Common use of OŚWIADCZENIA I OBOWIĄZKI DALSZEGO PROCESORA Clause in Contracts

OŚWIADCZENIA I OBOWIĄZKI DALSZEGO PROCESORA. Dalszy Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Dalszy Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z: rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”); ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2018 r., poz. 1000, dalej jako: „Ustawa”). Dalszy Procesor jest zobowiązany: przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Procesora. Instrukcje (polecenia) są przekazywane przez Procesora drogą elektroniczną (przesyłane na adres e-mail Dalszego Procesora wskazany w Załączniku A); z zastrzeżeniem postanowień rozdziału 3, Dalszy Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Dalszego Procesora termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Procesora drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji. Instrukcje nie będą rozszerzać zakresu obowiązków Dalszego Procesora wynikających z Umowy ani Umowy głównej; przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Procesora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Dalszego Procesora wynika z przepisów prawa, informuje on Procesora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; przetwarzać Dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Dalszego Procesora i jego personel lub Procesora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Dalszego Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Dalszego Procesora, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Procesora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne; zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); wspierać Procesora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Dalszego Procesora z Procesorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Procesora; w związku z realizacją tego obowiązku Dalszy Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Procesora w terminie 2 Dni Roboczych w formie określonej przez Procesora; Dalszy Procesor powinien również niezwłocznie, jednak nie później niż w terminie 1 Dnia Roboczego, poinformować Procesora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Dalszego Procesora; Dalszy Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Procesora; pomagać Procesorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, tj. w szczególności w zakresie: - zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych; - dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (w rozumieniu art. 4 pkt 21 RODO) oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Dalszego Procesora w odniesieniu do zgłaszania naruszeń zostały określone w rozdziale 8 Umowy); - dokonywania przez Procesora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Procesora z organem nadzorczym; prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Xxxxxxxxx, zawierający informacje o: - nazwie oraz danych kontaktowych Dalszego Procesora oraz innych podmiotów przetwarzających (w przypadku podpowierzenia Danych osobowych, o którym mowa w rozdziale 4 Umowy) oraz Procesora, a także inspektora ochrony danych, gdy ma to zastosowanie; - kategoriach przetwarzań dokonywanych w imieniu Xxxxxxxxx; - gdy ma to zastosowanie – przekazywaniu Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej; - ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych; udostępniać Procesorowi, na każde jego żądanie, nie później niż w terminie 1 Dnia Roboczego, wszelkie informacje niezbędne do wykazania spełnienia przez Procesora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; umożliwiać Procesorowi lub audytorowi upoważnionemu przez Procesora przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy; niezwłocznie informować Xxxxxxxxx, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Procesorowi w formie elektronicznej (na adres e-mail wskazany w Załączniku A) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Dalszego Procesora został naruszony; niezwłocznie, jednak nie później niż w ciągu 1 Dnia Roboczego, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Procesora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania Danych osobowych przez Dalszego Procesora, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Dalszego Procesora, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania Danych osobowych przez Dalszego Procesora, w szczególności prowadzonych przez organ nadzoru, a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich Danych osobowych; przechowywać Dane osobowe tylko tak długo, jak to określił Procesor, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane Dane osobowe zgodnie z wytycznymi Procesora, Umową i Umową główną; prowadzić prace określone w Umowie głównej pod nadzorem osób wskazanych przez Xxxxxxxxx.