować Powierzającemu udokumentowane straty z tego tytułu do wysokości poniesionego odszkodowania, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOzadośćuczynienia lub grzywny. 4.719. Zobowiązanie Podmiotu przetwarzającego, o którym mowa w ust. 18, powstanie pod warunkiem pisemnego powiadomienia go o każdym przypadku wystąpienia z roszczeniem wobec Powierzającego i jego podstawach prawnych i faktycznych, w celu umożliwienia Podmiotowi przetwarzającemu zajęcie stanowiska, odniesienia się do podstaw takiej odpowiedzialności i ewentualnego udziału w sprawie na etapie sądowym. 20. Podmiot Przetwarzający zobowiązuje przetwarzający ponosi odpowiedzialność odszkodowawczą względem Powierzającego w zakresie strat rzeczywiście poniesionych przez Powierzającego. 21. Podmiot przetwarzający oświadcza, że: 1) przetwarzanie powierzonych mu danych osobowych będzie odbywało się niezwłocznie poinformować Administratorawyłącznie na terenie Europejskiego Obszaru Gospodarczego oraz 2) nie korzysta z podwykonawców, jeżeliktórzy przekazują dane osobowe poza EOG. 22. W przypadku, jego zdaniemgdy powierzone dane osobowe są przetwarzane w formie elektronicznej na serwerach i nośnikach danych Podmiotu przetwarzającego, instrukcja Administratora stanowi naruszenie serwery i nośniki nie mogą znajdować się poza obszarem Europejskiego Obszaru Gospodarczego. 23. Podmiot przetwarzający przyjmuje do wiadomości, iż w zakresie przestrzegania przepisów RODO lub innych przepisów krajowych lub unijnych o ochronie ponosi odpowiedzialność za swoje działania oraz działania osób, które wyznaczył do realizacji umowy, a także którym przekazał dalsze przetwarzanie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę przy przetwarzaniu powierzonych danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) , określonych przez Administratora w stosowanych przez niego politykach bezpieczeństwa, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. Podmiot przetwarzający powinien odpowiednio udokumentować zastosowanie tych środków, a także uaktualniać te środki w porozumieniu z Administratorem. 2. Podmiot przetwarzający zobowiązany jest dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do wydania upoważnień do przetwarzania danych osobowych, wszystkim osobom (pracownikom i współpracownikom Podmiotu przetwarzającego), które będą przetwarzały powierzone dane w celu określonym w § 1 ust. 3 Umowy powierzenia. Upoważnienia, o których mowa powyżej wydawane są maksymalnie na czas realizacji Umowy powierzenia. 4. Podmiot przetwarzający, zgodnie z wymogiem zawartym w art. 28 ust. 3 lit. b Rozporządzenia, zobowiązany jest zapewnić, aby osoby, które zostały upoważnione do przetwarzania powierzonych danych osobowych, zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczenia w tajemnicy, zarówno w trakcie zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Podmiot przetwarzający zapewnia, że dane osobowe nie będą udostępniane jego pracownikom przed podpisaniem przez nich oświadczeń o zachowaniu poufności. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich praw jej praw, określonych w rozdziale III RODORozporządzenia oraz wywiązywania się z obowiązków określonych w art. 33-34 Rozporządzenia. 7. W związku z realizacją tego obowiązku przypadku stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt 12 Rozporządzenia, Podmiot Przetwarzający jest w szczególności zobowiązany przetwarzający zobowiązuje się do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłoczniebezzwłocznego, jednak nie później niż w terminie 24 (dwudziestu czterech) godzin, przekazania Administratorowi informacji o zaistniałym zdarzeniu. 8. Informacja, o której mowa w ust. 7 dni roboczychpowyżej, poinformować Administratora o wniosku dotyczącym realizacji praw powinna być przekazana w formie pisemnej lub przekazana pocztą elektroniczną na adresy wskazane w § 11 ust. 2 i powinna zawierać: czas i miejsce zdarzenia, szczegółowy opis naruszenia ochrony danych osobowych, dane osoby, której Dane zostały powierzone która zgłosiła naruszenie, ustalenia w sprawie naruszenia dokonane przez Podmiot przetwarzający, dane osób odpowiedzialnych za zaistniałe naruszenie, o ile zostało to ustalone. 9. Podmiot przetwarzający jest zobowiązany do współpracy z Administratorem w zakresie wyjaśnienia okoliczności naruszenia ochrony danych osobowych, określenia jego skutków, a także prowadzonych działań zaradczych mających na celu zminimalizowanie negatywnych skutków naruszenia. 10. Za czynności wykonywane w ramach lub w związku z realizacją Umowy powierzenia, Podmiotowi Przetwarzającemu przez przetwarzającemu nie należy się odrębne wynagrodzenie. Z tytułu realizacji Umowy powierzenia Podmiotowi przetwarzającemu nie przysługują w stosunku do Administratora jakiekolwiek roszczenia, chyba że szkoda powstanie z winy umyślnej Administratora; w takim przypadku Administrator odpowiada do wysokości szkody rzeczywistej. 11. Podmiot przetwarzający: a) zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych o którym mowa w art. 32–36 RODO. 4.630 ust. Podmiot Przetwarzający zobowiązuje się 2 Rozporządzenia i udostępniać go Administratorowi na jego żądanie, nie później niż chyba, że Podmiot przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 Rozporządzenia; b) zapewnia, aby osoby mające dostęp do przetwarzanych danych osobowych zostały przeszkolone w terminie 10 dni roboczychzakresie przepisów prawa i procedur dotyczących postępowania przy przetwarzaniu danych osobowych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie prawa i procedur dotyczących postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.1. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę przy przetwarzaniu danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne ich zabezpieczenia poprzez wdrożenie i organizacyjne, aby zapewnić stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzanezgodnie z art. 32 RODO. Strony zgodnie potwierdzają, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. iż Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie przetwarzający przedstawił Administratorowi informacje i dokumenty potwierdzające, że Podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych) . Podmiot przetwarzający zobowiązany jest do niezwłocznego przedstawiania Administratorowi wszelkich aktualizacji informacji i dokumentów, o których mowa w zdaniu poprzednim. Podmiot przetwarzający zobowiązuje się do nadania stosownych upoważnień do przetwarzania powierzonych mu danych osobowych wszystkim osobom, które będą miały dostęp do danych osobowych i będą je przetwarzały w celu realizacji obowiązku odpowiadania niniejszej umowy, chyba że przetwarzanie wymagane jest przez prawo Unii Europejskiej lub prawo państwa członkowskiego. Podmiot przetwarzający zobowiąże upoważnione osoby, o których mowa w ust. 2 do bezterminowego zachowania w tajemnicy powierzonych im do przetwarzania danych osobowych, także po ewentualnym ustaniu zatrudnienia u Podmiotu przetwarzającego, chyba że taki obowiązek wynika z powszechnie obowiązujących przepisów prawa w zakresie ochrony danych osobowych. Podmiot przetwarzający zobowiązany jest do niezwłocznego przekazywania Administratorowi informacji, komu zostały udzielone upoważnienia, o których mowa w ust. 2, na żądania osóbkażde jego żądanie. Podmiot przetwarzający zobowiązany jest do przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego określonych w niniejszej umowie oraz w RODO. Podmiot przetwarzający biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje: powiadamia Administratora o żądaniach osoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku RODO i w miarę możliwości pomaga Administratorowi wywiązać się z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać te żądania, pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 32-36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający bez zbędnej zwłoki, nie później niż w terminie 10 dni roboczych24 godzin od powzięcia uzasadnionego podejrzenia wystąpienia zdarzenia, wszelkie informacje niezbędne powiadomi Administratora: o wszelkich przypadkach nieprzestrzegania postanowień umowy lub przepisów prawa dotyczących ochrony danych osobowych przetwarzanych na mocy niniejszej umowy, których dopuścił się Podmiot przetwarzający, jego pracownicy i inne osoby, przy pomocy których przetwarza powierzone dane osobowe lub jego podwykonawcy; o wszelkich wnioskach ze strony organu nadzorującego przetwarzanie danych osobowych lub innej instytucji, w zakresie dotyczącym przetwarzania danych osobowych na podstawie niniejszej umowy, chyba że prawo stanowi inaczej, zwłaszcza jeżeli obowiązują jakiekolwiek zakazy w świetle prawa karnego, w celu chronienia poufności postępowania przygotowawczego prowadzonego przez te organy; o wszelkich naruszeniach zasad dotyczących przetwarzania i ochrony danych osobowych, w tym ich utracie, zniszczeniu, uszkodzeniu, nieuprawnionej zmianie lub ujawnieniu, lub incydentach przypadkowego lub nieupoważnionego dostępu do wykazania spełnienia danych osobowych przetwarzanych na mocy niniejszej umowy; o wszelkich zażaleniach lub wnioskach dotyczących danych osobowych (zwłaszcza wnioskach o dostęp do danych osobowych przetwarzanych na mocy umowy), ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o sprzeciwie wobec przetwarzania, a także o wniosku o przeniesienie danych osobowych przetwarzanych na mocy umowy, przesłanych bezpośrednio przez osoby, których dotyczą dane, bez udzielania na nie odpowiedzi do momentu uzyskania odpowiedniego polecenia Administratora, chyba że Podmiot przetwarzający posiada stosowne upoważnienie do udzielenia na nie odpowiedzi; jeżeli jego zdaniem wydane mu przez Administratora polecenie stanowi naruszenie przepisów o ochronie danych. Informacja, o której mowa w ust. 7 pkt 1 i 3 powinna co najmniej opisywać: charakter naruszenia zasad dotyczących przetwarzania i ochrony danych osobowych, w tym w miarę możliwości wskazywać osoby, których dane objęte zostały naruszeniem, czas, miejsce i okoliczności zdarzenia; możliwe konsekwencje naruszenia ochrony danych osobowych; działania wyjaśniające podjęte przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. przetwarzający; środki zastosowane lub proponowane przez Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie przetwarzający w celu zaradzenia naruszeniu ochrony danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązkówtym, w stosownych przypadkach, środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Informacje, o których mowa w ust. 7 pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego1 i 3 przekazywane będą pocztą elektroniczną na adres xxx@xxx.xxxxxxxxxx.xxx.xx w sposób zapewniający ich poufność, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia. Podmiot Przetwarzający przetwarzający zobowiązuje się niezwłocznie poinformować do niezwłocznego informowania Administratora o podjęciu każdym postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w niniejszej umowie, o każdej decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych osobowych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający. Przetwarzający zobowiązany jest do natychmiastowego zaprzestania przetwarzania danych w przypadku: wypowiedzenia lub rozwiązania niniejszej umowy, ustania celu, dla którego niniejsza umowa została zawarta. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem powierzonych danych osobowych usuwa wszelkie dane osobowe w terminie 30 dni od dnia zakończenia świadczenia usług związanych z przetwarzaniem powierzonych danych osobowych oraz usuwa w tym terminie wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują Podmiotowi przetwarzającemu przechowywanie danych osobowych. W przypadku usunięcia danych, Podmiot przetwarzający zobowiązany jest poinformować pisemnie Administratora o wykonaniu tej operacji oraz o sposobie jej wykonania w terminie 3 dni roboczych od dnia wykonania operacji. Dla uniknięcia niejasności, Administrator potwierdza, że Podmiot przetwarzający nie jest uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli do przetwarzania Danychpowierzonych danych osobowych po zakończeniu obowiązywania niniejszej umowy.

Obowiązki podmiotu przetwarzającego. 4.1Podmiot przetwarzający zobowiązuje się do przetwarzania danych wyłącznie w celu i w zakresie określonym niniejszą umową. Podmiot Przetwarzający przetwarzający będzie prowadził ewidencję osób upoważnionych do przetwarzania danych, w tym mających dostęp do systemów informatycznych, w których przetwarzane są dane. Podmiot przetwarzający zobowiązuje się przetwarzać Dane nie ujawniać osobom nieupoważnionym informacji o danych, zwłaszcza o środkach ochrony i zabezpieczeniach stosowanych w odniesieniu do danych przez Podmiot przetwarzający lub Administratora danych. W razie potrzeby Administrator danych może wydać Podmiotowi przetwarzającemu szczegółowe zalecenia, dotyczące przetwarzania danych zgodnie z RODOniniejszą umową, polskimi przepisamizwłaszcza dotyczące zabezpieczenia danych, a Podmiot przetwarzający zobowiązany jest niezwłocznie zastosować się do zaleceń Administratora danych. W miarę możliwości Podmiot przetwarzający udzieli pomocy Administratorowi danych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych zakresie niezbędnym do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratoradane dotyczą, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać oraz wywiązywania się z obowiązków określonych w art. 32–36 32 – 36 RODO. 4.6. Podmiot Przetwarzający przetwarzający zobowiązuje się udostępniać do: udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji niezbędnych do wykazania spełnienia obowiązków Podmiotu przetwarzającego, wynikających z przepisów regulujących ochronę danych osobowych (w szczególności RODO), w terminie do 7 dni od dnia przyjęcia żądania; niezwłocznego, skutecznego poinformowania Administratora danych o: każdym przypadku naruszenia ochrony danych, tj. wszelkich sytuacjach stanowiących naruszenie przepisów o ochronie danych osobowych lub niniejszej umowy, zwłaszcza mogących skutkować odpowiedzialnością Administratora danych lub Podmiotu przetwarzającego na podstawie obowiązujących przepisów prawa (w tym o naruszeniu tajemnicy danych lub ich niewłaściwym wykorzystaniu), nie później jednak niż w terminie 10 dni roboczychciągu 24 godzin od stwierdzenia danego zdarzenia. Powiadomienie powinno być dokonane drogą elektroniczną na następujące adresy e-mail: ................................................ i opisywać charakter naruszenia oraz kategorie danych, których naruszenie dotyczy, każdym prawnie umocowanym żądaniu udostępnienia danych właściwemu organowi publicznemu, każdym żądaniu otrzymanym bezpośrednio od osoby, której dane przetwarza, w zakresie przetwarzania jej danych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba że zostanie do tego upoważniony przez Administratora danych, jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach, dotyczących przetwarzania danych, w szczególności prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych. Podmiot przetwarzający umożliwi upoważnionym pracownikom Administratora danych dokonanie w godzinach pracy Podmiotu przetwarzającego sprawdzenia w formie audytu stanu ochrony i bezpieczeństwa danych osobowych, w zakresie zgodności przetwarzania z RODO oraz postanowieniami niniejszej umowy. Podmiot przetwarzający ma obowiązek współdziałać z pracownikami Administratora danych w czynnościach sprawdzających, o których mowa w ust. 7. Podmiot przetwarzający udostępnia Administratorowi danych wszelkie informacje niezbędne do wykazania spełnienia przez obowiązków, określonych w art. 28 RODO. Podmiot Przetwarzający obowiązków przetwarzający zobowiązuje się poinformować swoich pracowników o obowiązkach wynikających z właściwych przepisów RODOregulujących ochronę danych osobowych oraz z niniejszej umowy. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, do zachowania w szczególności polskimi przepisami regulującymi ochronę tajemnicy wszystkich informacji dotyczących danych osobowych oraz Porozumieniemprzetwarzać je z należytą starannością oraz zgodnie z Rozporządzeniem i z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. 4.22. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych przy przetwarzaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratoraich zabezpieczenia poprzez podjęcie stosownych środków technicznych i organizacyjnych, o którym których mowa powyżejw art. 32 Rozporządzenia, nakłada na zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem tych danych osobowych przez Podmiot Przetwarzający. W celu zapewnienia bezpieczeństwa powierzonych danych osobowych, Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora wdraża co najmniej środki techniczne i organizacyjne określone w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnymzałączniku do Umowy powierzenia, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publicznyktóry stanowi jej integralną część. 4.33. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania do zachowania w tajemnicy informacji dotyczących danych osobowych, w tym sposobów ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw pierwotnej lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danychUmowy powierzenia. 4.44. Podmiot Przetwarzający zabezpieczy dane osobowe w sposób uniemożliwiający: dostęp do nich osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie ich z naruszeniem obowiązujących przepisów prawa oraz jakąkolwiek ich utratę, w zakresie, za który w ramach niniejszej Umowy odpowiada Podmiot Przetwarzający. 5. W odniesieniu do danych osobowych Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczychciągu 36 godzin od momentu zaistnienia zdarzenia, poinformować zawiadomić Administratora o wniosku dotyczącym realizacji praw o: 1) każdym prawnie umocowanym żądaniu udostępnienia tych danych osobowych właściwemu organowi państwa, chyba, że zakaz zawiadomienia wynika z przepisów prawa, 2) każdym nieupoważnionym dostępie do tych danych osobowych; 3) każdym żądaniu wynikającym z art. 15-22 Rozporządzenia otrzymanym od osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu te dane osobowe są przez Administratoraniego przetwarzane; 4) otrzymaniu informacji na temat planowanej u niego kontroli organu nadzorczego lub innego uprawnionego organu, złożonym u Podmiotu Przetwarzającegojeśli kontrola ta miałaby objąć swoim zakresem te dane osobowe; 5) otrzymaniu informacji o wszczęciu jakiegokolwiek postępowania, w szczególności administracyjnego lub sądowego bądź wydania jakiejkolwiek decyzji administracyjnej lub orzeczenia, jeśli dotyczyłyby one tych danych osobowych; 6) każdym przypadku wystąpienia incydentu naruszenia bezpieczeństwa tych danych osobowych, polegającego w szczególności na ich ujawnieniu osobom do tego nieuprawnionym oraz utracie nośników danych je zawierających. 6. W zakresie danych osobowych oraz biorąc pod uwagę charakter przetwarzania, Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do pomaga Administratorowi wywiązywać się z obowiązku odpowiadania na taki wniosekżądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia. 4.57. W zakresie danych osobowych oraz uwzględniając charakter przetwarzania i dostępne informacje, Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać wywiązywać się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.68. Podmiot Przetwarzający nie będzie przekazywał danych osobowych do państw trzecich oraz organizacji międzynarodowych, jak również do innych podmiotów nieuprawnionych do ich otrzymania. 9. Podmiot Przetwarzający zobowiązany jest do ujęcia stosownych informacji dotyczących danych osobowych w prowadzonym przez siebie rejestrze wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 Rozporządzenia. 10. Podmiot Przetwarzający zobowiązuje się udostępniać umożliwić przetwarzanie danych osobowych wyłącznie osobom, które będą posiadały wydane przez niego stosowne upoważnienie do przetwarzania danych osobowych oraz które zobowiążą się do zachowania w poufności informacji o danych osobowych, w tym o sposobach ich zabezpieczenia, także po wygaśnięciu lub rozwiązaniu Umowy pierwotnej lub Umowy powierzenia, jak również po ustaniu stosunku prawnego łączącego te osoby z Podmiotem Przetwarzającym. 11. Podmiot Przetwarzający zobowiązuje się prowadzić ewidencję osób, o których mowa w ust. 10. 12. Podmiot Przetwarzający zobowiązany jest udzielić Administratorowi – na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne pisemne żądanie – wszelkich informacji niezbędnych do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniaUmowie powierzenia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzykom związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.22. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratoradanych, o którym mowa powyżejw art. 30 ust. 2 RODO i udostępniać go Administratorowi danych na jego żądanie, nakłada chyba że Podmiot przetwarzający jest zwolniony z tego obowiązku na Podmiot Przetwarzający obowiązujące prawopodstawie art. 30 ust. 5 RODO. 4. Podmiot Przetwarzający każdorazowo poinformuje Administratora przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnymcelu realizacji Umowy Głównej. 5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publicznyktórej mowa w art. 28 ust. 3 pkt b RODO, przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji Umowy Głównej, zarówno w trakcie współpracy / zatrudnienia ich w Podmiocie przetwarzającym, jak i po ustaniu współpracy / zatrudnienia. 4.36. Podmiot Przetwarzający przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem, zwraca Administratorowi danych wszelkie dane osobowe, a następnie usuwa wszelkie ich istniejące kopie chyba, że prawo unii Europejskiej lub prawo krajowe nakazują przechowywanie danych osobowych. 7. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi danych w niezbędnym zakresie wywiązywać się z obowiązków określonych w art. 32-36 RODO. 8. Podmiot przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje wywiązywaniu się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osób, których Dane dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III art. 15-22 RODO. W związku z realizacją tego obowiązku szczególności Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) przetwarzający zobowiązuje się – na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw – do przygotowania i przekazania Administratorowi informacji potrzebnych do spełnienia żądania osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratoradane dotyczą, złożonym u Podmiotu Przetwarzającegow ciągu 3 dni od dnia otrzymania żądania Administratora danych. 9. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony przetwarzający zobowiązuje stosować się do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje ewentualnych wskazówek lub zaleceń wydanych przez Administratora danych, organ nadzoru lub unijny organ doradczy zajmujący się pomagać Administratorowi wywiązać się z obowiązków określonych ochroną danych osobowych, dotyczących przetwarzania danych osobowych, w art. 32–36 szczególności w zakresie stosowania RODO. 4.610. Podmiot Przetwarzający przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja niezwłocznego poinformowania Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych danych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniujakimkolwiek postępowaniu, w szczególności obowiązkówadministracyjnym lub sądowym, dotyczącym przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania powierzonych danych osobowych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania powierzonych danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy. 11. W sytuacji podejrzenia naruszenia ochrony danych osobowych, Podmiot przetwarzający zobowiązuje się do: 1) przekazania Administratorowi danych, drogą elektroniczną na adres xxx@xxxx.xxx.xx, informacji dotyczących naruszenia ochrony danych osobowych w ciągu 24 godzin od jego wykrycia, w tym informacji, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającegoart. 33 ust. 3 RODO; 2) przeprowadzenia wstępnej oceny skutków naruszenia praw i wolności osób, Strony uprzednio uzgodnią sposób ich pokrycia których dane dotyczą, i przekazania wyników tej oceny do Administratora danych w drodze odrębnego porozumieniaciągu 36 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych; 3) przekazania Administratorowi danych – na jego żądanie – wszystkich informacji niezbędnych do zawiadomienia osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 RODO, w ciągu 48 godzin od wykrycia zdarzenia stanowiącego naruszenie ochrony danych osobowych. 4.912. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora przetwarzający, jak i podmiot, który przetwarza dane osobowe w oparciu o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego § 6 Umowy Powierzenia, jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy Powierzenia, a w zakresie kontroli szczególności za udostępnienie powierzonych do przetwarzania Danychdanych osobowych osobom nieupoważnionym.

Obowiązki podmiotu przetwarzającego. 4.1Podmiot Przetwarzający może przetwarzać powierzone dane wyłącznie w zakresie i celu przewidzianym w niniejszej umowie oraz zgodnie z ogólnym rozporządzeniem o ochronie danych. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane zgodnie z Przetwarzający: przed rozpoczęciem przetwarzania podejmuje wszelkie środki wymagane na mocy art. 32 RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych uwzględniając stan wiedzy technicznej, koszt wdrażania oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumieniacharakter, Umowy zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu wolności osób fizycznych o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratoraróżnym prawdopodobieństwie wystąpienia i wadze zagrożenia, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw temu ryzyku; przetwarza powierzone dane wyłącznie na udokumentowane polecenie Administratora, za które strony uważają w szczególności postanowienia Umowy Głównej oraz inne polecenia przekazywane drogą elektroniczną lub wolności na piśmie; zapewnia ograniczenie dostępu do powierzonych danych wyłącznie do osób fizycznychprzez siebie upoważnionych, których Dane będą przetwarzane, oraz zapewnić realizację zasad dostęp do tych danych jest potrzebny do należytego wykonywania Umowy Głównej; zapewnia przeszkolenie osób upoważnionych z zakresu ochrony danych osobowych oraz zapewnia, by osoby te zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy Głównej oraz ustaniu stosunku umownego z Podmiotem Przetwarzającym; nie może przekazywać powierzonych danych do państwa trzeciego lub organizacji międzynarodowej; prowadzi rejestr wszystkich kategorii czynności przetwarzania wykonywanych w fazie projektowania oraz domyślnej ochrony danych. 4.4imieniu Administratora, o którym mowa w art. Podmiot Przetwarzający zobowiązuje 30 ust. 2 RODO, chyba że jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 RODO; przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO; biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji ; uwzględniając charakter przetwarzania oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczychdostępne mu informacje, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać pomaga Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanie32-36 RODO (środki bezpieczeństwa danych, nie później niż w terminie 10 dni roboczychzgłaszanie naruszeń organowi nadzorczemu, zawiadamianie osób dotkniętych naruszeniem ochrony danych, ocena skutków dla ochrony danych, uprzednie konsultacje z organem nadzorczym); po zakończeniu Umowy Głównej, zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratorapowierzone dane oraz usuwa wszelkie ich istniejące kopie, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie chyba że prawo nakazuje przechowywanie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszego Porozumienia oraz umowy zawartej z Administratorem danych. 4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszego Porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Podmiot przetwarzający zobowiązuje się do prowadzenia ewidencji osób, które zostały przez niego upoważnione do przetwarzania danych osobowych. 6. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od woli Administratora - usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 7. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.68. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu podejrzenia naruszenia przepisów dot. ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.ciągu 36 godzin na adres poczty elektronicznej: xxx@xxx-xx.xx

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 rozporządzenia. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Do przetwarzania powierzonych danych osobowych mogą być dopuszczeni jedynie pracownicy Podmiotu przetwarzającego, posiadający imienne upoważnienia do przetwarzania danych osobowych. 4. Podmiot przetwarzający wyda upoważnienia osobom, które będą przetwarzały powierzone dane osobowe. 5. Podmiot przetwarzający przekaże Administratorowi listę osób, które upoważnił do przetwarzania powierzonych danych osobowych. 6. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 lit. b rozporządzenia, powierzone do przetwarzania dane przez osoby, które upoważni do przetwarzania powierzonych danych osobowych, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. 7. Podmiot przetwarzający po zakończeniu realizacji umowy zwraca Administratorowi wszelkie powierzone dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że przepisy prawa unijnego lub prawa krajowego nakazują przechowywanie danych osobowych przez dłuższy okres. 8. Podmiot przetwarzający niezwłocznie przekazuje Administratorowi oświadczenie, w którym potwierdzi, że nie posiada żadnych danych osobowych, których przetwarzanie zostało mu powierzone niniejszą umową. 9. Podmiot przetwarzający pomaga Administratorowi, w niezbędnym zakresie, wywiązywać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich praw określonych jej praw, o których mowa w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji rozporządzenia, oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 rozporządzenia. 4.610. Podmiot Przetwarzający przetwarzający zobowiązuje się udostępniać Administratorowi do udzielenia Administratorowi, na każde jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne informacji na temat przetwarzania powierzonych do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie przetwarzania danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewnia- jących adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem da- nych osobowych, o których mowa w art. 32 Rozporządzenia. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzo- nych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobo - wych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszego Poro- zumienia oraz umowy zawartej z Administratorem danych. 4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszego Porozumienia, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Podmiot przetwarzający zobowiązuje się do prowadzenia ewidencji osób, które zostały przez niego upoważnione do przetwarzania danych osobowych. 6. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od woli Administratora - usuwa lub zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywa- nie danych osobowych. 7. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywią- zywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.68. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu podejrzenia naruszenia przepisów dot. ochrony danych oso- bowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.ciągu 36 godzin na adres poczty elektronicznej: xxx@xxx.xxx.xx

Obowiązki podmiotu przetwarzającego. 4.11. Administrator danych osobowych w każdym czasie może dokonać weryfikacji standardu ochrony danych osobowych wg arkusza weryfikacji (załącznik nr 1), a Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie utrzymać standard ochrony danych wynikający z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować arkusza przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad trwania umowy. W przypadku zmiany standardów ochrony danych w fazie projektowania oraz domyślnej ochrony osobowych zobowiązany jest poinformować Administratora danych. 4.42. Podmiot Przetwarzający przetwarzający zobowiązuje się wspierać Administratora (w szczególności się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa, odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO. 3. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 4. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszego Porozumienia. 5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszego porozumienia, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po ustaniu ich zatrudnienia. 6. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zwraca Administratorowi wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 7. W miarę możliwości Podmiot Przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 32-36 RODO. 4.68. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu podejrzenia naruszenia ochrony danych osobowych lub naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na w ciągu 24 h od powzięcia wiadomości o naruszeniu, wskazując w zgłoszeniu: 1) Opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie osób oraz przybliżoną liczbę osób, których dane dotyczą i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 2) Imię i nazwisko oraz dane kontaktowe inspektora danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 3) Opis możliwych konsekwencji naruszenia ochrony danych osobowych; 4) Opis środków zastosowanych lub proponowanych przez Przetwarzającego danych w celu zapobieżeniu naruszenia ochrony danych osobowych, w tym stosownych przypadkach środków w celu zminimalizowania jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOewentualnych negatywnych skutków. 4.79. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować AdministratoraZgłoszenie naruszenia danych następuje do Inspektora ochrony danych Szpitalu Specjalistycznym im. Xxxxxxx Xxxxxxxxxxxx w Mielcu, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO tel. 00 00 00 000 lub innych przepisów krajowych lub unijnych o ochronie danych osobowychbezpośrednio do Sekretariatu Dyrekcji. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODO, polskimi przepisami, w szczególności polskimi przepisami regulującymi ochronę się: 1) dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych, 2) przy przetwarzaniu powierzonych danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie PorozumieniaUmowy, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności zabezpieczyć je poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia, wykaz stosowanych środków technicznych i organizacyjnych na dzień zawarcia UPD stanowi załącznik nr 1, 3) nadać upoważnienia do przetwarzania danych osobowych wskazanych w § 1 ust. 1 wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji Umowy, 4) prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, 5) zapewnić zachowanie w tajemnicy przetwarzanych danych oraz sposobów ich zabezpieczenia przez osoby, które posiadają upoważnia do przetwarzania danych osobowych w celu realizacji Umowy, zarówno w trakcie zatrudnienia lub współpracy z Podmiotem przetwarzającym jak i po ustaniu zatrudnienia lub współpracy, 6) stosować się do wewnętrznych procedur bezpieczeństwa informacji obowiązujących u Administratora w trakcie realizacji przeglądów, 7) stosować się do pisemnych instrukcji wydanych przez Administratora w zakresie przetwarzania powierzonych danych osobowych, chyba że co innego wynika z wiążących Podmiot przetwarzający obowiązujących przepisów prawa. W tym drugim przypadku Podmiot przetwarzający informuje Administratora o przepisach prawnych i wynikających z nich obowiązkach, 8) dokumentować wszelkie naruszenia ochrony danych w tym ich okoliczności, skutki oraz podjęte działania zaradcze w sposób określony w § 9. 2. Podmiot przetwarzający pomaga Administratorowi: 1) uwzględniając charakter przetwarzania, kontekst usługi oraz w miarę swoich możliwości, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osóbosoby, których Dane której dane dotyczą, w zakresie wykonywania ich jej praw określonych w rozdziale III RODORozporządzenia (Prawa osoby, której dane dotyczą), 2) w wywiązywaniu się z obowiązków określonych w art. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest 32-33 Rozporządzenia, w szczególności zobowiązany do udzielania informacji oraz ujawnienia w przypadku stwierdzenia naruszenia zasad ochrony i przetwarzania powierzonych Danych (lub ich kopii) danych osobowych na żądanie Administratora podstawie Umowy, zgłasza je Administratorowi za pośrednictwem osób wskazanych w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami§ 9 ust. Podmiot Przetwarzający powinien również 2 UPD niezwłocznie, jednak nie później niż w terminie 7 dni roboczych24 godzin od chwili stwierdzenia naruszenia, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającegoz uwzględnieniem postanowień ust. 1 pkt 8 i § 9). 3. Podmiot Przetwarzający przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5przetwarzania danych poza siedzibą Zamawiającego. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać się z obowiązków określonych Po zakończeniu przeglądu w art. 32–36 RODO. 4.6. Podmiot Przetwarzający zobowiązuje się udostępniać danym dniu zobowiązany do usunięcia lub zwrotu Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODO. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie żądanie powierzonych danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumieniatym istniejących kopii danych. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnychorganizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy oraz umów merytorycznych. 4. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 lit. b) Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia i poleca do przetwarzania dane osobowe w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu. 5. Załącznik nr 1 zawiera wykaz osób o których mowa w ust. 3 powyżej, dopuszczonych do realizacji Umowy oraz umów merytorycznych. Wymienione w załączniku osoby zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych zgodnie z Rozporządzeniem. Podmiot przetwarzający we własnym zakresie prowadzi wykaz upoważnionych osób. 6. Zmiana Załącznika nr 1 nie powoduje zmiany Umowy; o każdorazowej jego zmianie czy rozszerzeniu Wykonawca jest zobowiązany niezwłocznie, w terminie do 10 dni powiadomić Administratora przedkładając mu aktualizację Załącznika nr 1. 7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. 8. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 RODO32-36 Rozporządzenia. 4.69. Podmiot Przetwarzający zobowiązuje się udostępniać Administratorowi na jego żądanieprzetwarzający po stwierdzeniu podejrzenia naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi, ale nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOciągu 24 godzin od pierwszego zgłoszenia. 4.710. Podmiot Przetwarzający zobowiązuje się przetwarzający umożliwia Administratorowi uczestnictwo w czynnościach wyjaśniających i informuje Administratora o ustaleniach z chwila ich dokonania, w szczególności o stwierdzeniu naruszenia lub jego braku. 11. Podmiot przetwarzający przesyła powiadomienia o stwierdzeniu naruszenia wraz z wszelką niezbędna dokumentacją dotycząca naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzorczego 12. Podmiot przetwarzający informuje niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora jeżeli zdaniem Podmiotu przetwarzającego wydane mu polecenie stanowi naruszenie RODO „Rozporządzenia” lub innych przepisów krajowych lub unijnych o ochronie danych 13. Podmiot przetwarzający zobowiązany jest stosować się do ewentualnych wskazówek lub zaleceń, wydanych przez organ nadzoru lub unijny organ doradczy zajmujący się ochroną danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, po uprzednim poinformowaniu Administratora, dotyczących Przetwarzania Danych Osobowych, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.stosowania „Rozporządzenia”

Obowiązki podmiotu przetwarzającego. 4.11. Podmiot Przetwarzający przetwarzający zobowiązuje się przetwarzać Dane zgodnie z RODOsię, polskimi przepisamiprzy przetwarzaniu powierzonych danych osobowych, w szczególności polskimi przepisami regulującymi ochronę danych osobowych oraz Porozumieniem. 4.2. Podmiot Przetwarzający zobowiązuje się przetwarzać Dane wyłącznie na polecenie Administratora (na podstawie Porozumienia, Umowy lub innego oświadczenia Administratora złożonego Podmiotowi Przetwarzającemu w oparciu o przepisy RODO w formie pisemnej lub dokumentowej) – co dotyczy również przekazywania Danych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek przetwarzania Danych w zakresie wykraczającym poza Porozumienie lub oświadczenia Administratora, o którym mowa powyżej, nakłada na Podmiot Przetwarzający obowiązujące prawo. Podmiot Przetwarzający każdorazowo poinformuje Administratora w formie pisemnej lub dokumentowej – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile właściwe przepisy nie zabraniają mu udzielania takiej informacji z uwagi na ważny interes publiczny. 4.3. Podmiot Przetwarzający zobowiązuje się stosować przez cały okres obowiązywania Umowy odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane będą przetwarzane, oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 4.4. Podmiot Przetwarzający zobowiązuje się wspierać Administratora (w szczególności ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w realizacji art. 32 RODO. 2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych. 3. Podmiot przetwarzający oświadcza, że każda osoba, która zostanie dopuszczona do przetwarzania powierzonych przez Administratora danych osobowych zostanie zobowiązana do zachowania tych danych w tajemnicy. Tajemnica ta obejmuje również wszelkie informacje dotyczące sposobów zabezpieczenia powierzonych do przetwarzania danych osobowych. Do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia zobowiązany jest także Podmiot przetwarzający, a samo zobowiązanie obejmuje podmioty, wymienione w niniejszym ustępie bezterminowo, tj. także po zakończeniu obowiązywania niniejszej Umowy. Postanowienia dotyczące zachowania tajemnicy, o której mowa w niniejszym ustępie, Podmiot przetwarzający ma obowiązek stosować odpowiednio także wobec swoich Podwykonawców. 4. Podmiot przetwarzający oświadcza, że każda osoba mająca dostęp do danych osobowych będzie je przetwarzała wyłącznie na podstawie upoważnienia i na polecenie Podmiotu przetwarzającego, chyba że obowiązek taki wynika z przepisów prawa. 5. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem trwale usuwa lub zwraca Administratorowi wszelkie powierzone dane oraz usuwa wszelkie ich istniejące kopie, chyba że Administrator postanowi inaczej lub prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Przez trwałe usunięcie danych osobowych rozumie się takie działanie, które uniemożliwia ponowny odczyt lub wykorzystanie danych, w tym ustalenie tożsamości osoby, której dane dotyczą. Decyzję o usunięciu lub zwrocie danych osobowych podejmuje Administrator. Decyzja jest wiążąca dla Podmiotu przetwarzającego. 6. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osób, których Dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. W związku z realizacją tego obowiązku Podmiot Przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych Danych (lub ich kopii) na żądanie Administratora w terminie 7 dni roboczych, w formie uzgodnionej pomiędzy Stronami. Podmiot Przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 7 dni roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której Dane zostały powierzone Podmiotowi Przetwarzającemu przez Administratora, złożonym u Podmiotu Przetwarzającego. Podmiot Przetwarzający nie jest zobowiązany ani uprawniony do odpowiadania na taki wniosek. 4.5. Podmiot Przetwarzający zobowiązuje się pomagać Administratorowi wywiązać dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32–36 32-36 RODO. 4.67. Podmiot Przetwarzający zobowiązuje się udostępniać przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je Administratorowi na jego żądanie, nie później niż w terminie 10 dni roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot Przetwarzający obowiązków wynikających z właściwych przepisów RODOciągu 24 godzin. 4.7. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora, jeżeli, jego zdaniem, instrukcja Administratora stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych osobowych. 4.8. Jeżeli wykonywanie przez Podmiot Przetwarzający obowiązków określonych Porozumieniu, w szczególności obowiązków, o których mowa w pkt 4.4-4.7 powyżej generowało będzie dodatkowe koszty po stronie Podmiotu Przetwarzającego, Strony uprzednio uzgodnią sposób ich pokrycia w drodze odrębnego porozumienia. 4.9. Podmiot Przetwarzający zobowiązuje się niezwłocznie poinformować Administratora o podjęciu przez uprawniony organ nadzoru jakichkolwiek działań względem Podmiotu Przetwarzającego w zakresie kontroli przetwarzania Danych.