Common use of Obowiązki Stron Clause in Contracts

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjenta. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem Umową oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez StronyPodmiot powierzający, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie BeneficjentaPodmiotu powierzającego, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 3) prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust.2 RODO, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby osoby, które do tego upoważnioneupoważni, 5) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały zobowiązał do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczeniazabezpieczania, 6) zobowiązać osoby, także o których mowa w pkt.5 do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczania również po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych te osoby z danym podmiotem.Podmiotem przetwarzającym, 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) 8) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b9) zdolność do ciągłego zapewnienia poufnościpodejmować obowiązki informacyjne wynikające z art. 13 i 14 RODO wobec osób, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzaniaktórych Dane osobowe są przetwarzane przez Podmiot przetwarzający, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta Podmiotu powierzającego pomagać Beneficjentowi mu w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta;, 1311) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta Podmiot powierzający o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 1412) w razie potrzeby i na żądanie Beneficjenta Podmiotu powierzającego pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie mu wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 1613) udostępniać Beneficjentowi Podmiotowi Powierzającemu na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu,Umowie. 1714) niezwłoczniePo stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Podmiotowi powierzającemu. Zgłoszenie dokonywane jest na adres e-mail Podmiotu Powierzającego, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 Dni Roboczychdo Umowy. 15) Jeśli informacji w Zgłoszeniu, informować (o ile którym mowa w ust. 3 powyżej, nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez da się udzielić w tym samym czasie, Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki. 16) Podmiot przetwarzający Danych osobowychdokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze. 17) Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich podmiotom Danych osobowych,osobowych lub organowi nadzorczemu. 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjenta. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności wykorzystywać wzór zgłoszenia Naruszenia ochrony danych osobowych, wzór upoważnienia do przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODOoraz wzór odwołania upoważnienia do przetwarzania danych osobowych, jak również udostępniać go Beneficjentowi na jego żądaniektóre stanowią załączniki do niniejszej umowy.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych Strony zobowiązują się niezwłocznie przekazywać wszelkie dane i organizacyjnych, by przetwarzanie spełniało wymogi RODO informacje mogące mieć istotne znaczenie dla realizacji zobowiązań wynikających z Umowy w terminach i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODOformie pozwalającej na skuteczne wypełnianie tych zobowiązań. 2. Podmiot przetwarzający Strony dążą do takiego uregulowania zasad przetwarzania danych osobowych, aby odpowiadały one w pełni postanowieniom RODO . 3. Wykonawca zobowiązany jestjest do: a) świadczenia usługi, będącej przedmiotem Umowy, z zachowaniem należytej staranności, wymaganej od podmiotów zajmujących się zawodowo usługami tego rodzaju; b) poinformowania niezwłocznie Zamawiającego o organizacyjnych i technicznych konsekwencjach wprowadzanych zmian i modyfikacji; c) wskazania pracowników wyznaczonych do współpracy z Zamawiającym (Załącznik nr 1). d) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Beneficjenta, Zamawiającego – co dotyczy także też przekazywania Danych danych osobowych do Państwa państwa trzeciego lub organizacji międzynarodowej, międzynarodowej – chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemunakłada na niego prawo Unii lub prawo państwa członkowskiego, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie któremu podlega podmiot przetwarzający; w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta takim przypadku przed rozpoczęciem przetwarzania wykonawca informuje Zamawiającego o tym obowiązku prawnym przetwarzania Danych osobowychprawnym, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny,; 4e) dopuszczać zapewnienia, by osoby upoważnione do przetwarzania Danych danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem.tajemnicy; 6f) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie podejmowania wszelkich środków wymaganych na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane zgodnie z mocy art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11g) przestrzegać przestrzegania warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej,innego podmiotu przetwarzającego; 12h) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, pomocy Zamawiającemu poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; i) pomocy Zamawiającemu wywiązać się z obowiązków określonych w art. 32–36 RODO; j) usunięcia wszelkich danych osobowych oraz usunięcia wszelkich ich istniejących kopii, w ciągu 90 dni od zakończenia świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; k) udostępniania Zamawiającemu wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia Zamawiającemu lub audytorowi upoważnionemu przez Zamawiającego przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich; l) informowania niezwłocznie Zamawiającego, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych; m) zastosowania się do wymogu projektowania prywatności o którym mowa w art. 25 ust. 1 RODO, planując dokonanie zmian w sposobie przetwarzania danych osobowych, i ma obowiązek z wyprzedzeniem informować Zamawiającego o planowanych zmianach w taki sposób i terminach, aby zapewnić Zamawiającemu realną możliwość reagowania, jeżeli planowane przez Wykonawcę zmiany w opinii Zamawiającego grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Wykonawcę; n) ograniczania dostępu do danych osobowych wyłącznie do osób, których dostęp do danych jest potrzebny dla realizacji Umowy i posiadających odpowiednie upoważnienie. o) prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w tym rejestru kategorii czynności przetwarzania danych osobowych. Wykonawca udostępniania na żądanie Zamawiającego prowadzony rejestr kategorii czynności przetwarzania danych Wykonawcy, z wyłączeniem informacji stanowiących tajemnicę handlową innych klientów Wykonawcy; p) informowania Zamawiającego jeżeli Wykonawca wykorzystuje w celu realizacji Umowy zautomatyzowane przetwarzanie, w tym profilowanie, o którym mowa w art. 22 ust. 1 i 4 RODO, Wykonawca informuje o tym Zamawiającego w celu i w zakresie niezbędnym do wykonania przez Zamawiającego obowiązku informacyjnego; q) zapewnienia osobom upoważnionym do przetwarzania danych osobowych odpowiednie szkolenie z zakresu ochrony danych osobowych; powiadamiania Zamawiającego o każdym podejrzeniu naruszenia ochrony danych osobowych nie później niż w 24 godziny od pierwszego zgłoszenia, umożliwia Zamawiającemu uczestnictwo w czynnościach wyjaśniających i informuje Zamawiającego o ustaleniach z chwilą ich dokonania, w szczególności dotyczy to wspomagania o stwierdzeniu naruszenia. Powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Zamawiającemu spełnienie obowiązku powiadomienia organ nadzoru. 4. Zamawiający zobowiązuje się do: a) wskazania pracowników wyznaczonych do współpracy z Wykonawcą – w zakresie tym Koordynatora Systemu ze strony Zamawiającego (Załącznik nr 2); b) współdziałania z Wykonawcą w wykonaniu Umowy i udzielania odpowiedzi na wniosek o korzystanie z praw osobypytania i wnioski Wykonawcy w każdorazowo uzgodnionych terminach; c) wykonywania, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest przedmiotu Umowy archiwizacji danych w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się uzgodniony z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawczeWykonawcą sposób, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, uzgodnionym zakresie oraz we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentaterminach. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) : przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem Umową powierzania oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznieAdministratora, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie BeneficjentaAdministratora, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) , dopuszczać do przetwarzania Danych osobowych wyłącznie osoby osoby, które do tego upoważnione, 5) upoważni, dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które zobowiązały się zobowiązał do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczeniatajemnicy, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającegoAdministratora, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) , podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 117-15 11 poniżej, 12) , w razie potrzeby i na żądanie Beneficjenta Administratora pomagać Beneficjentowi Administratorowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta Administratora o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta Administratora pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie Administratorowi wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z określonych w art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. – 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na tym stosować środki w celu ograniczenie i naprawienie zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków Naruszeń, 16) skutków, udostępniać Beneficjentowi Administratorowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznieUmowie powierzania. Po stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Administratorowi. Zgłoszenie dokonywane jest na adres e-mail Administratora, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 Dni Roboczychdo Umowy powierzania. Jeśli informacji w Zgłoszeniu, informować (o ile którym mowa w ust. 3 powyżej, nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez da się udzielić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki. Podmiot przetwarzający dokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności podmiotom Danych osobowych lub organowi nadzorczemu. Podmiot przetwarzający może korzystać wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Pomiot przetwarzający jest uprawniony do dokonania Podpowierzenia na rzecz podmiotów wskazanych w Załączniku nr 3 do Umowy powierzania. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów wskazanych w Załączniku nr 3 nie później niż w terminie 21 dni przed ich wprowadzeniem, a Administrator w tym terminie może wnieść sprzeciw wobec takich zmian, w którym wyjaśni podstawy do nieudzielenia akceptacji nowemu podmiotowi. Wniesienie sprzeciwu oznacza brak zgody na dodanie lub zastąpienie takiego podmiotu. W takim przypadku Stronom przysługuje prawo rozwiązania Umowy powierzania oraz Porozumienia ze skutkiem natychmiastowym. W przypadku, gdy Podmiot przetwarzający zamierza dokonać Podpowierzenia na rzecz podmiotu z państwa trzeciego, musi uzyskać uprzednią pisemną szczegółową zgodę Administratora. Jeśli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Podmiot przetwarzający dokona Podpowierzenia, to Podmiot przetwarzający zapewnia, iż dalszy podmiot przetwarzający wypełnia te same obowiązki ochrony Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez jakie zostały w Umowie powierzania nałożone na Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentaprzetwarzający. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotemxxxxx xxxxxxxxx. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjenta. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem Umową oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez StronyPodmiot powierzający, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie BeneficjentaPodmiotu powierzającego, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta W takim przypadku Podmiot przetwarzający informuje Xxxxxxx powierzający o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 3) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które do tego upoważni, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się zobowiązał do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem.tajemnicy, 65) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 96) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 117) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 117-15 11 poniżej, 12) 8) w razie potrzeby i na żądanie Beneficjenta Podmiotu powierzającego pomagać Beneficjentowi Podmiotowi powierzającemu w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta;, 139) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta Podmiot powierzający o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 1410) w razie potrzeby i na żądanie Beneficjenta Podmiotu powierzającego pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie Podmiotowi powierzającemu wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 1611) udostępniać Beneficjentowi Xxxxxxxxxx powierzającemu na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu,Umowie. 17) niezwłocznie3. Po stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu 2 Dni Roboczychterminie 24 godzin po stwierdzeniu Naruszenia, informować (zgłasza je Podmiotowi powierzającemu. Zgłoszenie dokonywane jest na adres e-mail Podmiotu powierzającego, z wykorzystaniem wzoru stanowiącego Załącznik nr 3 do Umowy. 4. Jeśli informacji w Zgłoszeniu, o ile którym mowa w ust. 3 powyżej, nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez da się udzielić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki. 5. Podmiot przetwarzający dokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze. 6. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności podmiotom Danych osobowych lub organowi nadzorczemu. 7. Podmiot przetwarzający może korzystać wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. 8. Pomiot przetwarzający jest uprawniony do dokonania Podpowierzenia na rzecz podmiotów wskazanych w Załączniku nr 4 do Umowy. 9. Podmiot przetwarzający informuje Podmiot powierzający o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów wskazanych w Załączniku nr 4 nie później niż w terminie 21 dni przed ich wprowadzeniem, a Podmiot powierzający w tym terminie może wnieść sprzeciw wobec takich zmian, w którym wyjaśni podstawy do nieudzielenia akceptacji nowemu podmiotowi. Wniesienie sprzeciwu oznacza brak zgody na dodanie lub zastąpienie takiego podmiotu. W takim przypadku Stronom przysługuje prawo rozwiązania Umowy oraz zakończenia Współpracy ze skutkiem natychmiastowym. 10. W przypadku, gdy Podmiot przetwarzający zamierza dokonać Podpowierzenia na rzecz podmiotu z państwa trzeciego, musi uzyskać uprzednią pisemną szczegółową zgodę Podmiotu powierzającego. 11. Jeśli do wykonania w imieniu Xxxxxxxx powierzającego konkretnych czynności przetwarzania Podmiot przetwarzający dokona Podpowierzenia, to Podmiot przetwarzający zapewnia, iż dalszy podmiot przetwarzający wypełnia te same obowiązki ochrony Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez jakie zostały w Umowie nałożone na Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentaprzetwarzający. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1Podmiot powierzający zobowiązuje się do współpracy z Podmiotem przetwarzającym w zakresie niezbędnym do prawidłowego wykonania niniejszej Umowy. Podmiot przetwarzający oświadczazobowiązuje się do przetwarzania powierzonych mu Danych osobowych wyłącznie w zakresie i celu niezbędnym do realizacji obowiązków wynikających z Umowy głównej, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych z zachowaniem zasady minimalizacji dostępu do Danych osobowych dla pracowników, członków organów i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2współpracowników Podmiotu przetwarzającego do niezbędnego minimum. Podmiot przetwarzający zobowiązany jest: 1) : przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem Umową oraz instrukcjami wydawanymi przez BeneficjentaPodmiot powierzający. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 30 dni od dnia ich wysłania przekazania przez Beneficjenta Podmiot powierzający. Podmiot przetwarzający niezwłocznie informuje Podmiot powierzający, jeśli wydana mu instrukcja stanowi naruszenie przepisów RODO lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z innych powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemuW informacji takiej Podmiot przetwarzający wskazuje uzasadnienie swojego stanowiska oraz przepis prawa, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie który jego zdaniem został naruszony; przetwarzać Dane osobowe wyłącznie w rozumieniu art. 28 miejscu wskazanym w § 2 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) 8 Umowy oraz przy użyciu urządzeń zarządzanych przez Podmiot przetwarzający lub Podmiot powierzający; dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) ; dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) tajemnicy; zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) ; podejmować wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) ; zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) ; przestrzegać określonych w § 6 niniejszej Umowy warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) ; w razie potrzeby i na żądanie Beneficjenta Podmiotu powierzającego pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać Pomiotowi powierzającemu wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem Podmiotem powierzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków przez Podmiot powierzający. niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych, informować Podmiot powierzający o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji. Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Podmiot powierzający; w razie potrzeby i na żądanie Podmiotu powierzającego, biorąc pod uwagę charakter przetwarzania oraz dostępne informacje, pomagać Pomiotowi powierzającemu wywiązać się z obowiązków określonych w art. 32-36 RODO. Współpraca Podmiotu przetwarzającego z Podmiotem powierzającym w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w Podmiotu powierzającego. W związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również powierzającego; udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi Xxxxxxxxxx powierzającemu na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) Umowie; stosować procedurę określoną w § 5 niniejszej Umowy w przypadku podejrzenia wystąpienia Naruszenia ochrony Danych osobowych powierzonych przez Podmiot powierzający; o ile nie jest to zabronione przez powszechnie obowiązujące przepisy prawa, informować niezwłocznie, jednak nie później niż w ciągu 2 7 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta Roboczych Podmiot powierzający o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, osobowych skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) , o ile zdarzenia takie dotyczą Danych osobowych powierzonych do przetwarzania przez Podmiot powierzający; prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Xxxxxxxx powierzającego zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Podmiotowi powierzającemu na jego żądanie w terminie 7 Dni roboczych od daty uzyskania takiego żądania; przechowywać Dane osobowe tylko tak długo, jak to określi BeneficjentPodmiot powierzający, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi BeneficjentaPodmiotu powierzającego. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta Podmiot powierzający przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjenta. 3Podmiotu powierzającego. przetwarzać Dane osobowe w zakresie zgodnym z ust. 4, co dotyczy także przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej w rozumieniu RODO, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa - w takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych informuje Podmiot powierzający o tym obowiązku prawnym, o ile przepisy prawa nie zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny. Poprzez zawarcie Umowy Podmiot powierzający poleca przetwarzanie Danych osobowych dokonywanych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w imieniu Beneficjenta zgodnie rozumieniu art. 28 ust. 3 lit. a w zw. z art. 30 ust. 2-5 29 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by aby przetwarzanie spełniało wymogi RODO Rozporządzenia i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny jest do przetwarzania danych zgodnie z RODO, przepisami z zakresu ochrony danych osobowych i innymi powszechnie obowiązującymi przepisamiprzepisami prawa. Podmiot przetwarzający może otrzymać od Administratora także instrukcje/rekomendacje dla właściwego przetwarzania powierzonych danych osobowych, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjentaktóre nie będą miały jednak charakteru wiążącego dla Podmiotu przetwarzającego a może on rozważyć ich ewentualne wdrożenie. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe przetwarzane są wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawaAdministratora. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie Polecenie oraz upoważnienie Administratora dla osoby działającej z upoważnienia w imieniu Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu zgodnie z art. 28 ust. 3 lit. a w zw. z art. 29 RODO,Rozporządzenia rozumie się jako założenie przez fizjoterapeutę konta w aplikacji elektronicznej dokumentacji medycznej oraz chęć skorzystania z jej funkcjonalności. 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) Podmiot przetwarzający zobowiązuje się także dopuszczać do przetwarzania Danych osobowych powierzonych danych wyłącznie osoby do tego upoważnione, 5) upoważnione a także dopuszczać do ich przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego,. 9) podejmować 4. KIF podejmuje wszelkie środki wymagane zgodnie z art. 32 RODORozporządzenia, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szczególności poprzez pseudonimizację, szyfrowanie Danych osobowych, b) oraz zdolność do ciągłego zapewnienia zasad poufności, integralności, dostępności i odporności systemów systemów. 5. Podmiot przetwarzający w miarę swoich możliwości a także w przypadku zaistnienia takiej konieczności wykazuje chęć i usług przetwarzania, c) zdolność zobowiązuje się do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i udzielenia na żądanie Beneficjenta pomagać Beneficjentowi Administratora wsparcia w wyznaczonym przez niego terminie i formiezakresie wykazania zgodności z przepisami o ochronie danych osobowych w ramach zawartej Umowy oraz także wypełnienia ewentualnych żądań osób, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się których dane dotyczą (rozdział III Rozporządzenia) a mających związek z obowiązku odpowiadania na żądania Umową. KIF przekaże bez zbędnej zwłoki do Administratora ewentualne żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent,. 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać 6. KIF bez zbędnej zwłoki zobowiązuje się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta Administratora o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek powierzonych danych osobowych a także wydanej decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania sądowym bądź prowadzonej przez organ nadzorczy kontroli w tym zakresie. 7. Po stwierdzeniu naruszenia w zakresie powierzonych danych osobowych Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizowaćzgłasza je Administratorowi, poprawiaćpodając wszystkie informacje dotyczące tego naruszenia, zmieniaćw tym w szczególności w miarę możliwości datę, anonimizowaćczas trwania i miejsce zdarzenia oraz opis naruszenia, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjentajego charakter a także wskazanie osób, których dotyczy naruszenie oraz przybliżony skutek. Zgłoszenie może zostać przekazane przez Podmiot przetwarzający na adres e-mail Administratora. 8. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzaniainformacji, o których mowa w ust. 7, nie da się udzielić w tym samym czasie, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentawinien ich udzielać sukcesywnie bez zbędnej zwłoki. 39. Administrator może podjąć bezpośredni kontakt z Inspektorem ochrony danych powołanym przez Podmiot przetwarzający pod adresem e-mail: xxx@xxx.xxxx.xx. 10. Podmiot przetwarzający będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z podmiotów podprzetwarzających dla celów niezbędnych do realizacji Umowy oraz świadczenia usługi w zakresie aplikacji elektronicznej dokumentacji medycznej. Zgoda ta obejmuje również transfer powierzonych danych do państw trzecich w rozumieniu przepisów Rozporządzenia przy zachowaniu odpowiednich zabezpieczeń oraz legalności. 11. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z przypadkach określonych w art. 30 ust. 2-5 RODO2 Rozporządzenia do prowadzenia rejestru kategorii czynności przetwarzania, jak również udostępniać go Beneficjentowi na jego żądaniezawierającego następujące informacje: a) imię i nazwisko lub nazwa oraz dane kontaktowe Podmiotu przetwarzającego lub podmiotów przetwarzających oraz administratora, w imieniu którego działa Podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub Podmiotu przetwarzającego oraz inspektora ochrony danych; b) kategorie przetwarzań dokonywanych w imieniu administratora; c) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia, dokumentacja odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia Współadministratorzy zobowiązani są zapewnić we własnym zakresie bezpieczeństwo przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa adekwatnych do rodzaju danych osobowych oraz ryzyka naruszenia praw osób, których te dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe Obowiązek informacyjny względem podmiotów danych będzie realizowany poprzez zamieszczenie stosownych klauzul na stronie internetowej oraz w sposób zgodny z RODOformularzach, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemuktórych będą zbierane dane osobowe, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowychpoprzez ewentualne osobiste przekazanie klauzuli informacyjnej w przypadkach, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO,gdy zbieranie danych następować będzie osobiście (wówczas, klauzulę informacyjną przekazuje ten Współadministrator, który zbiera dane). 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych. Współadministratorzy ustalają, o którym mowa że w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają zakresie udzielania takiej informacji z uwagi na ważny interes publiczny, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania odpowiedzi na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; (w szczególności dotyczy to wspomagania żądań i oświadczeń w zakresie prawa do informowania i przejrzystej komunikacji, dostępu do danych osobowych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych osobowych, sprzeciwu wobec przetwarzania danych osobowych) właściwy będzie Współadministrator, który otrzymał dane żądanie lub oświadczenie. Jeżeli żądanie zostanie skierowane do Współadministratora, który nie jest właściwy do jego spełnienia, żądanie zostanie niezwłocznie przekazane właściwemu Współadministratorowi. W przypadku, gdy żądanie zostanie skierowane do kilku Współadministratorów, to każdy ze Współadministratorów zobowiązany będzie, do udzielenia ww. odpowiedzi, po wcześniejszym uzgodnieniu wspólnego stanowiska. 4. Niezależnie od powyższego, Współadministratorzy są zobowiązani współpracować między sobą w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw żądania osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą. W tym celu Współadministrator zobowiązany jest niezwłocznie poinformować drugiego Współadministratora o każdym żądaniu osoby uprawnionej w ramach wykonywania przez tę osobę praw wynikających z RODO oraz udzielać drugiemu Współadministratorowi wszelkich niezbędnych informacji w tym zakresie. 5. Strony zobowiązują się powstrzymywać od takich działań faktycznych lub prawnych, skierowała które mogłyby w jakikolwiek sposób naruszyć bezpieczeństwo danych osobowych albo narazić inną Stronę na odpowiedzialności cywilną, administracyjną lub karną. 6. Strony zobowiązują się do Podmiotu przetwarzającego korespondencję zawierającą żądanie wzajemnej współpracy przy realizacji obowiązków ciążących na Współadministratorach danych osobowych. 7. Strony wspólnie ustalają, iż mogą przetwarzać dane osobowe wyłącznie w zakresie wykonywania praw osoby określonych i w rozdziale III RODOcelach wskazanych w niniejszej umowie. Zmiana zakresu lub celu przetwarzania wymaga zmiany lub zawarcia nowej umowy i jest możliwa tylko przy zagwarantowaniu, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie iż odbywa się to zgodnie z przepisami prawa. 8. W przypadku przetwarzania danych osobowych w związku ze złożonym żądaniemramach systemów informatycznych (przez co rozumie się zespół urządzeń, chyba że poleci mu to Beneficjent,sieci i oprogramowania za pośrednictwem którego przetwarzane są dane osobowe), Strony przed rozpoczęciem przetwarzania danych muszą zapewnić możliwość autoryzacji, autentykacji, rozliczalności działań Użytkowników takiego Systemu oraz zapewnić bezpieczeństwo informatyczne zgromadzonych danych. 14) 9. W przypadku przetwarzania danych osobowych w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych ramach systemu informatycznego Strony wskazują, iż każdy Współadministrator samodzielnie decyduje, której z osób upoważnionych przez niego terminie nadaje status użytkownika takiego systemu informatycznego, z zastrzeżeniem, że Użytkownikami, mogą być wyłącznie pracownicy lub reprezentanci Współadministratora oraz osoby współpracujące z Współadministratorem w oparciu o umowę o dzieło lub umowę zlecenie, praktykanci, stażyści lub wolontariusze, jeśli pozostają w stałej współpracy ze Współadministratorem i formie wywiązywać ich status jako użytkownika jest uzasadniony z punktu widzenia celów przetwarzania danych za pośrednictwem takiego systemu informatycznego oraz pod warunkiem, iż otrzymali od Współadministratora odpowiednie upoważnienie do przetwarzania danych osobowych i zostali zobowiązani do zachowania w poufności przetwarzanych danych. 10. Każdy ze Współadministratorów obowiązany jest do bieżącego aktualizowania danych osobowych, które udostępnił pozostałym Współadministratorom i odpowiada za ich dokładność i aktualność. 11. Współadministratorzy ustalają, że w zakresie wywiązywania się przez Współadministratorów z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) w zakresie zarządzania naruszeniami ochrony danych osobowych oraz ich zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania do organu nadzoru oraz osoby, której dane dotyczą, właściwy będzie Współadministrator, którego działanie doprowadziło do naruszenia. W przypadku, gdy naruszenie zostanie stwierdzone przez kilku Współadministratorów (at.. gdy zostało zgłoszone obydwu Współadministratorom), to właściwy do wykonania obowiązków określonych art– 33 - 34 RODO będzie ten Współadministrator, z którego działania bądź zaniechania naruszenie wynikło. 12. Niezależnie od powyższego, Współadministratorzy są zobowiązani współpracować między sobą w zakresie spełniania obowiązków określonych w art. 33 -34 RODO. W tym celu Współadministrator zobowiązany jest niezwłocznie poinformować pozostałych Współadministratorów o każdym stwierdzonym naruszeniu ochrony Danych osobowych zgodnie Osobowych, podjętych w związku z artnaruszeniem krokach, treści zgłoszenia przekazanego organowi nadzorczemu w związku z naruszeniem oraz udzielić pozostałym Współadministratorom wszelkich niezbędnych informacji w tym zakresie. 13. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, Każdy Współadministrator jest zobowiązany we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania własnym zakresie prowadzić rejestr czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjenta. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych którym mowa w imieniu Beneficjenta zgodnie z art. 30 ustRODO. 14. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanieWszelka korespondencja pomiędzy Współadministratorami dotycząca danych osobowych powinna być przesyłana w sposób zapewniający bezpieczeństwo przekazywanych informacji.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by aby przetwarzanie spełniało wymogi RODO Rozporządzenia i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny jest do przetwarzania danych zgodnie z RODO, przepisami z zakresu ochrony danych osobowych i innymi powszechnie obowiązującymi przepisamiprzepisami prawa. Podmiot przetwarzający może otrzymać od Administratora także instrukcje/rekomendacje dla właściwego przetwarzania powierzonych danych osobowych, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjentaktóre nie będą miały jednak charakteru wiążącego dla Podmiotu przetwarzającego a może on rozważyć ich ewentualne wdrożenie. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe przetwarzane są wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawaAdministratora. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie Polecenie oraz upoważnienie Administratora dla osoby działającej z upoważnienia w imieniu Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu zgodnie z art. 28 ust. 3 lit. a w zw. z art. 29 RODO,Rozporządzenia rozumie się jako założenie przez fizjoterapeutę konta w aplikacji Finezjo oraz chęć skorzystania z jej funkcjonalności. 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) Podmiot przetwarzający zobowiązuje się także dopuszczać do przetwarzania Danych osobowych powierzonych danych wyłącznie osoby do tego upoważnione, 5) upoważnione a także dopuszczać do ich przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego,. 9) podejmować 4. KIF podejmuje wszelkie środki wymagane zgodnie z art. 32 RODORozporządzenia, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szczególności poprzez pseudonimizację, szyfrowanie Danych osobowych, b) oraz zdolność do ciągłego zapewnienia zasad poufności, integralności, dostępności i odporności systemów systemów. 5. Podmiot przetwarzający w miarę swoich możliwości a także w przypadku zaistnienia takiej konieczności wykazuje chęć i usług przetwarzania, c) zdolność zobowiązuje się do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i udzielenia na żądanie Beneficjenta pomagać Beneficjentowi Administratora wsparcia w wyznaczonym przez niego terminie i formiezakresie wykazania zgodności z przepisami o ochronie danych osobowych w ramach zawartej Umowy oraz także wypełnienia ewentualnych żądań osób, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się których dane dotyczą (rozdział III Rozporządzenia) a mających związek z obowiązku odpowiadania na żądania Umową. KIF przekaże bez zbędnej zwłoki do Administratora ewentualne żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent,. 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać 6. KIF bez zbędnej zwłoki zobowiązuje się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta Administratora o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek powierzonych danych osobowych a także wydanej decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania sądowym bądź prowadzonej przez organ nadzorczy kontroli w tym zakresie. 7. Po stwierdzeniu naruszenia w zakresie powierzonych danych osobowych Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizowaćzgłasza je Administratorowi, poprawiaćpodając wszystkie informacje dotyczące tego naruszenia, zmieniaćw tym w szczególności w miarę możliwości datę, anonimizowaćczas trwania i miejsce zdarzenia oraz opis naruszenia, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjentajego charakter a także wskazanie osób, których dotyczy naruszenie oraz przybliżony skutek. Zgłoszenie może zostać przekazane przez Podmiot przetwarzający na adres e-mail Administratora. 8. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzaniainformacji, o których mowa w ust. 7, nie da się udzielić w tym samym czasie, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentawinien ich udzielać sukcesywnie bez zbędnej zwłoki. 39. Administrator może podjąć bezpośredni kontakt z Inspektorem ochrony danych powołanym przez Podmiot przetwarzający pod adresem e-mail: xxx@xxx.xxxx.xx. 10. Podmiot przetwarzający będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z podmiotów podprzetwarzających dla celów niezbędnych do realizacji Umowy oraz świadczenia usługi w zakresie aplikacji elektronicznej dokumentacji medycznej. Zgoda ta obejmuje również transfer powierzonych danych do państw trzecich w rozumieniu przepisów Rozporządzenia przy zachowaniu odpowiednich zabezpieczeń oraz legalności. 11. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z przypadkach określonych w art. 30 ust. 2-5 RODO2 Rozporządzenia do prowadzenia rejestru kategorii czynności przetwarzania, jak również udostępniać go Beneficjentowi na jego żądaniezawierającego następujące informacje: a) imię i nazwisko lub nazwa oraz dane kontaktowe Podmiotu przetwarzającego lub podmiotów przetwarzających oraz administratora, w imieniu którego działa Podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub Podmiotu przetwarzającego oraz inspektora ochrony danych; b) kategorie przetwarzań dokonywanych w imieniu administratora; c) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia, dokumentacja odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by aby przetwarzanie spełniało wymogi RODO Rozporządzenia i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny jest do przetwarzania danych zgodnie z RODO, przepisami z zakresu ochrony danych osobowych i innymi powszechnie obowiązującymi przepisamiprzepisami prawa. Podmiot przetwarzający może otrzymać od Administratora także instrukcje/rekomendacje dla właściwego przetwarzania powierzonych danych osobowych, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjentaktóre nie będą miały jednak charakteru wiążącego dla Podmiotu przetwarzającego a może on rozważyć ich ewentualne wdrożenie. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe przetwarzane są wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawaAdministratora. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie Polecenie oraz upoważnienie Administratora dla osoby działającej z upoważnienia w imieniu Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu zgodnie z art. 28 ust. 3 lit. a w zw. z art. 29 RODO,Rozporządzenia rozumie się jako założenie konta w aplikacji Finezjo oraz chęć skorzystania z jej funkcjonalności. 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) Podmiot przetwarzający zobowiązuje się także dopuszczać do przetwarzania Danych osobowych powierzonych danych wyłącznie osoby do tego upoważnione, 5) upoważnione a także dopuszczać do ich przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego,. 9) podejmować 4. KIF podejmuje wszelkie środki wymagane zgodnie z art. 32 RODORozporządzenia, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie poprzezwdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szczególności poprzez pseudonimizację, szyfrowanie Danych osobowych, b) oraz zdolność do ciągłego zapewnienia zasad poufności, integralności, dostępności i odporności systemów systemów. 5. Podmiot przetwarzający w miarę swoich możliwości a także w przypadku zaistnienia takiej konieczności wykazuje chęć i usług przetwarzania, c) zdolność zobowiązuje się do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i udzielenia na żądanie Beneficjenta pomagać Beneficjentowi Administratora wsparcia w wyznaczonym przez niego terminie i formiezakresie wykazania zgodności z przepisami o ochronie danych osobowych w ramach zawartej Umowy oraz także wypełnienia ewentualnych żądań osób, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się których dane dotyczą (rozdział III Rozporządzenia) a mających związek z obowiązku odpowiadania na żądania Umową. KIF przekaże bez zbędnej zwłoki do Administratora ewentualne żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent,. 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać 6. KIF bez zbędnej zwłoki zobowiązuje się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta Administratora o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek powierzonych danych osobowych a także wydanej decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez sądowym bądź prowadzonej przezorgan nadzorczy kontroli w tym zakresie. 7. Po stwierdzeniu naruszenia w zakresie powierzonych danych osobowych Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizowaćzgłasza je Administratorowi, poprawiaćpodając wszystkie informacje dotyczące tego naruszenia, zmieniaćw tym w szczególności w miarę możliwości datę, anonimizowaćczas trwania i miejsce zdarzenia oraz opis naruszenia, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjentajego charakter a także wskazanie osób, których dotyczy naruszenie oraz przybliżony skutek. Zgłoszenie może zostać przekazane przez Podmiot przetwarzający na adres e-mail Administratora. 8. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzaniainformacji, o których mowa w ust. 7, nie da się udzielić w tym samym czasie, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentawinien ich udzielać sukcesywnie bez zbędnej zwłoki. 39. Administrator może podjąć bezpośredni kontakt z Inspektorem ochrony danych powołanym przez Podmiot przetwarzający pod adresem e-mail: xxx@xxx.xxxx.xx. 10. Podmiot przetwarzający będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator udziela Podmiotowi przetwarzającemu ogólnej zgody na korzystanie z podmiotów podprzetwarzających dla celów niezbędnych do realizacji Umowy oraz świadczenia usługi w zakresie aplikacji elektronicznej dokumentacji medycznej. Zgoda ta obejmuje również transfer powierzonych danych do państw trzecich w rozumieniu przepisów Rozporządzenia przy zachowaniu odpowiednich zabezpieczeń oraz legalności. 11. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z przypadkach określonych w art. 30 ust. 2-5 RODO2 Rozporządzenia do prowadzenia rejestru kategorii czynności przetwarzania, jak również udostępniać go Beneficjentowi na jego żądaniezawierającego następujące informacje: a) imię i nazwisko lub nazwa oraz dane kontaktowe Podmiotu przetwarzającego lub podmiotów przetwarzających oraz administratora, w imieniu którego działa Podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub Podmiotu przetwarzającego oraz inspektora ochrony danych; b) kategorie przetwarzań dokonywanych w imieniu administratora; c) gdy ma to zastosowanie - przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia, dokumentacja odpowiednich zabezpieczeń; d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 Rozporządzenia.

Obowiązki Stron. 1Xxxxxx zobowiązują się, że dołożą wszelkich starań i będą zgodnie współpracować w wykonaniu niniejszej Umowy oraz będą się wspierać podczas dokonywania uzgodnień i koordynacji procesu przygotowania i wykonania Przedmiotu umowy. Podmiot przetwarzający Wykonawca zobowiązuje się do wykonania Przedmiotu Umowy, w szczególności opracowania i wykonania Portalu oraz przeniesienia praw autorskich majątkowych i/lub udzielenia licencji. Specyfikacja elementów i warunków, którym powinien odpowiadać Portal, określona jest w Szczegółowym Opisie Przedmiotu Zamówienia, stanowiącym Załącznik nr 1 do niniejszej Umowy. Portal, poza spełnieniem warunków określonych w Załączniku nr 1 do Umowy, powinien umożliwić Zamawiającemu samodzielne zamieszczanie na stronie internetowej informacji oraz treści, ich zmianę oraz dowolną edycję za pomocą Systemu Zarządzania Treścią (Content Management System)/panelu administracyjnego. Wykonawca oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych posiada niezbędne umiejętności oraz możliwości techniczne konieczne do wykonania Przedmiotu Umowy zgodnie z zamówieniem. Wykonawca oświadcza, że wykona Przedmiot Umowy przy wykorzystaniu materiałów, utworów, danych i organizacyjnychinformacji oraz programów komputerowych, by przetwarzanie spełniało wymogi RODO zgodnie z obowiązującymi przepisami prawa oraz bez naruszania praw osób trzecich, a w szczególności nie naruszając dóbr osobistych, majątkowych i chroniło prawa osóbosobistych praw autorskich, praw pokrewnych, praw do znaków towarowych lub wzorów użytkowych bądź innych praw własności intelektualnej, a także danych osobowych osób trzecich. Gdyby doszło do takiego naruszenia, wyłączną odpowiedzialność względem podmiotów, których dane dotycząprawa zostały naruszone, ponosi Wykonawca. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne W przypadku wystąpienia z roszczeniami przez osoby trzecie przeciwko Zamawiającemu z wyżej wymienionych tytułów, Wykonawca zobowiązuje się do ich zaspokojenia i organizacyjne zapewniające ochronę zwolnienia Zamawiającego od obowiązku świadczeń z tych tytułów. W trakcie trwania Umowy Wykonawca ma prawo wystąpić o udostępnienie materiałów – utrwalonych na nośniku dokumentów tekstowych, plików graficznych, dźwiękowych i bezpieczeństwo przetwarzanych danych osobowychfilmowych wymaganych do realizacji Przedmiotu Umowy, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż zaś Zamawiający w terminie 14 dni kalendarzowych od dnia otrzymania specyfikacji żądanych materiałów, zobowiązuje się dostarczyć je Wykonawcy, o ile będą w jego posiadaniu oraz o ile jest on uprawniony do ich wysłania udostępnienia. Wykonawca zobowiązuje się, w ramach opracowania i wykonania serwisu internetowego, do wdrożenia oprogramowania komputerowego - Systemu Zarządzania Treścią, w szczególności do instalacji i konfiguracji tego programu na potrzeby Zamawiającego na dowolnie wybranym przez Beneficjenta niego serwerze lub zapewnienia dostępu do takiego Systemu Zarządzania Treścią online oraz przeprowadzenia szkolenia wskazanych przez Zamawiającego pracowników. Wykonawca zainstaluje i skonfiguruje dostarczony przez siebie program, przy uwzględnieniu parametrów posiadanego przez Zamawiającego sprzętu i infrastruktury komunikacyjnej pomiędzy poszczególnymi stanowiskami pracy oraz zaproponowanych rozwiązań funkcjonowania programu w terminie uzgodnionym systemie informatycznym Zamawiającego. Wykonawca przeprowadzi dwa dwugodzinne szkolenia z obsługi programu dla osób wskazanych przez Zamawiającego. Szkolenie zostanie przeprowadzone online w godzinach ustalonych przez Strony, 2. Przedmiotem szkolenia będzie obsługa, użytkowanie, administrowanie i zarządzanie Portalem za pomocą CMS. Szkolenie będzie zorganizowane z wykorzystaniem środków technicznych i oprogramowania do porozumienia się na odległość (np. ZOOM, Microsoft Teams itp.) przetwarzać Dane osobowe wyłącznie zapewnionego przez Wykonawcę. Wykonawca przygotuje materiały szkoleniowe dotyczące obsługi programu – Systemu Zarządzania Treścią. Materiały będą mogłyby być wykorzystywane przez Zamawiającego i uprawnione przez niego osoby w celu zdobycia lub poszerzenia umiejętności związanych z obsługą wykonanego Portalu. Wykonawca oświadcza, że: przysługują mu prawa autorskie do poszczególnych elementów serwisu internetowego lub przysługują mu prawa autorskie do projektu graficznego i elementów graficznych Portalu oraz że jest on uprawniony do udzielenia niewyłącznej, nieograniczonej czasowo i terytorialnie licencji uprawniającej Zamawiającego do korzystania z oprogramowania komputerowego - Systemu Zarządzania Treścią (CMS) - dostarczanego przez Wykonawcę lub przysługują mu prawa autorskie do projektu graficznego i elementów graficznych Portalu oraz że jest on uprawniony do udzielenia niewyłącznej, nieograniczonej czasowo i terytorialnie licencji uprawniającej Zamawiającego do korzystania z oprogramowania komputerowego - Systemu Zarządzania Treścią (CMS) - udostępnionego w oparciu o licencje open – source. Wykonawca oświadcza, iż dostarczony System Zarządzania Treścią jest oparty na udokumentowane polecenie Beneficjentaplatformie …………………………………… Wykonawca jest odpowiedzialny względem Zamawiającego za wady fizyczne lub prawne prac zrealizowanych na podstawie Umowy, co dotyczy także przekazywania Danych osobowych zmniejszające ich wartość lub użyteczność ze względu na cel oznaczony w Umowie. Wykonawca zobowiązuje się do Państwa trzeciego podania kontroli realizacji Umowy ze strony Zamawiającego, Ministerstwa Rodziny i Polityki Społecznej lub organizacji międzynarodowejinnych organów kontrolnych. Wykonawca zobowiązuje się wykonywać swoje czynności zgodnie z obowiązującymi zasadami realizacji Programu Operacyjnego Wiedza Edukacja Rozwój, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemudostępnymi na stronach internetowych xxxx://xxx.xxxxxx.xxx.xx/. Wykonawca ponosi odpowiedzialność za działania lub zaniechania swoich podwykonawców, pracowników, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODOktórymi współpracuje przy realizacji przedmiotu niniejszej umowy, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentaza swoje własne. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem Umową oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez StronyAdministratora, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie BeneficjentaAdministratora, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 3) prowadzić rejestr wszystkich kategorii czynności przetwarzania, o którym mowa w art. 30 ust.2 RODO, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby osoby, które do tego upoważnioneupoważni, 5) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały zobowiązał do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczeniazabezpieczania, 6) zobowiązać osoby, także o których mowa w pkt.5 do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczania również po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych te osoby z danym podmiotem.Podmiotem przetwarzającym, 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającegoAdministratora, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) 8) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b9) zdolność do ciągłego zapewnienia poufnościpodejmować obowiązki informacyjne wynikające z art. 13 i 14 RODO wobec osób, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzaniaktórych Dane osobowe są przetwarzane przez Podmiot przetwarzający, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta Administratora pomagać Beneficjentowi Administratorowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta;, 1311) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta Administratora o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 1412) w razie potrzeby i na żądanie Beneficjenta Administratora pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie Administratorowi wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 1613) udostępniać Beneficjentowi Administratorowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu,Umowie. 1714) niezwłoczniePo stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Administratorowi. Zgłoszenie dokonywane jest na adres e-mail Administratora, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 Dni Roboczychdo Umowy. 15) Jeśli informacji w Zgłoszeniu, informować (o ile którym mowa w ust. 3 powyżej, nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez da się udzielić w tym samym czasie, Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki. 16) Podmiot przetwarzający Danych osobowychdokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze. 17) Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich podmiotom Danych osobowych,osobowych lub organowi nadzorczemu. 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości Pomiot przetwarzający nie jest uprawniony do dokonania dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentapowierzenia przetwarzania Danych Osobowych. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadczaPrzetwarzanie Danych dozwolone jest wyłącznie w celu określonym w §3 ust. 4 Umowy Powierzenia. 2. Wykorzystanie przez Pośrednika Finansowego powierzonych danych w celach innych niż określone Umową Powierzenia wymaga każdorazowo pisemnej zgody Powierzającego. 3. Pośrednik Finansowy w ramach realizacji przedmiotowej umowy zobowiązuje podmioty, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnychktórym podpowierzył przetwarzanie danych osobowych, by przetwarzanie spełniało wymogi RODO i chroniło prawa ażeby podmioty te zobowiązane były wobec osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności terealizacji obowiązków informacyjnych, o których mowa w art. 32 RODO13 i 14 RODO w imieniu i na rzecz Administratora Danych Osobowych. 24. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODODostęp do powierzonych Pośrednikowi Finansowemu Danych Osobowych mogą mieć jedynie pracownicy lub współpracownicy Pośrednika Finansowego, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) dopuszczać którzy otrzymali jego upoważnienie do przetwarzania Danych osobowych wyłącznie tych danych, poprzedzone złożeniem przez te osoby do tego upoważnione,oświadczenia o zachowaniu tych danych oraz sposobów ich zabezpieczenia w tajemnicy zarówno w trakcie zatrudnienia ich u Pośrednika Finansowego jak i po jego ustaniu. 5) dopuszczać do . Pośrednik Finansowy zobowiązany jest zapewnić bezpieczeństwo przetwarzania powierzonych Danych wyłącznie osoby, które zobowiązały się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających organizacyjnych, adekwatnych do rodzaju powierzonych danych oraz ryzyka naruszenia praw osób, których te dane dotyczą, aby zapewnić odpowiednio stopień bezpieczeństwa odpowiadający temu ryzykubezpieczeństwa, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich tym środki o których mowa w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO;32 Rozporządzenia. 11) przestrzegać warunków korzystania 6. Pośrednik Finansowy zobowiązany jest współpracować z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych Powierzającym w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania zakresie udzielania odpowiedzi na żądania osoby, której dane dotyczą, opisane w zakresie wykonywania jej praw określonych w rozdziale III RODO; art. 12-22 Rozporządzenia (w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osobyinformowanie i przejrzysta komunikacja, której Dane osobowe dotycządostęp do danych, w tym w zakresie prawa obowiązek informacyjny, prawo dostępu, prawa prawo do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, przenoszenia danych, prawo sprzeciwu). 7. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać Pośrednik Finansowy zobowiązuje się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta niezwłocznego poinformowania Powierzającego o tym, iż osobajakimkolwiek żądaniu otrzymanym bezpośrednio od osoby, której dane dotyczą. 8. Mając na uwadze charakter przetwarzania powierzonych danych oraz dostępnych Pośrednikowi Finansowemu informacji, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie zobowiązany jest on wspierać Powierzającego w wywiązywaniu się przez Powierzającego i Administratora Danych z obowiązków w zakresie wykonywania praw osoby określonych bezpieczeństwa danych opisanych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania 32-36 Rozporządzenia, w szczególności: zarządzania naruszeniami ochrony Danych Osobowych oraz ich zgłaszaniem do organu nadzoru oraz osoby, której dane dotyczą, o naruszeniu oceny skutków dla ochrony danych oraz konsultacjami z organem nadzoru. 9. Pośrednik Finansowy zobowiązany jest niezwłocznie w czasie do 24 godzin po stwierdzeniu naruszenia ochrony Danych osobowych zgodnie Osobowych poinformować Powierzającego o zaistniałej sytuacji. Informacja przekazana Powierzającemu powinna zawierać co najmniej: 9.1 opis charakteru naruszenia oraz, o ile to możliwe, wskazanie kategorii i przybliżonej liczby osób, których dane zostały naruszone i ilości/rodzaju danych, których naruszenie dotyczy; 9.2 imię, nazwisko i dane kontaktowe inspektora ochrony danych lub innej jednostki/osoby, z artktórą Powierzający lub Administrator Danych może kontaktować się w związku z wystąpieniem naruszenia; 9.3 opis możliwych konsekwencji naruszenia; 9.4 opis zastosowanych lub proponowanych do zastosowania przez Subprocesora/Pośrednika Finansowego środków w celu zaradzenia naruszeniu, w tym minimalizacji jego negatywnych skutków. 10. 34 RODO,Pośrednik Finansowy zobowiązuje się przekazywać Powierzającemu i Administratorowi Danych na ich żądanie informacje o stosowanych środkach zabezpieczenia powierzonych danych osobowych. d) dokonania oceny skutków planowanych operacji przetwarzania dla 11. Pośrednik Finansowy zobowiązuje się na bieżąco śledzić zmiany regulacji ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń Osobowych i wdrażać odpowiednie środki naprawczedostosowywać sposób przetwarzania danych, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie procedury wewnętrzne i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne sposoby zabezpieczenia Danych Osobowych do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentaaktualnych wymagań prawnych. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 1. Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODO. 2. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem Umową oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez StronyAdministratora, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie BeneficjentaAdministratora, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta W takim przypadku Podmiot przetwarzający informuje Administratora o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, osobowych przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 3) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby, które do tego upoważni, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały się zobowiązał do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem.tajemnicy, 65) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającegoAdministratora, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 96) podejmować wszelkie środki techniczne i organizacyjne wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 117) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 118-15 11 poniżej, 12) 8) w razie potrzeby i na żądanie Beneficjenta Administratora pomagać Beneficjentowi Administratorowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotyczą, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta;, 139) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta Administratora o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 1410) w razie potrzeby i na żądanie Beneficjenta Administratora pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie Administratorowi wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z określonych w art. 32 – 36 RODO, w tym stosować środki w celu zaradzenia Naruszeniom oraz w stosownych przypadkach środki w celu zminimalizowania ich ewentualnych negatywnych skutków, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 1611) udostępniać Beneficjentowi Administratorowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, żądanie wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu,Umowie. 17) niezwłocznie3. Po stwierdzeniu Naruszenia Podmiot przetwarzający bez zbędnej zwłoki, jednak nie później niż w ciągu terminie 24 godzin po stwierdzeniu Naruszenia, zgłasza je Administratorowi. Zgłoszenie dokonywane jest na adres e-mail Administratora, z wykorzystaniem wzoru stanowiącego Załącznik nr 2 Dni Roboczychdo Umowy. 4. Jeśli informacji w Zgłoszeniu, informować (o ile którym mowa w ust. 3 powyżej, nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez da się udzielić w tym samym czasie, Podmiot przetwarzający ma obowiązek ich udzielać sukcesywnie bez zbędnej zwłoki. 5. Podmiot przetwarzający dokumentuje wszelkie Naruszenia, w tym okoliczności Naruszenia, jego skutki oraz podjęte działania zaradcze. 6. Podmiot przetwarzający nie jest uprawniony do przekazywania informacji o Naruszeniu jakimkolwiek innym podmiotom, w szczególności podmiotom Danych osobowych lub organowi nadzorczemu. 7. Podmiot przetwarzający może korzystać wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. 8. Podmiot przetwarzający jest uprawniony do dokonania Podpowierzenia na rzecz podmiotów wskazanych w Załączniku nr 3 do Umowy. 9. Podmiot przetwarzający informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia podmiotów wskazanych w Załączniku nr 3 nie później niż w terminie 21 dni przed ich wprowadzeniem, a Administrator w tym terminie może wnieść sprzeciw wobec takich zmian, w którym wyjaśni podstawy do nieudzielenia akceptacji nowemu podmiotowi. Wniesienie sprzeciwu oznacza brak zgody na dodanie lub zastąpienie takiego podmiotu. W takim przypadku Stronom przysługuje prawo rozwiązania Umowy oraz Umowy głównej ze skutkiem natychmiastowym. 10. W przypadku, gdy Podmiot przetwarzający zamierza dokonać Podpowierzenia na rzecz podmiotu z państwa trzeciego, musi uzyskać uprzednią pisemną szczegółową zgodę Administratora. 11. Jeśli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Podmiot przetwarzający dokona Podpowierzenia, to Podmiot przetwarzający zapewnia, iż dalszy podmiot przetwarzający wypełnia te same obowiązki ochrony Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez jakie zostały w Umowie nałożone na Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjentaprzetwarzający. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu Beneficjenta zgodnie z art. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądanie.

Obowiązki Stron. 14.1. Podmiot przetwarzający Każda ze Stron zobowiązuje się Przetwarzać Powierzone Dane na warunkach i zgodnie z treścią obowiązujących w tym zakresie przepisów prawa. W szczególności Przetwarzanie Powierzonych Danych odbywało się będzie w zgodne z przepisami RODO oraz wydanych w związku z wejściem w życie RODO krajowych przepisów z zakresu ochrony Danych Osobowych. 4.2. W związku z powierzeniem Przetwarzania Powierzonych Danych Przetwarzający zobowiązuje się do: 4.2.1. Przetwarzania Powierzonych Danych wyłącznie na udokumentowane polecenie Administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakładają na Przetwarzającego przepisy powszechnie obowiązującego prawa. W takim przypadku przed rozpoczęciem Przetwarzania Przetwarzający poinformuje Administratora o takim obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 4.2.2. zapewnienia, że dostęp do Powierzonych Danych będą miały wyłącznie osoby, które będą posiadały odpowiednie upoważnienia w celu i zakresie wykonania obowiązków wynikających z Umowy oraz Umowy o współpracy, ze względu na pełnione stanowisko lub zakres obowiązków oraz że wszystkie osoby upoważnione do Przetwarzania Powierzonych Danych zostaną przeszkolone w zakresie ochrony danych osobowych oraz zostaną uprzednio zobowiązane do zachowania Powierzonych Danych w tajemnicy lub będą podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przez cały okres obowiązywania Umowy, jak również po jej wygaśnięciu, niezależnie od przyczyny; Przetwarzający zapewnia, że prowadzi ewidencję osób upoważnionych do Przetwarzania Powierzonych Danych; 4.2.3. wdrożenia i stosowania odpowiednich środków technicznych i organizacyjnych, wymaganych na mocy art. 32 RODO i według zasad i wytycznych zawartych w art. 32 RODO lub innych powszechnie obowiązujących przepisów prawa; biorąc pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele Przetwarzania oraz ryzyko naruszenia praw lub wolności osób, których Powierzone Dane dotyczą w celu zapewnienia odpowiedniego stopnia bezpieczeństwa Powierzonych Danych; 4.2.4. przestrzegania określonych w punkcie 5 Umowy zasad podpowierzenia Przetwarzania innemu podmiotowi; 4.2.5. aktywnej współpracy z Administratorem przy wykonywaniu obowiązków z obszaru ochrony danych osobowych, o których mowa w art. 32-36 RODO, przez cały okres trwania powierzenia Przetwarzania, w szczególności Przetwarzający biorąc pod uwagę charakter Przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będzie pomagał Administratorowi wywiązywać się z obowiązków względem Osób, których Dane Dotyczą oraz, uwzględniając charakter Przetwarzania oraz dostępne mu informacje, będzie pomagał Administratorowi wywiązywać się z obowiązków w zakresie zagwarantowania bezpieczeństwa Danych Osobowych; 4.2.6. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwiania Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzenie audytów, w tym inspekcji i przyczyniania się do nich; 4.2.7. niezwłocznego informowania Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie przepisów RODO lub innych przepisów Unii Europejskiej lub przepisów krajowych o ochronie danych osobowych, 4.3. Przetwarzający zobowiązuje się niezwłocznie zawiadomić Administratora o: 4.3.1. każdym prawnie umocowanym żądaniu udostępnienia Powierzonych Danych właściwemu organowi państwa, chyba że zakaz zawiadomienia Administratora wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia; 4.3.2. każdym nieupoważnionym dostępie do Powierzonych Danych; 4.3.3. każdym żądaniu otrzymanym bezpośrednio od Osoby, której Dane Przetwarza, w zakresie Przetwarzania dotyczącej jej Powierzonych Danych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba że zostanie do tego upoważniony przez Administratora. 4.4. Przetwarzający, w miarę istniejących możliwości, jest zobowiązany do pomocy Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania Osoby, której Dane Dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO, w tym między innymi prawa dostępu do Danych Osobowych, otrzymania kopii Danych Osobowych oraz sprostowania, uzupełnienia lub usunięcia Danych Osobowych. 4.5. Przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie Przetwarzanie spełniało wymogi RODO i chroniło prawa osóbOsób, których dane dotyczą. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotowuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę i bezpieczeństwo przetwarzanych danych osobowych, które uwzględniają warunki przetwarzania w szczególności te, o których mowa w art. 32 RODODane Dotyczą. 24.6. Podmiot przetwarzający zobowiązany jest: 1) przetwarzać Dane osobowe w sposób zgodny z RODO, innymi powszechnie obowiązującymi przepisami, Porozumieniem oraz instrukcjami wydawanymi przez Beneficjenta. Instrukcje podlegają wdrożeniu niezwłocznie, jednak nie później niż w terminie 14 dni od dnia ich wysłania przez Beneficjenta lub w terminie uzgodnionym przez Strony, 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Beneficjenta, co dotyczy także przekazywania Danych osobowych do Państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z powszechnie obowiązujących przepisów prawa. Poprzez zawarcie Porozumienia Beneficjent poleca przetwarzanie Danych osobowych Podmiotowi przetwarzającemu, a także każdej osobie działającej z upoważnienia Podmiotu przetwarzającego mającej dostęp do Danych osobowych, co stanowi udokumentowane polecenie w rozumieniu art. 28 ust. 3 lit. a w zw. z art. 29 RODO, 3) informować Beneficjenta o obowiązku prawnym przetwarzania Danych osobowych, o którym mowa w pkt. 2) powyżej, przed rozpoczęciem ich przetwarzania, chyba że powszechnie obowiązujące przepisy zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny, 4) dopuszczać do przetwarzania Danych osobowych wyłącznie osoby do tego upoważnione, 5) dopuszczać do przetwarzania Danych wyłącznie osoby, które zobowiązały Przetwarzający zobowiązuje się do zachowania tajemnicy lub które podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 6) zobowiązania podmiotów, o których mowa w ust. 11, by osoby upoważnione przez te podmioty do przetwarzania danych osobowych zobowiązane zostały do zachowania w tajemnicy danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z danym podmiotem. 7) do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 13 i art. 14 RODO. 8) zapewniać, by każda osoba działająca z upoważnienia Podmiotu przetwarzającego i mająca dostęp do Danych osobowych przetwarzała je wyłącznie na polecenie Podmiotu powierzającego, chyba że wymagają tego przepisy prawa unijnego lub polskiego, 9) podejmować wszelkie środki wymagane prowadzenia dokumentacji zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania RODO oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku, w szczególności: a) pseudonimizację i szyfrowanie Danych osobowych, b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, c) zdolność do szybkiego przywrócenia Danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, 10) zapewniać realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych zgodnie z art. 25 RODO; 11) przestrzegać warunków korzystania z usług podmiotu, któremu Podpowierza przetwarzanie Danych osobowych, wskazanych w ust. 11-15 poniżej, 12) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonym przez niego terminie i formie, poprzez odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO; w szczególności dotyczy to wspomagania w zakresie udzielania odpowiedzi na wniosek o korzystanie z praw osoby, której Dane osobowe dotycząinnymi przepisami powszechnie obowiązującymi, w tym w zakresie prawa dostępu, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania. Współpraca Podmiotu przetwarzającego z Beneficjentem w zakresie wskazanym w zdaniu poprzedzającym powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Beneficjenta; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz udostępniania powierzonych mu Danych osobowych (lub ich kopii) na żądanie Beneficjenta; 13) niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, informować Beneficjenta o tym, iż osoba, której dane dotyczą, skierowała do Podmiotu przetwarzającego korespondencję zawierającą żądanie w zakresie wykonywania praw osoby określonych w rozdziale III RODO, jak również udostępniać treść tej korespondencji; Podmiot przetwarzający nie jest uprawniony do samodzielnego udzielania jakichkolwiek informacji osobie w związku ze złożonym żądaniem, chyba że poleci mu to Beneficjent, 14) w razie potrzeby i na żądanie Beneficjenta pomagać Beneficjentowi w wyznaczonych przez niego terminie i formie wywiązywać się z następujących obowiązków: a) wypełniania obowiązków związanych z wdrożeniem odpowiednich środków technicznych organizacyjnych dla zapewnienia bezpieczeństwa przetwarzania przez Beneficjenta zgodnie z art. 32 RODO, b) zgłaszania Naruszenia organowi nadzorczemu zgodnie z art. 33 RODO, c) zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony Danych osobowych zgodnie z art. 34 RODO, d) dokonania oceny skutków planowanych operacji przetwarzania dla ochrony Danych osobowych zgodnie z art. 35 RODO, e) przeprowadzeniu konsultacji z organem nadzorczym zgodnie art. 36 RODO, 15) stosować odpowiednie środki pozwalające na wykrywanie Naruszeń i wdrażać odpowiednie środki naprawcze, w szczególności podejmować wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszeń, 16) udostępniać Beneficjentowi na jego żądanie, we wskazanych przez Xxxxxxx powierzający terminie i formie, wszelkie informacje niezbędne do wykazania spełnienia obowiązków wskazanych w przepisach RODO, innych powszechnie obowiązujących przepisach oraz w Porozumieniu, 17) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia powszechnie obowiązujących przepisów) Beneficjenta o jakimkolwiek postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający Danych osobowych, jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania Danych osobowych, skierowanych do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania przez Podmiot przetwarzający Danych osobowych, w szczególności prowadzonych przez Organ nadzorczy, jak również o wszelkich skargach osób, związanych z przetwarzaniem ich Danych osobowych, 18) przechowywać Dane osobowe tylko tak długo, jak to określi Beneficjent, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Beneficjenta. Jeśli takie działanie mogłoby powodować brak możliwości dalszego realizowania czynności przetwarzania, Podmiot przetwarzający poinformuje o tym Beneficjenta przed jego podjęciem, a następnie zastosuje się do polecenia Beneficjenta. 3. Podmiot przetwarzający zobowiązany jest prowadzić rejestr rejestru wszystkich kategorii czynności przetwarzania danych osobowych osobowych, dokonywanych w imieniu Beneficjenta zgodnie Administratora. 4.7. Przetwarzający jest obowiązany do zachowania w tajemnicy informacji związanych z artpacjentem uzyskanych w związku z realizacją Umowy. 30 ust. 2-5 RODO, jak również udostępniać go Beneficjentowi na jego żądaniePrzetwarzający jest związany tajemnicą także po śmierci pacjenta.