UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu r. w Babimoście
pomiędzy:
………………………………………….. z siedzibą pod adresem ,
wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy ………………, pod numerem KRS: …………………., NIP: …………………., REGON:
………………….,
reprezentowaną przez ,
zwaną dalej Podmiotem powierzającym,
a
Testportal spółka z ograniczoną odpowiedzialnością z siedzibą w Babimoście, Polska, Unia Europejska, pod adresem xx. Xxxxxxx 0, kod pocztowy 66 – 110, Polska, UE, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w Zielonej Górze Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000512302, NIP: 9731017273, REGON: 081208720,
reprezentowaną przez Krystiana Dąbrowskiego – Prezesa Zarządu, zwaną dalej Podmiotem przetwarzającym,
zwanymi dalej łącznie Stronami lub pojedynczo Stroną.
Mając na uwadze, iż Strony na podstawie regulaminu dostępnego na stronie xxx.xxxxxxxxxx.xxx lub na stronach powiązanych, zawarły Umowę o świadczenie usług drogą elektroniczną, zwaną dalej Umową o świadczenie usług, Strony zgodnie postanowiły, co następuje:
1. Przedmiot Umowy
Strony postanawiają, że w celu spełnienia obowiązków wynikających z przepisów prawa, a w szczególności przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych), zwanego dalej RODO, oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, zwanej dalej Ustawą, jak również w celu właściwej realizacji postanowień Umowy o świadczenie usług, Podmiot powierzający powierza Podmiotowi przetwarzającemu dane osobowe do przetwarzania, o których mowa w § 2 poniżej, w celu
świadczenia przez Podmiot przetwarzający usług wskazanych w Umowie o świadczenie usług, w zakresie i na zasadach określonych niniejszą Umową oraz z uwzględnieniem postanowień Umowy o świadczenie usług.
2. Zakres powierzonych danych
1. Podmiot powierzający powierza Podmiotowi przetwarzającemu do przetwarzania następujące dane osobowe:
a) Nazwiska i imiona użytkowników kont i subkont oraz autorów Testów online wprowadzanych przez Użytkownika, zwanych dalej „Testami”,
b) Adresy poczty elektronicznej e-mail użytkowników kont i subkont,
c) Dane osobowe Respondentów (tj. osób, które odpowiadają na pytania zawarte w udostępnionych im Testach) w zakresie, o którym mowa w ust. 3.
2. Dane osobowe o których mowa w ust. 1 pozyskiwane są od Użytkownika.
3. Dane pozyskiwane od Respondentów to:
a) Nazwiska i imiona,
b) Adres poczty elektronicznej e-mail,
c) inne: ……………………………………………………………………………………………
4. Podmiot powierzający jest jedyną Stroną odpowiedzialną za prawidłowe, pełne i aktualne określenie zakresu powierzenia, o którym mowa w ust. 1.
5. Podmiot powierzający zobowiązuje się do powierzenia danych osobowych Podmiotowi powierzającemu tylko w zakresie, jaki został wskazany w ust. 1 i 3 niniejszego paragrafu (a w szczególności, aby nie był szerszy) i do weryfikacji, czy zakres faktycznie powierzonych danych osobowych jest zgodny ze stanem ujawnionym.
6. Podmiot powierzający może w każdej chwili zmienić (rozszerzyć lub ograniczyć) zakres powierzenia wskazany w ust. 3.
7. Podmiot powierzający oświadcza, że nie będzie powierzał do przetwarzania Podmiotowi przetwarzającemu danych szczególnych kategorii w rozumieniu art. 9 RODO.
3. Oświadczenia Stron
1. Podmiot powierzający jako Administrator Danych Osobowych oświadcza, że powierzone Podmiotowi przetwarzającemu do przetwarzania dane osobowe zgromadził zgodnie z obowiązującymi przepisami prawa.
2. Podmiot przetwarzający oświadcza, że zobowiązuje się do wykorzystania danych osobowych wyłącznie w zakresie niezbędnym do realizacji Umowy o świadczenie usług oraz w celu w niej określonym.
4. Zobowiązania Stron
1. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu przez Podmiot powierzający dane osobowe wyłącznie na udokumentowane polecenie Podmiotu powierzającego. Przy czym za polecenie takie uważa się także korzystanie przez Podmiot powierzający z określonych usług, o których mowa w Umowie o świadczenie usług, oraz ich poszczególnych funkcjonalności.
2. Podmiot przetwarzający przy przetwarzaniu danych osobowych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem. Wypełnienie przez Xxxxxxx przetwarzający warunków, o których mowa w art. 28 ust. 1 RODO, zostało udokumentowane w ankiecie – weryfikacja podmiotu przetwarzającego, stanowiącej Załącznik nr 2 do niniejszej umowy.
3. W celu wykonania obowiązku, o którym mowa w ust. poprzednim, Podmiot przetwarzający zobowiązany jest prowadzić dokumentację opisującą sposób przetwarzania danych, w tym w szczególności rejestr kategorii przetwarzania danych osobowych.
4. Podmiot przetwarzający zobowiązuje się pomagać Podmiotowi powierzającemu wywiązywać się z obowiązków określonych w art. 32-36 RODO, uwzględniając charakter przetwarzania oraz dostępne mu informacje.
5. Podmiot przetwarzający nie jest uprawniony do przekazywania danych osobowych osobom trzecim, z wyłączeniem osób współpracujących lub pracujących dla Podmiotu przetwarzającego. W celu uniknięcia wątpliwości Strony ustalają, że w imieniu Xxxxxxxx przetwarzającego powierzone dane osobowe mogą przetwarzać wyłącznie osoby, które uprzednio uzyskały od niego pisemne upoważnienie. Każde upoważnienie lub jego cofnięcie Podmiot przetwarzający zobowiązany jest wpisać do prowadzonej przez niego „Ewidencji osób upoważnionych do przetwarzania danych osobowych”.
6. Podmiot przetwarzający zobowiązany jest do zebrania od swoich pracowników lub współpracowników, przy pomocy których realizować będzie przedmiot niniejszej Umowy oraz Umowy o świadczenie usług, oświadczeń o bezterminowym obowiązku zachowania w tajemnicy powierzonych danych osobowych. Podmiot przetwarzający zobowiązuje się okazać oświadczenia, o których mowa w zdaniu poprzedzającym, na każde uzasadnione żądanie Podmiotu powierzającego w terminie 7 dni roboczych od dnia odczytania zawiadomienia.
7. Podmiot przetwarzający zobowiązany jest do przeszkolenia swoich pracowników lub współpracowników w zakresie sposobów zabezpieczenia przetwarzanych danych, o których mowa w niniejszej Umowie.
8. Podmiot przetwarzający na żądanie zgłoszone przez Podmiot powierzający udostępni wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z RODO oraz obowiązków wynikających z niniejszej Umowy. Podmiot przetwarzający zobowiązuje się umożliwić Podmiotowi powierzającemu lub audytorowi przez niego upoważnionemu przeprowadzanie audytów, w tym inspekcji, oraz aktywnie w nich uczestniczyć. O terminie i formie kontroli lub przeprowadzanego audytu Podmiot powierzający będzie każdorazowo
informował Podmiot przetwarzający w sposób przyjęty przez Strony jako forma kontaktu, z 2 tygodniowym wyprzedzeniem. Audyt lub kontrola będą odbywać się w dniach i godzinach pracy Podmiotu przetwarzającego.
9. W razie stwierdzenia naruszenia ochrony powierzonych danych osobowych, Podmiot przetwarzający zobowiązany jest niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia takiej informacji, zgłosić to Podmiotowi powierzającemu, z uwzględnieniem przepisów art. 33 RODO.
5. Dalsze powierzenie przetwarzania danych osobowych
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy, wyłącznie w razie braku pisemnego sprzeciwu Podmiotu powierzającego w ciągu 7 dni od dnia uzyskania informacji od Podmiotu przetwarzającego o zamiarze dalszego powierzenia, z uwzględnieniem ust. 2 niniejszego paragrafu. Informacja o zamiarze dalszego powierzenia zostanie przekazana drogą elektroniczną, na adres e-mail przypisany do konta użytkownika (konta Podmiotu powierzającego). Powyższe dotyczy także przekazywania danych do państwa trzeciego lub organizacji międzynarodowej. Zgoda Podmiotu powierzającego nie jest wymagana jeśli obowiązek przekazania danych nakłada na Podmiot przetwarzający prawo polskie lub prawo Unii Europejskiej. W takim przypadku, przed rozpoczęciem przetwarzania, Podmiot przetwarzający poinformuje Podmiot powierzający o tym obowiązku, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2. Podmiot powierzający wyraża zgodę na dalsze powierzenie przetwarzania podwykonawcom, z którymi Podmiot przetwarzający współpracuje w momencie zawierania niniejszej umowy i którzy zostali wskazani w Załączniku nr 1 do niniejszej umowy. Administrator oświadcza, że współpraca z tymi podwykonawcami jest konieczna do prawidłowego realizowania Umowy o świadczenie usług oraz niniejszej umowy.
Dalsze powierzenie danych podmiotowi Ably Realtime Ltd (wskazany w Załączniku nr 1), może wiązać się z przechowywaniem danych na serwerach zlokalizowanych w Wielkiej Brytanii. W powyższym przypadku transfer danych odbywa się do państwa trzeciego, zapewniającego odpowiedni poziom ochrony, zgodnie z decyzją Komisji Europejskiej z dnia 28 czerwca 2021 r. (C(2021) 4800 final).
3. Podmiot, któremu zostanie powierzone przetwarzanie danych osobowych w ramach podpowierzenia, winien spełniać wymogi, do spełnienia których zobowiązany jest Podmiot przetwarzający, a także dawać gwarancję należytego wykonania obowiązków ochrony danych osobowych. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Podmiotu powierzającego za niewywiązanie się ze spoczywających na podmiocie, któremu pod- powierzył przetwarzanie danych osobowych, obowiązków ochrony danych osobowych.
4. W razie złożenia przez Xxxxxxx powierzający sprzeciwu, o którym mowa w ust. 1 niniejszego paragrafu, Podmiot przetwarzający będzie uprawniony do rozwiązania niniejszej umowy oraz
Umowy o świadczenie usług ze skutkiem natychmiastowym, gdyby dalsze powierzenie przetwarzania danemu podwykonawcy było konieczne do prawidłowego realizowania Umowy o świadczenie usług oraz niniejszej umowy.
6. Współdziałanie Stron
1. W trakcie obowiązywania niniejszej Umowy, Xxxxxx zobowiązują się ściśle współpracować - w tym za pośrednictwem Inspektorów Ochrony Danych, jeżeli zostali wyznaczeni przez którąkolwiek ze Stron - informując się wzajemnie o wszystkich okolicznościach mających lub mogących mieć wpływ na realizację niniejszej Umowy.
2. Podmiot przetwarzający ma obowiązek pomagać Podmiotowi powierzającemu jako Administratorowi Danych Osobowych w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie powierzonych do przetwarzania danych osobowych.
7. Odpowiedzialność
1. Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem niniejszej Umowy, zgodnie z przepisami RODO, Ustawy, innymi właściwymi przepisami prawa oraz postanowieniami niniejszej Umowy.
2. Przy określaniu odpowiedzialności cywilnoprawnej Podmiotu przetwarzającego stosuje się art. 82 ust. 2 RODO, zgodnie z którym Xxxxxxx przetwarzający odpowiada za szkody wyrządzone osobie trzeciej wyłącznie, gdy nie dopełnił obowiązków nałożonych na niego przez RODO, lub gdy działał poza zgodnymi z prawem poleceniami Podmiotu powierzającego lub wbrew takim poleceniom.
3. Podmiot powierzający, który zapłacił całość odszkodowania za szkodę wyrządzoną przetwarzaniem, w którym uczestniczył Podmiot przetwarzający, ma prawo żądać od Podmiotu przetwarzającego zwrotu części odszkodowania, zgodnie z warunkami określonymi w ust. poprzednim.
4. W przypadku wyrządzenia szkody przez Podmiot przetwarzający z winy nieumyślnej, odpowiedzialność regresowa Podmiotu przetwarzającego względem Podmiotu powierzającego, zostanie ograniczona:
a. do wysokości wynagrodzenia jakie otrzymał od Podmiotu powierzającego przez ostatnie 6 miesięcy w związku z wykonaniem Umowy o świadczenie usług - jeżeli łączny czas trwania Umowy o świadczenie usług przekracza 6 miesięcy,
b. do wysokości wynagrodzenia jakie otrzymał od Podmiotu powierzającego w związku z wykonaniem Umowy o świadczenie usług - jeżeli łączny czas trwania Umowy o świadczenie usług nie przekracza 6 miesięcy.
5. W przypadku wystąpienia przez osoby, których dane zostały powierzone do przetwarzania, z roszczeniami do Podmiotu powierzającego, Podmiot powierzający niezwłocznie poinformuje o
tym fakcie Podmiot przetwarzający. W przedmiotowym przypadku, gdyby Podmiot przetwarzający ponosił odpowiedzialność w zakresie roszczeń, o których mowa w zdaniu poprzedzającym (zgodnie z art. 82 ust. 2 RODO), Podmiot przetwarzający zobowiązany jest zwolnić Podmiot powierzający od odpowiedzialności, zwrócić poniesione z tego tytułu koszty (w tym koszty pomocy prawnej) oraz zaspokoić roszczenia takich osób w sposób przewidziany przepisami prawa.
6. W celu uniknięcia wątpliwości, Podmiot przetwarzający ponosi odpowiedzialność za działania lub zaniechania swoich pracowników i innych osób, przy pomocy których przetwarza powierzone dane osobowe, jak za własne działania lub zaniechania.
8. Czas trwania i wypowiedzenie Umowy
1. Niniejsza Xxxxx zostaje zawarta na czas obowiązywania Umowy o świadczenie usług.
2. Każda ze Xxxxx jest uprawniona do wypowiedzenia niniejszej Umowy z zachowaniem miesięcznego okresu wypowiedzenia, z zastrzeżeniem ust. 3 i 4 niniejszego paragrafu.
3. Podmiot powierzający uprawniony jest do rozwiązania niniejszej Umowy bez zachowania okresu wypowiedzenia ze skutkiem natychmiastowym:
a) - w przypadku rażącego naruszenia przez Podmiot przetwarzający celu i zakresu przetwarzania powierzonych danych osobowych określonych w niniejszej Umowie,
b) - jeżeli w wyniku kontroli PUODO zostanie wykazane, że Podmiot przetwarzający nie wdrożył środków technicznych i organizacyjnych, o których mowa w RODO, Ustawie lub innych właściwych przepisach prawa.
4. W przypadku rozwiązania niniejszej Umowy, Podmiot powierzający może w terminie 7 dni od zgłoszenia żądania usunięcia konta, pobrać powierzone dane za pośrednictwem tego konta. Celem zabezpieczenia funkcjonowania systemu, po upływie terminu wskazanego w zdaniu poprzednim, przez kolejne 7 dni dane mogą być przechowywane przez Podmiot przetwarzający w formie kopii zapasowych, z których nie można ich już odtworzyć na żądanie użytkownika. Po upływie tego terminu, dane zostaną bezpowrotnie usunięte przez Podmiot przetwarzający z systemu oraz wszelkich kopii zapasowych.
9. Postanowienia końcowe
1. Niniejsza Umowa wchodzi w życie z dniem jej podpisania przez obie Strony.
2. Podmiot przetwarzający nie może przenieść na inny podmiot praw i obowiązków wynikających z niniejszej Umowy bez uprzedniej pisemnej zgody Podmiotu powierzającego.
3. W sprawach nieuregulowanych niniejszą Umową zastosowanie mają obowiązujące przepisy prawa, w tym w szczególności przepisy RODO, Ustawy oraz Kodeksu cywilnego.
4. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją niniejszej Umowy jest sąd właściwy dla Podmiotu przetwarzającego.
5. Niniejszą Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym egzemplarzu dla każdej ze Stron.
Xxxxxxxx Xxxxxxxxx
………………………………… …………………………………
…………………………………
Imię i nazwisko Xxxx i nazwisko
…………………………………
Podpis Podpis
Podmiot powierzający Podmiot przetwarzający
ZAŁĄCZNIK NR 1 – wykaz aktualnych Podmiotów podprzetwarzających:
1) Microsoft Ireland Operations Limited, Xxx Xxxxxxxxx Xxxxx, Xxxxx Xxxxxx Xxxxxxxx Xxxx, Xxxxxxxxxxxx, Xxxxxx 00, Xxxxxxx, VAT number IE8256796U
2) Ably Realtime Ltd Labs Triangle, Xxxxx Xxxx Xx, Xxxxxx, XX0 0XX, Xxxxxx Xxxxxxx, company number 6946246, VAT number GB974747564
3) Amazon Web Services EMEA SARL 00 Xxxxxx Xxxx X. Xxxxxxx, X-0000 Xxxxxxxxxx R.C.S. Luxembourg: B186284
ZAŁĄCZNIK NR 2 Ankieta – weryfikacja podmiotu przetwarzającego
Obszar weryfikacji | L.P. | Pytanie | Odpowiedź: TAK/NIE | Ewentualne uwagi |
INFORMACJE OGÓLNE | 1. | Czy podmiot przetwarzający posiada doświadczenie w świadczeniu usług związanych z powierzeniem przetwarzania danych? Jeśli tak, to jak długie? | TAK | Z uwagi na charakter oraz skalę prowadzonej działalności – Podmiot przetwarzający w przeważającej części relacji biznesowych występuje jako procesor. Doświadczenie w przetwarzaniu jako procesor – od czerwca 2014 r. |
2. | Czy Podmiot przetwarzający wyznaczył inspektora ochrony danych? | TAK | ||
3. | Czy Podmiot przetwarzający posiada referencje od innych podmiotów, które obsługuje/obsługiwał w zakresie przetwarzania danych osobowych na ich zlecenie? | NIE | ||
4. | Czy stwierdzono prawomocną decyzją organu nadzorczego lub prawomocnym wyrokiem sądu naruszenie ochrony danych osobowych przez Podmiot przetwarzający? | NIE | ||
PERSONEL | 5. | Czy Podmiot przetwarzający zapewnia, że dostęp do powierzonych danych mają wyłącznie osoby upoważnione, które zostały jednocześnie zobowiązane do zachowania poufności danych (także po zakończeniu pracy/współpracy). Podmiot przetwarzający prowadzi rejestr osób upoważnionych. | TAK | |
6. | Czy osoby po stronie podmiotu przetwarzającego dedykowane do obsługi | TAK |
administratora danych zostały przeszkolone z zasad bezpiecznego przetwarzania danych osobowych i czy zostały zapoznane z przepisów obowiązujących w tym zakresie? | ||||
7. | Czy Podmiot przetwarzający podejmuje działania celem stałego podwyższenia świadomości i wiedzy o ochronie danych osobowych i bezpieczeństwie informacji osób, które przetwarzają dane osobowe w ramach swoich obowiązków służbowych? | TAK | ||
KONTROLA DOSTĘPU | 8. | Czy w pracy zdalnej do przetwarzania powierzanych danych osobowych wykorzystywany jest sprzęt prywatny? | NIE | Praca zdalna odbywa się na sprzęcie, który zapewnia Podmiot przetwarzający. |
9. | Czy urządzenia wykorzystywane do przetwarzania powierzonych danych osobowych w Podmiotu przetwarzającego posiadają skonfigurowaną kontrolę dostępu? | TAK | ||
10. | Czy osoby zatrudnione przez Podmiot przetwarzający – uczestniczące w przetwarzaniu powierzonych danych osobowych – otrzymują indywidualny identyfikator do systemów teleinformatycznych? | TAK | ||
11. | Czy hasła do systemów teleinformatycznych, z których korzysta Podmiot przetwarzający są zmieniane okresowo lub w razie zaistnienia takiej konieczności? | TAK | ||
WDROŻONE ZASADY I POLITYKI. KONTROLA PROCEDUR. | 12. | Czy Podmiot przetwarzający posiada opracowaną, zatwierdzoną i wdrożoną politykę ochrony danych osobowych lub inny dokument regulujący zasady | TAK | Podmiot przetwarzający wdrożył Politykę Ochrony Danych Osobowych. |
przetwarzania danych osobowych w organizacji? | ||||
13. | Czy Podmiot przetwarzający stosuje politykę czystego biurka i czystego ekranu? | TAK | ||
14. | Czy Podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania, rejestr osób upoważnionych oraz rejestr incydentów – zgodnie z przepisami RODO? | TAK | ||
15. | Czy Podmiot przetwarzający stosuje zatwierdzony kodeks postępowania lub mechanizm certyfikacji zgodnie z art. 40-42 RODO? | NIE | Do tej pory żadne kodeksy postępowania nie zostały ostatecznie zatwierdzone przez organ nadzorczy. | |
16. | Czy Podmiot przetwarzający zapewnia realizacje praw osób, których dane dotyczą, wskazanych w rozdziale III RODO? | TAK | ||
17. | Czy w ciągu ostatnich dwóch lat podmiot przetwarzający przeprowadzał audyt bezpieczeństwa teleinformatycznego? | TAK | ||
18. | Czy w ciągu ostatnich dwóch lat podmiot przetwarzający poddawał się zewnętrznej kontroli niezależnych audytorów w zakresie obowiązujących w jego organizacji zasad ochrony danych osobowych? | TAK | ||
19. | Czy Podmiot przetwarzający przeprowadza regularne audyty i kontrole w zakresie przestrzegania w organizacji przepisów związanych z ochroną danych osobowych? | TAK | ||
20. | Czy Podmiot przetwarzający dokonuje okresowego przeglądu ryzyka związanego z przetwarzaniem danych | TAK |
osobowych? | ||||
21. | Czy w przypadku zmiany poziomu ryzyka Podmiot przetwarzający dobiera nowe, odpowiednie środki techniczne i organizacyjne zabezpieczające dane, stosownie do wyników analizy? | TAK | ||
22. | Czy podmiot przetwarzający wdrażając nowe rozwiązania stosuje zasadę privacy by design? | TAK | ||
23. | Czy podmiot przetwarzający przetwarza dane zgodnie z zasadą privacy by default? | TAK | ||
24. | Czy podmiot przetwarzający wdrożył procedurę działania na wypadek wystąpienia naruszenia ochrony danych osobowych? | TAK | ||
25. | Czy podmiot przetwarzający jest w stanie wykazać odpowiednie wdrożenie zasad ochrony danych osobowych w organizacji? | TAK | ||
ZABEZPIECZENIA TECHNICZNE I FIZYCZNE | 26. | Czy oprogramowanie stosowane przez podmiot przetwarzający jest na bieżąco aktualizowane? | TAK | |
27. | Czy podmiot przetwarzający stosuje środki techniczne zabezpieczające system teleinformatyczny przed nieuprawnionym dostępem? Jeśli tak to jakie? | TAK | program anytywirusowy, zapora sieciowa (firewall), backupy (tworzenie kopii zapasowych plików), indywidualne loginy i hasła dla użytkowników urządzeń elektronicznych (w tym polityka minimalnych wymogów haseł) |
28. | Czy podmiot przetwarzający jest w stanie zapewnić przywrócenie dostępności danych osobowych w przypadku incydentu fizycznego lub technicznego? | TAK | ||
29. | Czy podmiot przetwarzający stosuje środki ochrony fizycznej, mające na celu zabezpieczenie przetwarzanych danych przed nieuprawnionym dostępem? Jeśli tak to jakie? | TAK | Monitoring zewnętrzny i wewnętrzny, drzwi zamykane na klucz. | |
30. | Czy w przypadku przekazywania danych za pośrednictwem system teleinformatycznych lub na nośnikach zewnętrznych, dane są szyfrowane? | TAK | ||
PODMIOTY PODPRZETWARZAJĄCE | 31. | Czy podmiot przetwarzający korzysta z rozwiązań chmurowych w procesie przetwarzania powierzonych danych osobowych? Jeśli tak to proszę wskazać dostawców. | TAK | AWS Cloud – chmura publiczna MS Xxxxx – chmura publiczna |
32. | Czy podmiot przetwarzający korzysta z usług podwykonawców, którym przekazuje powierzone dane. Jeśli tak to proszę wskazać podmioty. | TAK | Podmioty wskazane w załączniku nr 1. | |
33. | Czy z podwykonawcami wskazanymi w pkt. 31 została zawarta umowa powierzenia? | TAK | ||
34. | Czy podwykonawcy wskazani w pkt. 31 zostali zweryfikowani pod kątem wdrożenia odpowiednich środków ochrony danych osobowych? | TAK |
35. | Czy powierzone dane osobowe będą przetwarzane poza obszarem EOG? Jeśli tak to proszę wskazać szczegóły. | TAK | W związku z podpowierzeniem danych Ably Realtime Ltd Labs Triangle, może dojść do przetwarzania danych osobowych na terenie Wielkiej Brytanii. Decyzją KE z dnia 00 xxxxxxx 0000 x. Xxxxxx Xxxxxxxx została uznana za państwo trzecie spełniające odpowiedni poziom ochrony danych osobowych, zgodny z RODO. |