Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych. 2. Podmiot przetwarzający zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa. 4. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. 5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw. 6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych). 7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych. 8. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących ochrony danych osobowych. 9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytu, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu. 10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowy, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9. 11. Kontrolerzy administratora mają w szczególności prawo: 1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową; 2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych w zakresie niezbędnym do ustalenia stanu faktycznego; 3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii; 4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych. 12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów. 13. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Samples: Umowa Na Wykonanie Usługi
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w § 3 niniejszej Umowy. Przetwarzający zobowiązuje się przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem Administratora, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez Administratora, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej. Przetwarzający informuje Administratora przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest: wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zastosować spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne mające zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; współdziałać z Administratorem w wywiązywaniu się z obowiązków określonych w art. 32 - 36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Administratorowi informacje dotyczące stosowanych środków zabezpieczania danych osobowych, współdziałać z Administratorem w sytuacji naruszenia ochrony danych osobowych: niezwłocznie informować Administratora o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji, współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą, przekazywać informacje niezbędne Administratorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu, umożliwiać Administratorowi uczestnictwo w czynnościach wyjaśniających i informować Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzorczego. współdziałać z Administratorem w wywiązywaniu się z obowiązku odpowiadania na celu należyteżądania osób, odpowiednie których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO; niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych; stosować się do zagrożeń oraz kategorii ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych objętych ochronąosobowych, zabezpieczenie powierzonych w szczególności w zakresie stosowania RODO; dopuszczać do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza urządzeń w ramach których dane osobowe są przetwarzane, wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się osoby działające z obowiązku odpowiadania na żądania osoby, której dane dotycząjego upoważnienia, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych wydanych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytu; zapewnić, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowy, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w zakresie niezbędnym tajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego; prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 RODO. Przetwarzający zobowiązuje się do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich niezwłocznego, tj. w terminie umożliwiającym udział Administratora i/lub Powierzającego w czynnościach kontrolnych, poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeńosobowych przez Przetwarzającego, nośników oraz systemu informatycznego służącego do o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych.
12, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w zakresie danych osobowych. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji Administratora, do usunięcia lub zwrócenia Administratorowi wszelkich danych osobowych oraz sposobu do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany Administratorowi nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub Umowy głównej, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Planując dokonanie zmian w sposobie przetwarzania sporządzone danych osobowych, Przetwarzający ma obowiązek zastosować się do wymogów, o których mowa w wyniku audytu przeprowadzonego art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych albo osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisówPrzetwarzającego.
13. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Samples: Data Processing Agreement
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego Rodzaj i technicznego interesów Stron w zakresie zakres powierzonych do przetwarzania powierzonych danych osobowych oraz do dalszego przetwarzania danych osobowych, kategorie osób, których dane dotyczą jest określony w Załączniku nr 1 do Porozumienia. Zmiana Załącznika nr 1 przy zgodnej woli Stron nie wymaga sporządzenia aneksu do umowy. Zmiana Załącznika nr 1 nastąpi w szczególności w sytuacji konieczności podjęcia działań zmierzających do przymusowego wyegzekwowania świadczeń na podstawie zawartych umów przez MFR.
2. Podmiot przetwarzający zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii Określone niżej zasady przetwarzania danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania osobowych dotyczą zarówno danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionymktórych administratorem jest MFR, zabraniem przez osobę nieuprawnionąjak również danych osobowych, przetwarzaniem z naruszeniem przepisów prawadla których MFR jest podmiotem przetwarzającym, oraz zmianą, utratą, uszkodzeniem lub zniszczeniema które dalej powierza na rzecz IZ.
3. Podmiot przetwarzający oświadcza, że zastosowane do Celem powierzenia przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawaosobowych przez MFR na rzecz IZ oraz dalszego powierzenia przetwarzania danych osobowych przez MFR na rzecz IZ jest wykonanie przez MFR oraz IZ zadań wynikających z Umowy.
4. Podmiot przetwarzający przetwarza dane osobowe wyłącznie IZ w zakresie realizacji celu określonego w ust. 2 powyżej jest uprawniony do wykonywania następujących operacji na udokumentowane polecenie administratoradanych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
5. Podmiot przetwarzający, biorąc Przetwarzanie danych osobowych będzie się odbywać jednie na obszarze EOG. Przekazanie danych poza obszar EOG może nastąpić jedynie pod uwagę charakter przetwarzania, warunkiem spełnienia wymogów opisanych w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej prawrozdziale V RODO.
6. Podmiot przetwarzającyIZ może przetwarzać dane osobowe przez (i) okres obowiązywania Umowy, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady przez (UEii) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem okres od rozwiązania lub wygaśnięcia Umowy do czasu usunięcia danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych zgodnie z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopiepostanowieniami porozumienia, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytu, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowy, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do Strony ustalą inny termin przetwarzania danych osobowych w drodze odrębnego porozumienia oraz przez (iii) okres i w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów wymaganym przez przepisy prawa lub dla zabezpieczenia i wszelkich danych mających bezpośredni związek dochodzenia ewentualnych roszczeń z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowychUmowy.
12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie przetwarzania powierzonych danych osobowychi celu przewidzianym w § 3 niniejszej Umowy.
2. Podmiot przetwarzający Przetwarzający zobowiązuje się zastosować przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem Administratora i Powierzającego, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez Administratora i Powierzającego, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
3. Przetwarzający informuje Powierzającego przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO.
5. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne mające zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
b) współdziałać z Administratorem i Powierzającym w wywiązywaniu się z obowiązków określonych w art. 32 -36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Powierzającemu informacje dotyczące stosowanych środków zabezpieczania danych osobowych;
c) współdziałać z Powierzającym w sytuacji naruszenia ochrony danych osobowych:
i. niezwłocznie informować Powierzającego o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji,
ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą,
iii. przekazywać informacje niezbędne Powierzającemu do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu,
iv. umożliwiać Powierzającemu uczestnictwo w czynnościach wyjaśniających i informować Powierzającego o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi spełnienie obowiązku powiadomienia organu nadzoru.
d) współdziałać z Administratorem i Powierzającym w wywiązywaniu się z obowiązku odpowiadania na celu należyteżądania osób, odpowiednie których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
e) niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
f) stosować się do zagrożeń oraz kategorii ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych objętych ochronąosobowych, zabezpieczenie powierzonych w szczególności w zakresie stosowania RODO;
g) dopuszczać do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionymdo urządzeń w ramach, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza których dane osobowe są przetwarzane, wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się osoby działające z obowiązku odpowiadania na żądania osoby, której dane dotycząjego upoważnienia, w zakresie wykonywania jej prawwydanych przez Powierzającego udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych;
h) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w tajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego;
i) prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 RODO, o ile dotyczy.
6. Podmiot przetwarzającyPrzetwarzający zobowiązuje się do niezwłocznego, uwzględniając charakter tj. w terminie umożliwiającym udział Administratora i/lub Powierzającego w czynnościach kontrolnych, jednak nie później niż w ciągu 7 dni od powzięcia takiej informacji, poinformowania Przetwarzającego o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w sprawie swobodnego przepływu takich zakresie danych (ogólne rozporządzenie o ochronie danych)osobowych.
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji administratora Powierzającego, do usunięcia lub zwrócenia Powierzającemu wszelkich danych usuwa osobowych oraz do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany Powierzającemu nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopieUmowy głównej, chyba że szczególne przepisy prawa prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Przetwarzający ma obowiązek zastosować się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osobywymogów, o których mowa w §1 art. 25 ust. 41 RODO i ma obowiązek z wyprzedzeniem informować Powierzającego o planowanych zmianach w taki sposób i terminach, obowiązków dotyczących ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytuaby zapewnić Powierzającemu realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w tym inspekcji zgodności przetwarzania powierzonych opinii Powierzającego grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowyzwiększają ryzyko naruszenia praw lub wolności osób, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności wskutek przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowychPrzetwarzającego.
12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w W celu zabezpieczenia prawnego, organizacyjnego prawidłowego wykonania umowy i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.
2. Podmiot przetwarzający zobowiązuje się zastosować środki techniczne i organizacyjne mające niezbędnym do realizacji tego celu Zamawiający udostępni Wykonawcy, na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w podstawie art. 32–36 rozporządzenia 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
7dalej: RODO) zwykłe dane osobowe pracowników Zamawiającego wyznaczonych do współpracy z Wykonawcą i nadzoru nad realizacją umowy, w postaci imienia i nazwiska, stanowiska służbowego, adresu e-mail i numeru telefonu służbowego. Podmiot przetwarzający po zakończeniu świadczenia usług Wykonawca zobowiązuje się przetwarzać w/w dane osobowe wyłącznie dla celów związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie realizacją umowy, zgodnie z przepisami prawa powszechnie obowiązującego, chroniącymi prawa osób, których dane osobowe oraz usuwa wszelkie ich istniejące kopiete dotyczą, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8konieczność ujawnienia posiadanych informacji wynikać będzie z obowiązujących przepisów prawa. Podmiot przetwarzający Udostępnione dane nie będą profilowane. Wykonawca oświadcza, iż stosuje środki bezpieczeństwa, techniczne i organizacyjne, zapewniające bezpieczeństwo przetwarzanym danym osobowym, odpowiednie do stopnia ryzyka związanego z ich przetwarzaniem. Wykonawca zobowiązuje się do udzielenia Administratorowi danychnieudostępniania danych osobowych przetwarzanych w zakresie niniejszej umowy innym podmiotom, zarówno podczas trwania umowy jak i po jej ustaniu oraz do zagwarantowania, iż nie będą one udostępniane w sposób niedozwolony przez jego pracowników i współpracowników, z zastrzeżeniem pkt 6 poniżej. Wykonawca może udostępniać przekazane mu dane osobowe innym podmiotom jedynie w celu realizacji czynności niezbędnych do wykonania umowy (w tym podwykonawcom). Kolejne podmioty przetwarzające winny spełniać te same wymogi, jakie zostały nałożone na każde Wykonawcę. Czas przetwarzania w/w danych osobowych jest ograniczony do terminu zakończenia realizacji wszystkich obowiązków Wykonawcy wynikających z umowy i udzielonej rękojmi. Po upływie tego okresu udostępnione dane będą usunięte przez Wykonawcę ze wszystkich jego żądaniebaz danych (za wyłączeniem dokumentacji procesu inwestycyjnego, wszelkich informacji na temat przetwarzania danych powierzonych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym objętej obowiązkiem archiwizacji). W przypadku stwierdzenia naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących ochrony danych osobowych.
9, Wykonawca niezwłocznie (nie później niż w ciągu 24 godzin) zgłosi ten fakt Zamawiającemu. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytu, w tym inspekcji zgodności Wykonawca dopuści do przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowy, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych wyłącznie osoby posiadające stosowne imienne upoważnienia do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe . W tym celu Zamawiający upoważnia Wykonawcę do wystawiania i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione odwoływania imiennych upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji, o której mowa w art. 29 rozporządzenia, o którym mowa w ust. 2. Wykonawca odpowiada za szkody, jakie powstaną wobec Zamawiającego lub osób trzecich na skutek niezgodnego z umową przetwarzania danych osobowych lub ich ujawnienia bądź utraty. Wykonawca dopełni obowiązku informacyjnego o którym mowa w art.14 rozporządzenia wskazanego w ust.1 wobec osób, od których dane pozyska dane i przekaże dowód wykonania tego obowiązku do Zamawiającego. Administratorem danych osobowych pozyskanych przez Zamawiającego w związku z realizacją niniejszej umowy będzie Polska Agencja Inwestycji i Handlu SA (PAIH). Z inspektorem ochrony danych PAIH można kontaktować się za pośrednictwem adresu poczty elektronicznej: xxx@xxxx.xxx.xx Dane osobowe pozyskane w związku z realizacją umowy przetwarzane będą w celu zapewnienia jej prawidłowej realizacji, a ponadto w celach archiwalnych, w zakresie w jakim jest to niezbędne do wypełnienia obowiązków prawnych wykonywanych w interesie publicznym, ciążących na administratorze danych. Podstawą przetwarzania danych osobowych w związku z realizacją umowy jest prawnie uzasadniony interes Zamawiającego, obejmujący realizację Przedmiotu Umowy. Odbiorcą danych osobowych pozyskanych w związku z realizacją umowy mogą być: organy nadzorujące Zamawiającego, podmioty z Grupy PFR , organy administracji publicznej i sądy w zakresie niezbędnym do ustalenia stanu faktycznego;
3realizacji obowiązków umownych i rozstrzygania sporów. Dane osobowe pozyskane w związku z realizacją umowy nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej. Dane osobowe pozyskane w związku z realizacją umowy będą przechowywane: w celach związanych z realizacją niniejszej umowy do zakończenia wszelkich praw i obowiązków wynikających z umowy. W celach archiwalnych przez okres wskazany w odpowiednich przepisach zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach oraz przepisach wykonawczych do tej ustawy. Osoby fizyczne, których dane pozyskano w związku z realizacją umowy mają prawo żądania dostępu do swoich danych osobowych (art. 15 RODO) wglądu oraz prawo ich sprostowania (art. 16 RODO), usunięcia lub ograniczenia przetwarzania na zasadach określonych w art. 17 i 18 RODO Osoba, której dane osobowe są przetwarzane w związku z realizacją umowy ma prawo wnieść skargę do wszelkich dokumentów i wszelkich organu nadzorczego w przypadku uznania, że przetwarzanie jej danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania osobowych narusza przepisy o ochronie danych osobowych.
12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia Podanie danych osobowych oraz sposobu ich przetwarzania sporządzone jest dobrowolne. Niepodanie danych może uniemożliwić wypełnienie praw i obowiązków ustalonych w wyniku audytu przeprowadzonego przez Administratora umowie. Przy przetwarzaniu danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisówosobowych w związku z realizacją umowy Zamawiający nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania.
13. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Samples: Umowa
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie przetwarzania powierzonych danych osobowychi celu przewidzianym w § 3 niniejszej Umowy.
2. Podmiot przetwarzający Przetwarzający zobowiązuje się zastosować przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem OPS wydanym w imieniu Administratora, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez OPS w imieniu Xxxxxxxxxxxxxx, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
3. Przetwarzający informuje OPS przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO.
5. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne mające zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO, a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
b) współdziałać z O P S w wywiązywaniu się z obowiązków określonych w art. 32 -36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać OPS informacje dotyczące stosowanych środków zabezpieczania danych osobowych;
c) współdziałać z OPS w sytuacji naruszenia ochrony danych osobowych:
i. niezwłocznie informować OPS o podejrzeniach l u b stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji,
ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą,
iii. przekazywać za pośrednictwem OPS informacje niezbędne Administratorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu,
iv. umożliwiać OPS uczestnictwo w czynnościach wyjaśniających i informować OPS o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Administratorowi, za pośrednictwem OPS, spełnienie obowiązku powiadomienia organu nadzoru.
d) współdziałać z OPS w wywiązywaniu się z obowiązku odpowiadania na celu należyteżądania osób, odpowiednie których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
e) niezwłocznie informować OPS, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
f) stosować się do zagrożeń oraz kategorii ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych objętych ochronąosobowych, zabezpieczenie powierzonych w szczególności w zakresie stosowania RODO;
g) dopuszczać do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionymdo urządzeń w ramach, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza których dane osobowe są przetwarzane, wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się osoby działające z obowiązku odpowiadania na żądania osoby, której dane dotycząjego upoważnienia, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się wydanych przez OPS udokumentowanych poleceń i przeszkolone z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących zakresu ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytu, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowy, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2h) żądać złożenia pisemnych lub ustnych wyjaśnień przez zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w zakresie niezbędnym do ustalenia stanu faktycznegotajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego;
3i) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeńprowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu OPS działającego w imieniu Administratora, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowycho którym mowa w art. 30 RODO, o ile dotyczy.
126. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13. Podmiot przetwarzający Przetwarzający nie korzysta może skorzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danychOPS.
7. Przetwarzający zobowiązuje się do niezwłocznego, jednak nie później niż w ciągu 7 dni od powzięcia takiej informacji, poinformowania OPS o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w zakresie danych osobowych.
8. W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji OPS, do usunięcia lub zwrócenia OPS wszelkich danych osobowych oraz do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany OPS nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub Umowy głównej, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
9. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Przetwarzający ma obowiązek zastosować się do wymogów, o których mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować OPS o planowanych zmianach w taki sposób i terminach, aby zapewnić OPS realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii OPS grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Przetwarzającego.
Appears in 1 contract
Samples: Data Processing Agreement
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie przetwarzania powierzonych danych osobowychi celu przewidzianym w § 3 niniejszej Umowy.
2. Podmiot przetwarzający Przetwarzający zobowiązuje się zastosować przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem Administratora, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez Administratora, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
3. Przetwarzający informuje Administratora przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO.
5. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne mające zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
b) współdziałać z Administratorem w wywiązywaniu się z obowiązków określonych w art. 32 -36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Administratorowi informacje dotyczące stosowanych środków zabezpieczania danych osobowych,
c) współdziałać z Administratorem w sytuacji naruszenia ochrony danych osobowych:
i. niezwłocznie informować Administratora o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji,
ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą,
iii. przekazywać informacje niezbędne Administratorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu,
iv. umożliwiać Administratorowi uczestnictwo w czynnościach wyjaśniających i informować Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Xxxxxxxxxxxxxxxx spełnienie obowiązku powiadomienia organu nadzorczego.
d) współdziałać z Administratorem w wywiązywaniu się z obowiązku odpowiadania na celu należyteżądania osób, odpowiednie których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
e) niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
f) stosować się do zagrożeń oraz kategorii ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych objętych ochronąosobowych, zabezpieczenie powierzonych w szczególności w zakresie stosowania RODO;
g) dopuszczać do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza urządzeń w ramach których dane osobowe są przetwarzane, wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się osoby działające z obowiązku odpowiadania na żądania osoby, której dane dotycząjego upoważnienia, w zakresie wykonywania jej prawwydanych przez Administratora udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych;
h) zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w tajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego;
i) prowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, o którym mowa w art. 30 RODO.
6. Podmiot przetwarzającyPrzetwarzający zobowiązuje się do niezwłocznego, uwzględniając charakter tj. w terminie umożliwiającym udział Administratora i/lub Powierzającego w czynnościach kontrolnych, poinformowania Administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w sprawie swobodnego przepływu takich zakresie danych (ogólne rozporządzenie o ochronie danych)osobowych.
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji administratora Administratora, do usunięcia lub zwrócenia Administratorowi wszelkich danych usuwa osobowych oraz do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany Administratorowi nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopieUmowy głównej, chyba że szczególne przepisy prawa prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Przetwarzający ma obowiązek zastosować się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osobywymogów, o których mowa w §1 art. 25 ust. 41 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, obowiązków dotyczących ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi aby zapewnić Administratorowi danych przeprowadzenie audyturealną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w tym inspekcji zgodności przetwarzania powierzonych opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowyzwiększają ryzyko naruszenia praw lub wolności osób, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności wskutek przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowychPrzetwarzającego.
12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Samples: Data Processing Agreement
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.
2. Podmiot przetwarzający Wykonawca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający Wykonawca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający Wykonawca przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.
5Administratora. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi Administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora Administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje się udostępnia Administratorowi wszelkie informacje niezbędne do udzielenia wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych lub Audytorowi upoważnionemu przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytuprzeprowadzanie audytów, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowyinspekcji, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, i przyczynia się do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13nich. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Samples: Umowa O Zamówienie Publiczne
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron Przetwarzający może przetwarzać dane osobowe wyłącznie w zakresie przetwarzania powierzonych danych osobowychi celu przewidzianym w § 3 niniejszej Umowy.
2. Podmiot przetwarzający Przetwarzający zobowiązuje się zastosować przetwarzać dane osobowe zgodnie z udokumentowanym poleceniem Administratora, zawartym w Umowie, Umowie głównej lub w innym dokumencie wydanym przez Administratora, co dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej.
3. Przetwarzający informuje Administratora przed podjęciem przetwarzania polegającego na przekazywaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeśli wynika ono z obowiązku nałożonego na niego przez przepisy prawa Unii lub prawa krajowego, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
4. Przy przetwarzaniu danych osobowych, Przetwarzający powinien przestrzegać zasad wskazanych w niniejszej Umowie oraz RODO.
5. Przetwarzający podejmuje środki zabezpieczające dane osobowe, w szczególności obowiązany jest:
a) wdrożyć odpowiednie środki techniczne i organizacyjne, by przetwarzanie powierzonych danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą, w tym środki techniczne i organizacyjne mające zapewniające bezpieczeństwo przetwarzania, o którym mowa w art. 32 RODO a przede wszystkim powinien zabezpieczyć dane przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
b) współdziałać z Administratorem w wywiązywaniu się z obowiązków określonych w art. 32 -36 RODO, w szczególności Przetwarzający zobowiązuje się przekazywać Administratorowi informacje dotyczące stosowanych środków zabezpieczania danych osobowych,
c) współdziałać z Administratorem w sytuacji naruszenia ochrony danych osobowych:
i. niezwłocznie informować Administratora o podejrzeniach lub stwierdzonych przypadkach naruszenia ochrony danych osobowych, nie później niż w 24 godziny od powzięcia takiej informacji,
ii. współpracować przy ocenie naruszenia i ewentualnym zawiadamianiu o tym organu nadzorczego lub osób, których dane osobowe dotyczą,
iii. przekazywać informacje niezbędne Administratorowi do przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrożenia zaleceń organu,
iv. umożliwiać Administratorowi uczestnictwo w czynnościach wyjaśniających i informować Administratora o ustaleniach z chwilą ich dokonania, w szczególności o stwierdzeniu naruszenia, przy czym powiadomienie o stwierdzeniu naruszenia, powinno być przesłane wraz z wszelką niezbędną dokumentacją dotyczącą naruszenia, aby umożliwić Xxxxxxxxxxxxxxxx spełnienie obowiązku powiadomienia organu nadzoru.
d) współdziałać z Administratorem w wywiązywaniu się z obowiązku odpowiadania na celu należyteżądania osób, odpowiednie których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO;
e) niezwłocznie informować Administratora, jeżeli zdaniem Przetwarzającego wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych osobowych;
f) stosować się do zagrożeń oraz kategorii ewentualnych wskazówek lub zaleceń, wydanych przez krajowy organ nadzorczy lub Europejską Radę Ochrony Danych, dotyczących przetwarzania danych objętych ochronąosobowych, zabezpieczenie powierzonych w szczególności w zakresie stosowania RODO;
g) dopuszczać do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający przetwarza urządzeń w ramach których dane osobowe są przetwarzane, wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się osoby działające z obowiązku odpowiadania na żądania osoby, której dane dotycząjego upoważnienia, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje się do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych wydanych przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących udokumentowanych poleceń i przeszkolone z zakresu ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytu, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowy, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2h) żądać złożenia pisemnych lub ustnych wyjaśnień przez zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tych danych oraz sposobów ich zabezpieczeń w zakresie niezbędnym do ustalenia stanu faktycznegotajemnicy, lub zapewnić by osoby podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po realizacji Umowy lub ustaniu zatrudnienia u Przetwarzającego;
3i) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeńprowadzić rejestr kategorii czynności przetwarzania dokonywanych w imieniu Administratora, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowycho którym mowa w art. 30 RODO, o ile dotyczy.
126. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13. Podmiot przetwarzający Przetwarzający nie korzysta może skorzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora.
7. Przetwarzający zobowiązuje się do niezwłocznego, jednak nie później niż w ciągu 7 dni od powzięcia takiej informacji, poinformowania Administratora danycho jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania danych osobowych przez Przetwarzającego, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania danych osobowych, skierowanej do Przetwarzającego, a także o wszelkich kontrolach i inspekcjach dotyczących przetwarzania danych osobowych przez Przetwarzającego prowadzonych przez organ nadzorczy w zakresie danych osobowych.
8. W przypadku rozwiązania Umowy lub Umowy głównej Przetwarzający zobowiązany jest, zależnie od decyzji Administratora, do usunięcia lub zwrócenia Administratorowi wszelkich danych osobowych oraz do usunięcia wszelkich ich istniejących kopii i potwierdzenia tego faktu odpowiednim protokołem, który zostanie przekazany Administratorowi nie później niż w terminie 14 dni od dnia rozwiązania Umowy lub Umowy głównej, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
9. Planując dokonanie zmian w sposobie przetwarzania danych osobowych, Przetwarzający ma obowiązek zastosować się do wymogów, o których mowa w art. 25 ust. 1 RODO i ma obowiązek z wyprzedzeniem informować Administratora o planowanych zmianach w taki sposób i terminach, aby zapewnić Administratorowi realną możliwość reagowania, jeżeli planowane przez Przetwarzającego zmiany w opinii Administratora grożą uzgodnionemu poziomowi bezpieczeństwa danych osobowych lub zwiększają ryzyko naruszenia praw lub wolności osób, wskutek przetwarzania danych osobowych przez Przetwarzającego.
Appears in 1 contract
Samples: Data Processing Agreement
Zasady przetwarzania danych osobowych. 1. Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów Stron w zakresie przetwarzania powierzonych danych osobowych.
2. Podmiot przetwarzający Zleceniobiorca zobowiązuje się zastosować środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie powierzonych do przetwarzania danych osobowych, w szczególności zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
3. Podmiot przetwarzający Zleceniobiorca oświadcza, że zastosowane do przetwarzania powierzonych danych systemy informatyczne spełniają wymogi aktualnie obowiązujących przepisów prawa.
4. Podmiot przetwarzający Zleceniobiorca przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.
5. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.
6. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych).
7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora danych usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że szczególne przepisy prawa nakazują przechowywanie danych osobowych.
8. Podmiot przetwarzający zobowiązuje się udostępnia administratorowi wszelkie informacje niezbędne do udzielenia Administratorowi danych, na każde jego żądanie, wszelkich informacji na temat przetwarzania danych powierzonych wykazania spełnienia obowiązków określonych w niniejszej umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez Administratora danych, a w szczególności do niezwłocznego przekazywania informacji o każdym przypadku naruszenia przez niego lub osoby, o których mowa w §1 ust. 4, obowiązków dotyczących ochrony danych osobowych.
9. Podmiot przetwarzający umożliwi Administratorowi danych przeprowadzenie audytuadministratora przeprowadzanie audytów, w tym inspekcji zgodności przetwarzania powierzonych danych osobowych z Rozporządzeniem oraz z niniejszą umową. Zawiadomienie o zamiarze przeprowadzenia kontroli powinno być przekazane Podmiotowi przetwarzającymi co najmniej 3 dni robocze przed rozpoczęciem audytu.
10. W przypadku powzięcia przez administratora wiadomości o rażącym naruszeniu przez Przetwarzającego dane obowiązków wynikających z Rozporządzenia lub z niniejszej umowyinspekcji, Przetwarzający dane umożliwi administratorowi dokonanie niezapowiedzianej kontroli, w celu określonym w ust. 9.
11. Kontrolerzy administratora mają w szczególności prawo:
1) wstępu, w godzinach pracy Podmiotu przetwarzającego, za okazaniem imiennego upoważnienia, i przyczynia się do pomieszczenia, w którym jest zlokalizowany zbiór powierzonych do przetwarzania danych osobowych, oraz pomieszczenia, w którym są przetwarzane powierzone dane osobowe i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych osobowych z Rozporządzeniem oraz niniejszą umową;
2) żądać złożenia pisemnych lub ustnych wyjaśnień przez osoby upoważnione do przetwarzania danych osobowych w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemu informatycznego służącego do przetwarzania danych osobowych.
12. Podmiot przetwarzający zobowiązuje się zastosować zalecenia dotyczące poprawy jakości zabezpieczenia danych osobowych oraz sposobu ich przetwarzania sporządzone w wyniku audytu przeprowadzonego przez Administratora danych albo przez inne instytucje upoważnione do kontroli na podstawie odrębnych przepisów.
13nich. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora danych.
Appears in 1 contract
Samples: Data Processing Agreement