Contract
UMOWA z dnia . .20 której przedmiotem jest: ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przy sprzedaży towarów i wykonaniu usług (dalej: Umowa) | |
Zawartej pomiędzy: | |
XXXXXX XXXXXXXX I WSPÓLNICY S.J. NIP 9661789294 KRS 0000492040 Dalej: „ADMINISTRATOR/KLIENT” | Dalej „ZLECENIOBIORCA” |
Przedmiotem niniejszego dokumentu jest określenie zasad przetwarzania Danych osobowych przez Zleceniobiorcę w imieniu Administratora. Zleceniobiorca oświadcza, iż zapoznał się z rozporządzeniem (UE) 2016/679 (dalej: Rozporządzenie), a w szczególności z art. 28 Rozporządzenia, dotyczącym obowiązków nałożonych na każdy podmiot przetwarzający, działający w imieniu administratora danych osobowych. Zleceniobiorca oświadcza, że został poinformowany o swoim obowiązku przedstawienia gwarancji umownych, szczególnie w zakresie bezpieczeństwa, procedur przetwarzania i przekazywania danych osobowych. Zleceniobiorca uznaje, że niniejszy dokument ma na celu umożliwienie wykonania tych zobowiązań i stanowi element konieczny zlecenia, które mu powierzono i bez którego Administrator nie mógłby nawiązać z nim stosunku prawnego. | |
Rodzaj Danych osobowych powierzonych do przetwarzania | Dane zwykłe (niewrażliwe) |
Kategorie Danych osobowych powierzonych do przetwarzania: Klienci | Nazwisko i imiona NIP Klienci adres adres dostawy adres poczty elektronicznej numer telefonu |
Gdy w związku z wykonywaniem Umowy rodzaj lub kategorie powierzonych Danych osobowych będzie zmieniony w stosunku do wskazanego powyżej Administrator przekazuje stosowną informację w osobnym dokumencie, który przekazuje Zleceniobiorcy najpóźniej w momencie powierzenia tych Danych osobowych do dalszego przetwarzania. | |
ROZDZIAŁ 1: ZASADY OGÓLNE.
I. Definicje
„Dane osobowe”: oznacza wszelkie informacje (każdy ciąg pisma, znaków, cyfr lub liter) odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (dalej: „osoba, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba fizyczna, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby.
„Administrator”: oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania (w tym Xxxxxx Xxxxxxxx i wspólnicy sp.j.).
„Podmiot przetwarzający”: oznacza tutaj każdy podmiot, któremu Administrator powierzył czynności przetwarzania danych osobowych, w tym Zleceniobiorcę lub podmiot, który przetwarza te dane na rzecz Zleceniobiorcy, w rozumieniu przepisów o ochronie danych osobowych oraz Rozporządzenia.
„Przetwarzanie danych osobowych”: oznacza każdą operację lub zestaw operacji wykonywanych na Danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
„UE”: oznacza Unię Europejską.
„Państwo trzecie”: oznacza państwo nienależące do Unii Europejskiej.
„Przekazanie poza UE”: oznacza przekazywanie Danych osobowych z Państwa członkowskiego Unii Europejskiej do Państwa trzeciego albo umożliwienie dostępu do Danych osobowych znajdujących się na terenie Państwa członkowskiego Unii Europejskiej z terytorium Państwa trzeciego (np. udostępnianie na odległość bazy danych operatorom mającym siedziby w państwie nie należącym do Unii Europejskiej).
„Decyzja stwierdzająca odpowiedni stopień ochrony”: oznacza decyzję podjętą przez Komisję Europejską, która stwierdza, iż Państwo trzecie gwarantuje odpowiedni stopień ochrony Danych osobowych, ze względu na wymogi swojego prawa wewnętrznego lub umów międzynarodowych, których jest sygnatariuszem.
„Privacy Shield”: oznacza zasady wprowadzone decyzją Komisji Europejskiej z dnia 12 lipca 2016 r., pozwalające ustalić zakres wymiany Danych osobowych pomiędzy Państwem członkowskim Unii Europejskiej a przedsiębiorstwem mającym swoją siedzibę w Stanach Zjednoczonych.
„Naruszenie danych osobowych”: oznacza naruszenie zasad bezpieczeństwa, które prowadzi, w sposób przypadkowy bądź sprzeczny z prawem, do zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych bądź w inny sposób przetwarzanych.
II. Postanowienia ogólne
1. W razie sprzeczności pomiędzy niniejszym dokumentem a innymi postanowieniami Umowy, pierwszeństwo mają postanowienia niniejszego dokumentu.
2. Administratorem danych osobowych na potrzeby niniejszego dokumentu jest Xxxxxx Xxxxxxxx i wspólnicy sp.j. zwana również dalej „Klientem”, który przetwarza dane osobowe dotyczące swoich klientów, pracowników, kandydatów do pracy lub jakichkolwiek innych osób fizycznych.
3. Podmiot przetwarzający to określony w niniejszym dokumencie Zleceniobiorca, zobowiązany do zapewnienia wystarczających gwarancji - w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom Rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.
4. Każdy inny podmiot, z którego usług korzysta Zleceniobiorca, jest również uważany za Podmiot przetwarzający w rozumieniu przepisów o ochronie danych osobowych oraz niniejszego dokumentu.
III. Cel przetwarzania danych
Cele, w jakich przetwarzanie danych osobowych powierzone jest Zleceniobiorcy, są zdefiniowane przez Klienta jako Administratora. Zleceniobiorca działa wyłącznie na polecenie Klienta.
Przetwarzanie danych osobowych przez Zleceniobiorcę jest realizowane jedynie w zakresie niezbędnym do wykonania zobowiązań wynikających z Umowy, a wszelkie inne przetwarzanie bez wyraźnej, uprzedniej zgody Klienta jest zakazane.
W tym zakresie, Zleceniobiorca zobowiązuje się umożliwić Klientowi wykonywanie prawem przewidzianych obowiązków, w poszanowaniu praw osób zainteresowanych, w szczególności tych wymienionych w art. X niniejszego dokumentu „prawa osób zainteresowanych”.
Wszelkie inne wykorzystanie jest zabronione i pociąga za sobą odpowiedzialność Umowną, lub inną przewidzianą przepisami prawa, w tym odpowiedzialność karną lub cywilną.
IV. Miejsce przetwarzania Danych
Przetwarzanie danych osobowych odbywa się jedynie na terytorium Unii Europejskiej.
W wyjątkowych przypadkach, oraz jeśli wykonanie zobowiązania to uzasadnia, Przetwarzanie danych osobowych może być realizowane poza terytorium Unii Europejskiej, ale tylko po uzyskaniu wyraźnej, uprzedniej i pisemnej zgody Klienta.
W każdym przypadku, Zleceniobiorca przyjmuje do wiadomości, iż zgoda nie będzie mogła zostać udzielona, jeśli Przekazanie poza UE nie spełnia jednego z poniższych warunków:
a) Przetwarzanie jest realizowane w Państwie trzecim, w stosunku do którego została wydana Decyzja stwierdzająca odpowiedni stopień ochrony;
b) Przetwarzanie jest realizowane przez podmiot mający swoją siedzibę w Stanach Zjednoczonych i dysponujący certyfikatem Privacy Shield;
c) Przetwarzanie jest objęte standardowymi klauzulami umownymi określonymi przez Komisję Europejską. W takiej sytuacji, Xxxxxx włączają standardowe klauzule umowne do Umowy w drodze odesłania i zobowiązują się je zatwierdzić przed rozpoczęciem przetwarzania;
d) Przetwarzanie realizowane jest w ramach Binding Corporate Rules dotyczących Podmiotu przetwarzającego.
Jeśli jeden lub więcej warunków dotyczących zasad przekazania okazałby się nieważny, Xxxxxx zobowiązują się niezwłocznie spotkać w celu omówienia nowego sposobu przekazania danych.
V. Przetwarzanie danych w imieniu Administratora przez Podmiot przetwarzający
Dane osobowe nie będą przekazywane żadnemu innemu odbiorcy poza Zleceniobiorcą w zakresie świadczenia przez niego usług oraz jego podwykonawcom, również realizującym zobowiązania wynikające z Umowy.
Zleceniobiorca zobowiązuje się korzystać z usług podwykonawców w celu wykonania swoich zobowiązań wyłącznie po uzyskaniu wyraźnej, uprzedniej i pisemnej zgody Klienta, przy czym podwykonawcy mają również status „Podmiotów przetwarzających” w rozumieniu przepisów dotyczących ochrony danych osobowych.
W takiej sytuacji Zleceniobiorca zagwarantuje przestrzeganie przez Podmioty przetwarzające zobowiązań, których przestrzegania sam się niniejszym podejmuje, a w szczególności subprocesor będzie zobowiązany na podstawie pisemnej umowy do przestrzegania przepisów Rozporządzenia. Zleceniobiorca jest zobowiązany do zapewnienia wystarczających gwarancji wdrożenia i realizacji odpowiednich do przedmiotu umowy, środków technicznych i organizacyjnych, w tym zagwarantuje możliwość przeprowadzenia, na wniosek Administratora, także przy jego udziale, kontroli sposobu realizacji obowiązków wynikających z relacji umownych w zakresie podpowierzenia przetwarzania danych.
Z tego względu Zleceniobiorca sporządzi listę Podmiotów przetwarzających, związanych z przetwarzaniem danych osobowych, jak również listę państw, w których te podmioty działają na rzecz Zleceniobiorcy w ramach Umowy, w ciągu dwóch (2) tygodni od momentu pierwszego żądania przez Klienta.
Zleceniobiorca jest odpowiedzialny wobec Klienta za każde naruszenie zobowiązań wynikających z Umowy, przez niego samego lub przez każdą osobę działająca na jego rzecz lub na jego zlecenie.
W sytuacji, gdy Zleceniobiorca ma swoją siedzibę na terenie UE, a Klient wyrazi zgodę na zawarcie umowy z Podmiotem przetwarzającym mającym swoją siedzibę w Państwie trzecim, zgoda na zawarcie umowy z Podmiotem przetwarzającym będzie obejmowała upoważnienie do podpisania standardowych klauzul umownych (oprócz Privacy shield i Decyzji stwierdzającej odpowiedni stopień ochrony). Na pierwsze żądanie Zleceniobiorca dostarczy Klientowi standardowe klauzule umowne podpisane na jego rzecz z danym Podmiotem Przetwarzającym.
VI. Środki Bezpieczeństwa
Zleceniobiorca zastosuje środki organizacyjne i techniczne umożliwiające zapewnienie bezpieczeństwa fizycznego i informatycznego Danych osobowych na najwyższym stopniu czterech (4) poziomów wskazanych poniżej:
1. środki stosowane przez Zleceniobiorcę odnośnie jego własnych danych,
2. środki stosowane zgodnie z aktualnym poziomem rozwoju technicznego, w tym zwłaszcza na podstawie zaleceń wydawanych przez organy ochrony danych osobowych lub organy administracji właściwe w zakresie bezpieczeństwa informatycznego,
3. standardy obowiązujące w przemyśle, a w szczególności normy ISO,
4. środki stosowane przez Klienta odnośnie jego własnych danych.
Do obowiązków Zleceniobiorcy należy określenie odpowiednich środków bezpieczeństwa i przekazanie Klientowi informacji w tym zakresie najpóźniej w chwili zawarcia Umowy oraz na każde żądanie Klienta, lub w razie zmiany polityki bezpieczeństwa Zleceniobiorcy.
Zleceniobiorca, z uwagi na zawodowy charakter prowadzonej działalności w zakresie świadczenia usług, ma obowiązek udzielania rad i przekazywania ostrzeżeń odnośnie wszystkich wymienionych środków bezpieczeństwa.
VII. Zgłaszanie naruszeń
Zleceniobiorca zobowiązuje się do zawiadomienia Administratora, o każdym naruszeniu Danych osobowych w ciągu dwudziestu czterech (24) godzin od momentu wystąpienia tego naruszenia. W szczególności powinien przesłać stosowne zawiadomienie do Inspektora Danych Osobowych Administratora na adres xxxxx@xxxxxx.xx
Zgodnie z Rozporządzeniem, Zleceniobiorca przekazuje Klientowi wszelkie informacje niezbędne do wypełnienia wobec organu nadzoru obowiązku zgłoszenia i usunięcia naruszeń.
Z zastrzeżeniem przepisów obowiązującego prawa, Zleceniobiorca nie może prowadzić żadnych działań informacyjnych.
Po zakończeniu procedury związanej z Naruszeniami Zleceniobiorca prześle Klientowi podsumowanie w celu ułatwienia ustalenia okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości.
VIII - Wezwanie sądowe lub administracyjne
Z zastrzeżeniem poszanowania obowiązującego prawa, a szczególnie w razie obowiązku zachowania poufności, Zleceniobiorca zobowiązuje się zawiadomić Klienta o każdym wezwaniu do przekazania lub udostępnienia do wglądu Danych osobowych, wystosowanym przez sąd lub organ administracji, w ciągu dwudziestu czterech (24) godzin od otrzymania wezwania. Zleceniobiorca powstrzyma się jednocześnie od udzielenia jakiejkolwiek odpowiedzi do momentu otrzymania opinii Klienta.
Niemniej jednak, w razie obowiązku zachowania poufności odnośnie wezwań administracyjnych lub sądowych, Zleceniobiorca zobowiązuje się działać dyskretnie i przekazywać wyłącznie dane objęte wezwaniem i/lub wyłącznie te, które są niezbędne do wypełnienia przez Zleceniobiorcę jego obowiązków.
IX - Usuwanie danych
Zleceniobiorca zobowiązuje się usunąć wszelkie Xxxx osobowe w następujących sytuacjach:
• na pierwsze żądanie Klienta, lub
• w sytuacjach uzgodnionych wraz z Klientem przy zawarciu Umowy, lub
• niezwłocznie po upływie terminu przechowywania określonego w Umowie, chyba że Klient wyraźnie zgłosi odmienne żądanie.
W sytuacji, gdy Klient nie może usunąć bezpośrednio Danych osobowych, Zleceniobiorca zobowiązuje się usunąć wszystkie Dane osobowe w terminie dwóch (2) tygodni licząc od pierwszego żądania i przesłać Klientowi potwierdzenie ich usunięcia w terminie dwóch (2) tygodni licząc od pierwszego żądania Klienta dotyczącego przesłania potwierdzenia.
X. Prawa osób, których dane dotyczą
Zleceniobiorca zobowiązuje się zezwolić Klientowi na wykonywanie jego obowiązków prawem przewidzianych w związku z poszanowaniem praw osób, których dotyczy świadczenie, w tym:
• prawa dostępu: pobierania, w czytelnym formacie, informacji, którymi Zleceniobiorca dysponuje w ramach umowy z Klientem na temat Osoby, której dane dotyczą,
• prawa do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,
• prawa do ograniczenia przetwarzania,
• prawa do sprostowania albo usunięcia danych, łącznie z prawem żądania zaświadczenia o Sprostowaniu lub usunięciu,
• prawa do sprzeciwu,
• prawa do przenoszenia Danych osobowych.
W razie skierowania do Zleceniobiorcy żądania, bezpośrednio lub za pośrednictwem Podmiotu przetwarzającego, w przedmiocie wyżej wymienionych praw, Zleceniobiorca zobowiązuje się poinformować o nim Klienta w ciągu dwudziestu czterech (24) godzin od otrzymania żądania.
XI. Zwrot Danych
Celem wykonania obowiązku zwrotu przekazanych Danych osobowych Klient może w każdej chwili skierować do Zleceniobiorcy stosowne żądanie, a Zleceniobiorca winien udzielić mu wszelkiej pomocy w tym zakresie.
W każdym przypadku Zleceniobiorca musi przekazać Klientowi Dane osobowe w terminie dwóch (2) miesięcy od dnia faktycznego zakończenia świadczenia usług, chyba że Strony ustaliły inny termin.
Zleceniobiorca zobowiązuje się do przechowywania Danych osobowych co najmniej w formacie otwartym, zwyczajowo używanym i interoperacyjnym.
XII. Audyt
Na żądanie Klienta, Zleceniobiorca podda swoje środki techniczne, organizacyjne i/lub metodologiczne kontroli dotyczącej działań objętych niniejszymi postanowieniami. Przedmiotowa kontrola zostanie przeprowadzona przez służby audytu wewnętrznego Klienta lub przez organ kontrolny złożony z wybranych przez Klienta niezależnych członków posiadających wymagane kwalifikacje zawodowe, objętych obowiązkiem zachowania tajemnicy i nienależących do spółki bezpośrednio konkurencyjnej wobec Zleceniobiorcy w zakresie świadczeń objętych niniejszym dokumentem.
Klient zobowiązuje się do poinformowania Zleceniobiorcy na piśmie o wszczęciu kontroli z co najmniej dwu
(2) tygodniowym wyprzedzeniem.
W razie stwierdzenia podczas audytu nieprawidłowości, Zleceniobiorca podejmie na własny koszt działania niezbędne celem przywrócenia stanu zgodności względem postanowień niniejszego dokumentu oraz poniesie koszty przeprowadzonego audytu. Przywrócenie stanu zgodności nastąpi w terminie określonym wraz z Klientem i zostanie potwierdzone podpisanym dokumentem o przywróceniu stanu zgodności.
W przypadku, gdy Zleceniobiorca nie wyrazi zgody na przeprowadzenie kontroli, nie podejmie działań mających na celu przywrócenie stanu zgodności lub nie przeznaczy środków niezbędnych do zakończenia tych działań w uzgodnionym terminie, Klient zastrzega sobie prawo do zawieszenia uprawnienia Zleceniobiorcy do przetwarzania Danych osobowych i wykonywania związanych z tym świadczeń. Powołany brak zgody stanowi również ciężkie naruszenie postanowień Umowy, uprawniające do jej
natychmiastowego rozwiązania bez zachowania okresu wypowiedzenia, z wyłącznej winy Zleceniobiorcy, bez uprawnienia do żądania odszkodowania oraz bez konieczności przeprowadzania w tym celu jakiegokolwiek postępowania sądowego.
Zleceniobiorca zobowiązuje się do przeprowadzania na takich samym warunkach, na rzecz Klienta, audytu u Podmiotów przetwarzających.
W razie utraty przez Zleceniobiorcę certyfikacji związanej bezpośrednio lub pośrednio ze sposobami przetwarzania Danych osobowych, Klientowi przysługiwać będzie, po bezskutecznym upływie dziesięciu
(10) dni od dokonania wezwania do usunięcia uchybienia, wysłanego listem poleconym za zwrotnym potwierdzeniem odbioru, jednostronne uprawnienie do natychmiastowego rozwiązania Umowy bez zachowania okresu wypowiedzenia, na koszt Zleceniobiorcy i bez możliwości kierowania przez Zleceniobiorcę wobec Klienta jakichkolwiek roszczeń o zapłatę z jakiegokolwiek tytułu.
XIII - Rozwiązanie Umowy ze skutkiem natychmiastowym z powodu ciężkiego naruszenia jej postanowień
Klient oświadcza, że postanowienia Umowy dotyczące Danych osobowych stanowią przedmiotowo istotny element zobowiązania, bez którego nie zawarłby Umowy ze Zleceniobiorcą.
Z tego względu, Klient może się powołać na każde stwierdzone naruszenie tych postanowień Umowy jako podstawę natychmiastowego rozwiązania Umowy, z wyłącznej winy Zleceniobiorcy.
Zleceniobiorca został poinformowany, że naruszenie zobowiązań wynikających z niniejszego dokumentu może zostać wykazane w szczególności w drodze kontroli i procedur testowych przeprowadzanych w warunkach rzeczywistych przez Klienta lub jakąkolwiek spółkę trzecią zaangażowaną do tego celu.
Zleceniobiorca uznaje, iż takie działania posiadają walor dowodowy i służą stwierdzeniu wszelkich naruszeń Umowy.
XIV - Odpowiedzialność za zobowiązania objęte niniejszym dokumentem
Zleceniobiorca zobowiązuje się wobec Klienta, że poniesie wszelkie konsekwencje finansowe (kwoty zasądzone wyrokiem sądu i/lub uiszczone odszkodowania, wszelkie opłaty i wydatki) naruszenia postanowień niniejszego dokumentu przez Zleceniobiorcę i/lub przez Podmioty przetwarzające, i to niezależnie od ewentualnych ograniczeń odpowiedzialności wskazanych w Umowie.
Strony uznają, iż naruszenia postanowień niniejszego dokumentu stanowią bezpośrednią szkodę podlegającą naprawieniu, pociągającą za sobą odpowiedzialność Zleceniobiorcy (w zakresie jego własnych naruszeń i/lub naruszeń dokonanych przez Podmioty przetwarzające).
W sytuacji, gdy Umowa przewiduje właściwość innego sądu, inną procedurę, inny język lub inne prawo właściwe niż sąd, procedura, język i prawo Unii Europejskiej, wszelkie spory dotyczące zawarcia, wykonania, rozwiązania lub skutków niniejszego dokumentu, także w sytuacji zawarcia klauzul arbitrażowych, zostaną poddane pod rozstrzygnięcie Sądu właściwego dla siedziby Xxxxxx Xxxxxxxx i wspólnicy sp.j. na podstawie procedury, języka i prawa polskiego.
W razie zmian przepisów prawa dotyczących Danych osobowych, Zleceniobiorca zobowiązuje się we własnym zakresie i na swój koszt przedsięwziąć odpowiednie środki niezbędne do doprowadzenia do stanu zgodności z obowiązującym prawem. Doprowadzenie do stanu zgodności z obowiązującym prawem nastąpi w rozsądnym terminie ustalonym wraz z Klientem i zostanie potwierdzone podpisanym dokumentem stwierdzającym stan zgodności.
ROZDZIAŁ 2: OPIS ŚRODKÓW TECHNICZNYCH
W wykonaniu postanowień zawartych w artykule „Środki bezpieczeństwa” znajdującym się w rozdziale 1, Zleceniobiorca zobowiązuje się zastosować środki bezpieczeństwa pozwalające zagwarantować integralność Danych, śledzenie dostępu, dostępność Danych w każdym czasie i poufność Danych. Te środki muszą obejmować w szczególności (lista nie jest wyczerpująca):
1. Zapewnienie bezpieczeństwa pomieszczeń - zabezpieczenia przeciwpożarowe i przeciw zalaniu, zabezpieczenie urządzeń przed utratą zasilania (zespoły prądotwórcze, zasilacze awaryjne, odgromniki, podwójne zasilanie wysokiego i niskiego napięcia, itp.), zabezpieczenia antywłamaniowe, kontrola dostępu, zarządzanie i monitorowanie upoważnień do dostępu, w tym zarządzanie odnośnie osób odwiedzających, procedury wczesnego ostrzegania.
2. Zapewnienie bezpieczeństwa organizacyjnego - formalnie określone i przydzielone zakresy odpowiedzialności za bezpieczeństwo, szkolenie pracowników w zakresie bezpieczeństwa Danych, postępowania w celu przyznania uprawnień dostępu do systemów informacyjnych przetwarzających Dane, procedury zarządzania i ostrzegania o naruszeniu bezpieczeństwa albo o wiążących wezwaniach mających wpływ na Dane, Plan Kontynuowania Działalności (PKD/PCA), Informatyczny Pakiet Ratunkowy (IPR/PSI), organizacja zarządzania kryzysowego.
3. Zapewnienie bezpieczeństwa informatycznego - umacnianie ochrony systemu operacyjnego środowisk informatycznych, procedura wprowadzania poprawek do oprogramowania, podział architektury sieci/partycjonowanie struktur sieci (VLAN, DMZ) i stosowanie zapór sieciowych (firewalls), czujniki antywłamaniowe, kontrola dostępu poprzez autoryzację, polityka haseł dostępu, zabezpieczenie wrażliwych środowisk informatycznych przez aktualne programy antywirusowe (programy i bazy sygnatur wirusów).
4. Szyfrowanie Danych osobowych przechowywanych zgodnie z wymogami aktualnego poziomu rozwoju technicznego w danej dziedzinie (poprzez wybór sposobów i wielkości kluczy zabezpieczeń, zarządzanie informacjami objętymi tajemnicą).
5. Zapewnienie bezpieczeństwa przepływu Danych osobowych (szyfrowanie, uwierzytelnianie) w sposób, który uniemożliwia wykorzystanie Danych przez nieuprawnione osoby trzecie.
6. Identyfikowalność podjętych działań i zarządzanie dowodami: przechowywanie danych dotyczących śledzenia zdarzeń w zakresie audytu czynności dokonywanych w systemie informatycznym (dostępy użytkowników, dostęp i działania administratorów, zmiana parametrów bezpieczeństwa systemów, dostęp do Danych osobowych itp.), rzetelne datowanie śledzenia zdarzeń w zakresie audytu, zagwarantowany okres przechowywania danych dotyczących śledzenia zdarzeń (minimum 1 rok, za wyjątkiem ograniczeń wynikających z przepisów prawa).
7. Wdrożenie procedur kontrolnych mających zagwarantować utrzymywanie poziomu bezpieczeństwa przez dłuższy czas. Klient może żądać powiadamiania go o rezultatach przeprowadzonej kontroli, jak również o planach działania związanych z różnymi przeprowadzanymi testami, jak na przykład z testami antywłamaniowymi, wyszukiwaniem luk w zabezpieczeniach, przeprowadzanymi audytami bezpieczeństwa.
ROZDZIAŁ 3: POSTANOWIENIA KOŃCOWE
1. Niniejszy dokument jest integralnym elementem Umowy, określającym obowiązki w zakresie ochrony danych osobowych w umowach zawartych pomiędzy podmiotem z grupy ADEO a zewnętrznym Podmiotem Przetwarzającym, w wykonaniu Rozporządzenia Europejskiego o Ochronie Danych Osobowych (UE 2016/679).
2. Niniejszy dokument jest zaklasyfikowany jako „Dokument Wewnętrzny” według standardów klasyfikacji informacji mających zastosowanie do podmiotów ADEO. W rezultacie dostęp do niniejszego dokumentu jest ograniczony i nie może on być powielany, udostępniany ani przekazywany poza ADEO, w tym Klienta, bez formalnej ich zgody.
3. W sprawach nie uregulowanych niniejszym dokumentem należy stosować odpowiednie przepisy prawa, w szczególności Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Podpis osoby działającej w imieniu ADMINISTRATORA | Podpis osoby działającej w imieniu ZLECENIOBIORCY |