Common use of OŚWIADCZENIA I OBOWIĄZKI DALSZEGO PROCESORA Clause in Contracts

OŚWIADCZENIA I OBOWIĄZKI DALSZEGO PROCESORA. 2.1. Dalszy Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Dalszy Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z: 2.1.1. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”); 2.1.2. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2018 r., poz. 1000, dalej jako: „Ustawa”); 2.1.3. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2016 r., poz. 922 ze zm., dalej jako: „Ustawa”) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. 100, poz. 1024, dalej jako: „Rozporządzenie”) - których Dalszy Procesor zobowiązany był przestrzegać przed 25 maja 2018 r. 2.2. Dalszy Procesor jest zobowiązany: 2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Procesora. Instrukcje (polecenia) są przekazywane przez Procesora drogą elektroniczną (przesyłane na adres e-mail Dalszego Procesora wskazany w Załączniku A); z zastrzeżeniem postanowień rozdziału 3, Dalszy Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Dalszego Procesora termin 7- dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Procesora drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji. Instrukcje nie będą rozszerzać zakresu obowiązków Dalszego Procesora wynikających z Umowy ani Umowy głównej; 2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Procesora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Dalszego Procesora wynika z przepisów prawa, informuje on Procesora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 2.2.3. przetwarzać Dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Dalszego Procesora i jego personel lub Procesora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Dalszego Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Dalszego 2.2.5. zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 2.2.6. wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 2.2.7. wspierać Procesora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Dalszego Procesora z Procesorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Procesora; w związku z realizacją tego obowiązku Dalszy Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Procesora w terminie 2 Dni Roboczych w formie określonej przez Procesora; Dalszy Procesor powinien również niezwłocznie, jednak nie później niż w terminie 1 Dnia Roboczego, poinformować Procesora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Dalszego Procesora; Dalszy Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Procesora; 2.2.8. pomagać Procesorowi wywiązać się z obowiązków określonych w art. 32– 36 RODO, tj. w szczególności w zakresie: 2.2.9. xxxxxxxxx, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Xxxxxxxxx, zawierający informacje o: 2.2.10. udostępniać Procesorowi, na każde jego żądanie, nie później niż w terminie 1 Dnia Roboczego, wszelkie informacje niezbędne do wykazania spełnienia przez Procesora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 2.2.11. umożliwiać Procesorowi lub audytorowi upoważnionemu przez Procesora przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy; 2.2.12. niezwłocznie informować Xxxxxxxxx, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Procesorowi w formie elektronicznej (na adres e-mail wskazany w Załączniku A) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Dalszego Procesora został naruszony; 2.2.13. niezwłocznie, jednak nie później niż w ciągu 1 Dnia Xxxxxxxxx, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Procesora o jakimkolwiek postępowaniu, w szczególności 2.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Procesor, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Procesora i Umową główną; 2.2.15. prowadzić prace określone w Umowie głównej pod nadzorem osób wskazanych przez Procesora.

OŚWIADCZENIA I OBOWIĄZKI DALSZEGO PROCESORA. 2.1. Dalszy Procesor niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Dalszy Procesor oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z: 2.1.1. 2.1.1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”); 2.1.2. 2.1.2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2018 r., poz. 1000, dalej jako: „Ustawa”); 2.1.3. 2.1.3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2016 r., poz. 922 ze zm., dalej jako: „Ustawa”) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. 100, poz. 1024, dalej jako: „Rozporządzenie”) - których Dalszy Procesor zobowiązany był przestrzegać przed 25 maja 2018 r. 2.2. r. Dalszy Procesor jest zobowiązany: 2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Procesora. Instrukcje (polecenia) są przekazywane przez Procesora drogą elektroniczną (przesyłane na adres e-mail Dalszego Procesora wskazany w Załączniku A); z zastrzeżeniem postanowień rozdziału 3, Dalszy Procesor powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Dalszego Procesora termin 7- dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Procesora drogą elektroniczną (przesyłając informację na adres e-mail Procesora wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji. Instrukcje nie będą rozszerzać zakresu obowiązków Dalszego Procesora wynikających z Umowy ani Umowy głównej; 2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Procesora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Dalszego Procesora wynika z przepisów prawa, informuje on Procesora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 2.2.3. przetwarzać Dane osobowe wyłączenie w miejscu ustalonym w Umowie głównej oraz na urządzeniach zarządzanych przez Dalszego Procesora i jego personel lub Procesora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Dalszego Procesora upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Dalszego 2.2.5. zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 2.2.6. wdrożyć, zgodnie z wytycznymi wskazanymi w rozdziale 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 2.2.7. wspierać Procesora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Dalszego Procesora z Procesorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Procesora; w związku z realizacją tego obowiązku Dalszy Procesor jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Procesora w terminie 2 Dni Roboczych w formie określonej przez Procesora; Dalszy Procesor powinien również niezwłocznie, jednak nie później niż w terminie 1 Dnia Roboczego, poinformować Procesora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Dalszego Procesora; Dalszy Procesor nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Procesora; 2.2.8. pomagać Procesorowi wywiązać się z obowiązków określonych w art. 32– 36 RODO, tj. w szczególności w zakresie: 2.2.9. xxxxxxxxx, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Xxxxxxxxx, zawierający informacje o: 2.2.10. udostępniać Procesorowi, na każde jego żądanie, nie później niż w terminie 1 Dnia Roboczego, wszelkie informacje niezbędne do wykazania spełnienia przez Procesora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 2.2.11. umożliwiać Procesorowi lub audytorowi upoważnionemu przez Procesora przeprowadzanie audytów na zasadach określonych w rozdziale 6 Umowy; 2.2.12. niezwłocznie informować Xxxxxxxxx, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Procesorowi w formie elektronicznej (na adres e-mail wskazany w Załączniku A) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Dalszego Procesora został naruszony; 2.2.13. niezwłocznie, jednak nie później niż w ciągu 1 Dnia Xxxxxxxxx, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Procesora o jakimkolwiek postępowaniu, w szczególności 2.2.14. przechowywać Dane osobowe tylko tak długo, jak to określił Procesor, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Procesora i Umową główną; 2.2.15. prowadzić prace określone w Umowie głównej pod nadzorem osób wskazanych przez Procesora.