Common use of Oświadczenia i obowiązki Podmiotu przetwarzającego Clause in Contracts

Oświadczenia i obowiązki Podmiotu przetwarzającego. 1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”). 2. Podmiot przetwarzający jest zobowiązany: 1) przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail koordynatora Umowy wyznaczonego przez Podmiot przetwarzający); z zastrzeżeniem postanowień § 3, Podmiot przetwarzający powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Podmiotu przetwarzającego termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail koordynatora Umowy wyznaczonego przez Administratora) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora. Instrukcje nie będą rozszerzać zakresu obowiązków Podmiotu przetwarzającego wynikających z Umowy ani Umowy Głównej; 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 3) przetwarzać Dane osobowe wyłącznie w miejscu ustalonym w Umowie Głównej oraz na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 4) udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne; 5) zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 6) wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 7) wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Podmiotu przetwarzającego z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego; Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora; 8) biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO; 9) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o: a) nazwie oraz danych kontaktowych Podmiotu przetwarzającego oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie, b) kategoriach przetwarzań dokonywanych w imieniu Administratora, c) gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej, d) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych; 10) udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 11) umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6; 12) niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail koordynatora Umowy) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxx przetwarzającego został naruszony; 13) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych; 14) przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora;

Oświadczenia i obowiązki Podmiotu przetwarzającego. 1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”). 2. Podmiot przetwarzający jest zobowiązany: 1) przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail koordynatora Umowy wyznaczonego przez Podmiot przetwarzający); z zastrzeżeniem postanowień § 3, Podmiot przetwarzający powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Podmiotu przetwarzającego termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail koordynatora Umowy wyznaczonego przez Administratora) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora. Instrukcje nie będą rozszerzać zakresu obowiązków Podmiotu przetwarzającego wynikających z Umowy ani Umowy Głównej; 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 3) przetwarzać Dane osobowe wyłącznie w miejscu ustalonym w Umowie Głównej oraz na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 4) udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne; 5) zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 6) wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 7) wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Podmiotu przetwarzającego z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego; Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora; 8) biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO), tj. w szczególności w zakresie: a) zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz minimalnych środków, które zobowiązany jest wdrożyć Podmiot przetwarzający został określony w Załączniku B), b) dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (w rozumieniu art. 4 pkt. 21 RODO) oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Podmiotu przetwarzającego w odniesieniu do zgłaszania naruszeń zostały określone w § 8), c) dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym; 9) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o: a) nazwie oraz danych kontaktowych Podmiotu przetwarzającego oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie, b) kategoriach przetwarzań dokonywanych w imieniu Administratora, c) gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej, d) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych; 10) udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 11) umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6; 12) niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail koordynatora Umowy) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxx przetwarzającego został naruszony; 13) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych; 14) przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora;

Oświadczenia i obowiązki Podmiotu przetwarzającego. 1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”). 2. Podmiot przetwarzający jest zobowiązany: 1) przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail koordynatora Umowy wyznaczonego przez Podmiot przetwarzający); z zastrzeżeniem postanowień § 3, Podmiot przetwarzający powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Podmiotu przetwarzającego termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail koordynatora Umowy wyznaczonego przez Administratora) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora. Instrukcje nie będą rozszerzać zakresu obowiązków Podmiotu przetwarzającego wynikających z Umowy ani Umowy Głównej; 2) przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 3) przetwarzać Dane osobowe wyłącznie w miejscu ustalonym w Umowie Głównej oraz na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 4) udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne; 5) zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 6) wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 7) wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Podmiotu przetwarzającego z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego; Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora; 8) biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO), tj. w szczególności w zakresie: a) zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz minimalnych środków, które zobowiązany jest wdrożyć Podmiot przetwarzający został określony w Załączniku nr 2), b) dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (w rozumieniu art. 4 pkt. 21 RODO) oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Podmiotu przetwarzającego w odniesieniu do zgłaszania naruszeń zostały określone w § 8), c) dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym; 9) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o: a) nazwie oraz danych kontaktowych Podmiotu przetwarzającego oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie, b) kategoriach przetwarzań dokonywanych w imieniu Administratora, c) gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej, d) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych; 10) udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 11) umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6; 12) niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail koordynatora Umowy) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxx przetwarzającego został naruszony; 13) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych; 14) przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora;

Oświadczenia i obowiązki Podmiotu przetwarzającego. 1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”). 2. Podmiot przetwarzający jest zobowiązany: 1) : przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami Administratora. Instrukcje (polecenia) są przekazywane przez Administratora drogą elektroniczną (przesyłane na adres e-mail koordynatora Umowy wyznaczonego przez Podmiot przetwarzający); z zastrzeżeniem postanowień § 3, Podmiot przetwarzający powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Podmiotu przetwarzającego termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora drogą elektroniczną (przesyłając informację na adres e-mail koordynatora Umowy wyznaczonego przez Administratora) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji Administratora. Instrukcje nie będą rozszerzać zakresu obowiązków Podmiotu przetwarzającego wynikających z Umowy ani Umowy Głównej; 2) ; przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Administratora drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 3) ; przetwarzać Dane osobowe wyłącznie w miejscu ustalonym w Umowie Głównej oraz na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel lub Administratora, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 4) ; udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającego, która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie Administratora, chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne; 5) ; zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 6) ; wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 7) ; wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Podmiotu przetwarzającego z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego; Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora; 8) biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje ; pomagać Administratorowi wywiązać się z obowiązków określonych w RODO (w tym w szczególności w art. 32–36 RODO; 9), tj. w szczególności w zakresie: zapewnienia bezpieczeństwa przetwarzania Danych osobowych poprzez wdrożenie stosownych środków technicznych oraz organizacyjnych (wykaz minimalnych środków, które zobowiązany jest wdrożyć Podmiot przetwarzający został określony w Załączniku B), dokonywania zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu (w rozumieniu art. 4 pkt. 21 RODO) oraz zawiadamiania osób, których dane dotyczą o takim naruszeniu (obowiązki Podmiotu przetwarzającego w odniesieniu do zgłaszania naruszeń zostały określone w § 8), dokonywania przez Administratora oceny skutków dla ochrony danych oraz przeprowadzania konsultacji Administratora z organem nadzorczym; prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Administratora, zawierający informacje o: a) : nazwie oraz danych kontaktowych Podmiotu przetwarzającego oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie, b) , kategoriach przetwarzań dokonywanych w imieniu Administratora, c) , gdy ma to zastosowanie – przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej, d) , ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych; 10) ; udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 11) ; umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6; 12) ; niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail koordynatora Umowy) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxx przetwarzającego został naruszony; 13) ; niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych; 14) ; przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora;

Oświadczenia i obowiązki Podmiotu przetwarzającego. 12.1. Podmiot przetwarzający niniejszym oświadcza, że posiada zasoby infrastrukturalne, doświadczenie, wiedzę oraz wykwalifikowany personel, w zakresie umożliwiającym należyte wykonanie Umowy, w zgodzie z obowiązującymi przepisami prawa. W szczególności Podmiot przetwarzający oświadcza, że znane mu są zasady przetwarzania i zabezpieczenia Danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej jako: „RODO”). 22.2. Podmiot przetwarzający jest zobowiązany: 1) 2.2.1. przetwarzać Dane osobowe zgodnie z RODO, polskimi przepisami przyjętymi w celu umożliwienia stosowania RODO, innymi obowiązującymi przepisami prawa, Umową oraz instrukcjami AdministratoraPowierzającego. Instrukcje (polecenia) są przekazywane przez Administratora Powierzającego drogą elektroniczną (przesyłane na adres e-mail koordynatora Umowy wyznaczonego przez Podmiot przetwarzającyPodmiotu przetwarzającego wskazany w Załączniku A); z zastrzeżeniem postanowień § rozdziału 3, Podmiot przetwarzający powinien wdrożyć instrukcje niezwłocznie, jednak nie później niż w terminie 7 Dni Roboczych od ich otrzymania; jeżeli w ocenie Podmiotu przetwarzającego termin 7-dniowy jest zbyt krótki na realizację instrukcji, powinien poinformować o tym fakcie Administratora Powierzającego drogą elektroniczną (przesyłając informację na adres e-mail koordynatora Umowy wyznaczonego przez AdministratoraPowierzającego wskazany w Załączniku A) wskazując uzasadnienie dla takiej oceny; w takim przypadku Strony wspólnie ustalą późniejszy termin wdrożenia instrukcji AdministratoraPowierzającego. Instrukcje nie będą rozszerzać zakresu obowiązków Podmiotu przetwarzającego wynikających z Umowy ani Umowy Głównejgłównej; 2) 2.2.2. przetwarzać Dane osobowe wyłącznie na udokumentowane polecenie AdministratoraPowierzającego, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne. W sytuacji, gdy obowiązek przetwarzania danych osobowych przez Podmiot przetwarzający wynika z przepisów prawa, informuje on Administratora Powierzającego drogą elektroniczną – przed rozpoczęciem przetwarzania – o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 3) 2.2.3. przetwarzać Dane osobowe wyłącznie wyłączenie w miejscu ustalonym w Umowie Głównej głównej oraz na urządzeniach zarządzanych przez Podmiot przetwarzający i jego personel lub AdministratoraPowierzającego, z zachowaniem najwyższych zasad bezpieczeństwa i ochrony danych osobowych wymaganych przez obowiązujące przepisy prawa; 4) 2.2.4. udzielać dostępu do Danych osobowych wyłącznie osobom, które ze względu na zakres wykonywanych zadań otrzymały od Podmiotu przetwarzającego upoważnienie do ich przetwarzania oraz wyłącznie w celu wykonywania obowiązków wynikających z Umowy oraz podjąć działania mające na celu zapewnienie, by każda osoba fizyczna działająca z upoważnienia Podmiotu przetwarzającegoprzetwarzającego , która ma dostęp do Danych osobowych, przetwarzała je wyłącznie na polecenie AdministratoraPodmiotu przetwarzającego , chyba że przetwarzanie jest wymagane przez właściwe przepisy krajowe lub unijne; 5) zapewnić, aby osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy, chyba że są to osoby podlegające odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 6) wdrożyć, zgodnie z wytycznymi wskazanymi w § 3 Umowy, odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których Dane osobowe będą przetwarzane na podstawie Umowy oraz zapewnić realizację zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych (określonych w art. 25 RODO); 7) wspierać Administratora (w szczególności poprzez stosowanie odpowiednich środków technicznych i organizacyjnych) w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO. Współpraca Podmiotu przetwarzającego z Administratorem, w zakresie wskazanym w zdaniu poprzedzającym, powinna odbywać się w formie i terminie umożliwiającym realizację tych obowiązków Administratora; w związku z realizacją tego obowiązku Powierzający umocowuje Podmiot przetwarzający jest w szczególności zobowiązany do udzielania informacji oraz ujawnienia powierzonych danych osobowych (lub ich kopii) na żądanie Administratora w terminie 5 Dni Roboczych w formie określonej przez Administratora; Podmiot przetwarzający powinien również niezwłocznie, jednak nie później niż w terminie 2 Dni Roboczych, poinformować Administratora o wniosku dotyczącym realizacji praw osoby, której dane dotyczą, złożonym u Podmiotu przetwarzającego; Podmiot przetwarzający nie będzie jednak odpowiadał na taki wniosek bez uprzedniej zgody lub wyraźnego polecenia Administratora; 8) biorąc pod uwagę charakter przetwarzania oraz dostępne mu informacje pomagać Administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO; 9) prowadzić, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania dokonywanych wydawania i odwoływania upoważnień w imieniu Administratora, zawierający informacje o: a) nazwie oraz danych kontaktowych Podmiotu przetwarzającego oraz Administratora, a także inspektora ochrony danych, gdy ma to zastosowanie, b) kategoriach przetwarzań dokonywanych w imieniu Administratora, c) gdy ma to zastosowanie – przekazywaniu danych osobowych Administratora na wzorach zgodnych z treścią załącznika C do państwa trzeciego lub organizacji międzynarodowej, w tym nazwie tego państwa trzeciego lub organizacji międzynarodowej, d) ogólnym opisie technicznych i organizacyjnych środków bezpieczeństwa, służących do zabezpieczenia powierzonych danych osobowych; 10) udostępniać Administratorowi, na każde jego żądanie, nie później niż w terminie 3 Dni Roboczych, wszelkie informacje niezbędne do wykazania spełnienia przez Administratora obowiązków wynikających z właściwych przepisów prawa, w szczególności z RODO, w tym przekazywać informacje o stosowanych zabezpieczeniach, zidentyfikowanych zagrożeniach i incydentach w obszarze ochrony danych osobowych; 11) umożliwiać Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów na zasadach określonych w § 6; 12) niezwłocznie informować Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów krajowych lub unijnych o ochronie danych; informacja w tym przedmiocie przekazana powinna zostać Administratorowi w formie elektronicznej (na adres e-mail koordynatora Umowy) oraz powinna zawierać stosowne uzasadnienie i wskazanie przepisu prawa, który zdaniem Xxxxxxxx przetwarzającego został naruszony; 13) niezwłocznie, jednak nie później niż w ciągu 2 Dni Roboczych, informować (o ile nie doprowadzi to do naruszenia przepisów obowiązującego prawa) Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Podmiot przetwarzający, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych, skierowanej do Podmiotu przetwarzającego, o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Podmiot przetwarzający, w szczególności prowadzonych przez organ nadzorczy a także o wszelkich skargach osób, których dane dotyczą związanych z przetwarzaniem ich danych osobowych; 14) przechowywać Dane osobowe tylko tak długo, jak to określił Administrator, a także, bez zbędnej zwłoki, aktualizować, poprawiać, zmieniać, anonimizować, ograniczać przetwarzanie lub usuwać wskazane dane osobowe zgodnie z wytycznymi Administratora;