Porozumienie - Umowa powierzenia przetwarzania danych osobowych,
Porozumienie - Umowa powierzenia przetwarzania danych osobowych,
zwane dalej „porozumieniem”
zawarte w dniu , w , pomiędzy
Narodowym Funduszem Ochrony Środowiska i Gospodarki Wodnej
z siedzibą w Warszawie, xx. Xxxxxxxxxxxxxx 0x, 00-000 Xxxxxxxx, reprezentowanym przez:
zwanym dalej „NFOŚiGW” lub „Administratorem”,
a
z siedzibą w , ul. , wpisaną pod numerem KRS do rejestru Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w , Wydział Krajowego Rejestru Sądowego, NIP: , REGON: , kapitał zakładowy: / wpisanym/-ą do Centralnej Ewidencji i Informacji o Działalności Gospodarczej pod firmą: „ ”, adres prowadzenia działalności gospodarczej: , adres zamieszkania: , PESEL: 1,reprezentowanym/-ą przez:
zwanym/-ą dalej „Beneficjentem”/ „Państwową jednostką budżetową”1 lub „Podmiotem przetwarzającym”,
zwanymi dalej „Stronami”, o następującej treści:
§ 1
Definicje
Określenia wymienione w treści niniejszej umowy zostały wyjaśnione w art. 4 Rozporządzenia Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane dalej RODO).
§ 2
1 Niewłaściwe usunąć łącznie z przypisem
Powierzenie przetwarzania danych osobowych
1. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 RODO, dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej umowie.
2. Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, RODO, Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (zwana dalej Ustawą) oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
3. Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi prawa.
§ 3.
Zakres i cel przetwarzania danych
1. Zakres danych osobowych powierzonych Podmiotowi przetwarzającemu do przetwarzania dotyczy:
………………………………………………………………………….
2. Podmiot przetwarzający jest upoważniony do wykonywania następujących czynności przetwarzania powierzonych danych osobowych: utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie2 – które są w minimalnym zakresie niezbędne do realizacji celu określonym w ust. 1 powyżej.
3. Podmiot przetwarzający będzie przetwarzał dane osobowe przez tylko i wyłącznie w zakresie realizacji umowy nr……………z dnia……… w sprawie oraz przez czas obowiązywania
ww. umowy chyba, że prawo Unii lub prawo polskie nakazują dalsze przechowywanie danych osobowych.
§ 4.
Obowiązki podmiotu przetwarzającego
1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 32 RODO, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych.
2. Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
3. Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
4. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora i od współpracujących z nim osób oraz danych dotyczących realizacji umowy.
2 należy wskazać czynności wykonywane na danych osobowych
5. Podmiot przetwarzający zobowiązuje się zapewnić zachowanie przetwarzanych danych w tajemnicy (o której mowa w art. 28 ust. 3 lit. b RODO) przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
6. Podmiot przetwarzający, w terminie 3 dni roboczych po zakończeniu świadczenia usług związanych z przetwarzaniem danych osobowych, zwróci Administratorowi wszelkie dane osobowe i/lub usunie wszelkie ich istniejące kopie ze swoich zasobów, oraz potwierdzi wykonanie tych czynności stosownym oświadczeniem.
7. W miarę możliwości Podmiot przetwarzający będzie pomagał Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz z obowiązków określonych w art. 32-36 RODO (dotyczących zapewnienia bezpieczeństwa danych osobowych, zgłaszania naruszeń ochrony danych osobowych, zawiadomienia osób, których dane dotyczą o naruszeniu ich danych osobowych, dokonania oceny skutków przetwarzania dla ochrony danych osobowych i konsultacji z organem nadzorczym).
8. Po stwierdzeniu naruszenia ochrony danych osobowych Podmiot przetwarzający niezwłocznie zgłosi naruszenie Administratorowi, nie później niż w ciągu 36 h (maksymalny czas przekazania całościowej informacji w zakresie naruszenia) na adres e-mail: xxxxxxxxxxxxxxxxxxxxxx@xxxxxxx.xxx.xx . Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 Rozporządzenia, zawierać informacje umożliwiające Administratorowi określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
9. W terminie 10 dni roboczych od zawarcia przedmiotowej Umowy, Podmiot przetwarzający zobowiązany jest przesłać do Administratora oryginał wypełnionego i podpisanego „Formularza potwierdzającego stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych” (załącznik nr 1 do niniejszej umowy).
§ 5.
Prawo kontroli
1. Administrator lub podmiot przez niego uprawniony, zgodnie z art. 28 ust. 3 lit. h) RODO ma prawo do przeprowadzenia audytu lub inspekcji, w zakresie przetwarzania i zabezpieczenia powierzonych danych osobowych, zgodnie z postanowieniami niniejszej umowy.
2. Administrator zawiadomi Podmiot przetwarzający (w terminie 7 dni roboczych przed rozpoczęciem czynności) o zamiarze przeprowadzenia audytu lub inspekcji u Podprocesora.
3. Administrator będzie realizował prawo audytu lub inspekcji w godzinach pracy Podmiotu przetwarzającego i z 10 dniowym jego uprzedzeniem.
4. Podmiot przetwarzający zobowiązuje się do usunięcia uchybień/nieprawidłowości stwierdzonych podczas audytu lub inspekcji w terminie wskazanym przez Administratora, nie dłuższym niż 10 dni roboczych. W przypadku gdy usunięcie takich uchybień lub nieprawidłowości wymagać będzie od Podmiotu Przetwarzającego wprowadzenia istotnych zmian, Strony uzgodnią dłuższy termin na usunięcie uchybień i nieprawidłowości wymagających wprowadzenia takich zmian.
5. W przypadku powzięcia przez Administratora informacji o rażącym naruszeniu przez Podmiot przetwarzający zobowiązań wynikających z Rozporządzenia lub Porozumienia, Podmiot przetwarzający umożliwi Administratorowi, lub podmiotowi przez niego upoważnionemu, dokonanie inspekcji niezwłocznie, nie później niż po upływie 24 h.
6. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia przez Podmiot przetwarzający obowiązków określonych w art. 28 RODO.
§ 6.
Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania niniejszej umowy, po uzyskaniu uprzedniej pisemnej zgody Administratora.
2. W terminie ….. dni roboczych od zawarcia niniejszej Umowy Podmiot przetwarzający lecz nie później niż 7 dni roboczych przed rozpoczęciem realizacji umowy prześle Administratorowi za pośrednictwem poczty elektronicznej na adres ....@xxxxxxx.xxx.xx (adres osoby wskazanej do kontaktu) listę Podprocesorów, z którymi będzie współpracował w tym zakresie. Administrator ma prawo wniesienia sprzeciwu w ciągu 7 dni roboczych od przekazania listy Podprocesorów biorących udział w realizacji umowy.
3. Podmiot przetwarzający (w przypadku zmiany listy Podprocesorów) przekaże Administratorowi aktualną listę Podprocesorów biorących udział w przetwarzaniu danych w ramach realizacji umowy. Administrator ma prawo wniesienia sprzeciwu (w stosunku do nowych Podprocesorów) w ciągu 7 dni roboczych od przekazania ww. listy.
4. Administrator wnosi sprzeciw, o którym mowa w ust. 2 i 3, drogą elektroniczną na adres, z którego została wysłana do niego lista Podprocesorów. Do czasu upływu terminu na zgłoszenie sprzeciwu przez Administratora Podprocesor nie jest uprawniony do przetwarzania danych w imieniu i na rzecz Administratora, na zasadach i w celu określonym w umowie.
5. Wzór listy Podprocesorów wraz z oświadczeniem Podmiotu przetwarzającego potwierdzającym stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych przez Podprocesorów wykazanych na liście stanowi załącznik nr 2 do Porozumienia
6. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny. .
§ 7.
Odpowiedzialność Podmiotu przetwarzającego
1. Podmiot przetwarzający, zgodnie z art. 28 ust. 4 RODO, ponosi pełną odpowiedzialność wobec Administratora za niewywiązanie się ze spoczywających na Podprocesorach obowiązkach w zakresie ochrony danych.
2. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
3. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora
o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w niniejszej umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych, o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Prezesa Urzędu Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora.
4. Podmiot przetwarzający odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków wynikających z niniejszej umowy oraz przepisów z zakresu ochrony danych osobowych.
§ 8.
Czas obowiązywania umowy
Niniejsza umowa obowiązuje przez czas realizacji umowy nr .......
z dnia ………….. w sprawie …………………...
§ 9.
Rozwiązanie umowy
Administrator może rozwiązać niniejszą umowę ze skutkiem natychmiastowym, gdy Podmiot przetwarzający:
1) pomimo zobowiązania go do usunięcia uchybień/nieprawidłowości stwierdzonych podczas audytu lub inspekcji nie usunie ich w wyznaczonym terminie;
2) przetwarza dane osobowe w sposób niezgodny z umową;
3) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora.
§ 10.
Zasady zachowania poufności
1. Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych dotyczących Administratora lub jego kontrahentów, otrzymanych od Administratora i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy, w formie ustnej, pisemnej
lub elektronicznej, w jakich posiadanie wszedł w związku z realizacją niniejszej umowy (dane poufne), także po jej zakończeniu.
2. Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora w innym celu niż wykonanie niniejszej umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa – w takim przypadku Podmiot przetwarzający niezwłocznie poinformuje Administratora o planowanym udostępnieniu danych osobowych.
§ 11.
Postanowienia końcowe
1. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
2. W sprawach nieuregulowanych niniejszą umową zastosowanie będą miały przepisy Kodeksu cywilnego, RODO oraz Ustawy o ochronie danych osobowych.
3. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy dla siedziby Administratora.
4. Zmiany niniejszej Umowy wymagają formy pisemnej pod rygorem nieważności.
5. Korespondencja wysyłana przez Xxxxxx na adresy siedzib wskazane w niniejszej Umowie, będzie uznana za doręczoną. W razie zmiany adresu siedziby Xxxxxx zobowiązują się do wzajemnego, pisemnego powiadomienia o zmianie adresu siedzib, pod rygorem uznania wysłanej korespondencji za doręczoną. Zmiana adresów siedzib nie powoduje zmiany niniejszej Umowy i nie wymaga podpisania aneksu.
………………………… ………………………..
Podmiot przetwarzający Administrator
Załącznik nr 1 do umowy powierzenia przetwarzania danych osobowych
Formularz potwierdzający stosowanie środków organizacyjnych i technicznych w zakresie ochrony danych osobowych
………………………………………………………………………………………….
(Nazwa Podmiotu przetwarzającego)
stosuje właściwe środki organizacyjne i techniczne, umożliwiające należyte zabezpieczenie danych osobowych, zgodnie z RODO.
□ został wyznaczony inspektor ochrony danych osobowych, należy podać dane kontaktowe (imię i nazwisko, numer telefonu oraz adres poczty elektronicznej):
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
□ do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie w przedmiotowym zakresie,
□ prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych,
□ została opracowana i wdrożona dokumentacja w zakresie ochrony danych osobowych, należy ją wyszczególnić poniżej:
……………………………………………………………………………………………….
……………………………………………………………………………………………….
………………………………………………………………………………………………
………………………………………………………………………………………………
Lp. | TAK/NIE/ NIE DOTYCZY *niepotrzebne skreślić | Zabezpieczenia danych osobowych stosowane u Podmiotu przetwarzającego |
Środki ochrony fizycznej i technicznej danych | ||
1 | TAK/NIE/ NIE DOTYCZY | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęte są systemem kontroli dostępu. |
2 | TAK/NIE/ NIE DOTYCZY | Pomieszczenia, w których przetwarzany jest zbiór danych osobowych, wyposażone są w system alarmowy przeciwwłamaniowy. |
3 | TAK/NIE/ NIE DOTYCZY | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. |
4 | TAK/NIE/ NIE DOTYCZY | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony. |
5 | TAK/NIE/ NIE DOTYCZY | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony. |
6 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. |
7 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C. |
8 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min |
9 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). |
10 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. |
11 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. |
12 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej. |
13 | TAK/NIE/ NIE DOTYCZY | Pomieszczenie, w którym przetwarzany jest zbiór danych osobowych, zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i / lub wolnostojącej gaśnicy. |
14 | TAK/NIE/ NIE DOTYCZY | Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową |
15 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego. |
16 | TAK/NIE/ NIE DOTYCZY | Zbiór danych osobowych przetwarzany jest w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach. |
17 | TAK/NIE/ NIE DOTYCZY | Kopie zapasowe / archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. |
18 | TAK/NIE/ NIE DOTYCZY | Kopie zapasowe / archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. |
19 | TAK/NIE/ NIE DOTYCZY | Kopie zapasowe / archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej. |
20 | TAK/NIE/ NIE DOTYCZY | Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. |
21 | TAK/NIE/ NIE DOTYCZY | Zastosowano urządzenia chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania, jeżeli tak to jakie (proszę wymienić): …………………………………………………………………………………………………………………. |
22 | TAK/NIE/ NIE DOTYCZY | Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej / komputerze przenośnym, zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła. |
23 | TAK/NIE/ NIE DOTYCZY | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. |
24 | TAK/NIE/ NIE DOTYCZY | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN. |
25 | TAK/NIE/ NIE DOTYCZY | Użyto system Firewall do ochrony dostępu do sieci komputerowej. |
26 | TAK/NIE/ NIE DOTYCZY | Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej. |
27 | TAK/NIE/ NIE DOTYCZY | Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł. |
28 | TAK/NIE/ NIE DOTYCZY | Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. |
29 | TAK/NIE/ NIE DOTYCZY | Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji. |
30 | TAK/NIE/ NIE DOTYCZY | Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. |
31 | TAK/NIE/ NIE DOTYCZY | Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu. |
32 | TAK/NIE/ NIE DOTYCZY | Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej. |
33 | TAK/NIE/ NIE DOTYCZY | Zastosowano środki ochrony przed szkodliwym oprogramowaniem. |
34 | TAK/NIE/ NIE DOTYCZY | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej. |
35 | TAK/NIE/ NIE DOTYCZY | Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia. |
Środki ochrony w ramach narzędzi programowych i baz danych | ||
1 | TAK/NIE/ NIE DOTYCZY | Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych. |
2 | TAK/NIE/ NIE DOTYCZY | Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych. |
3 | TAK/NIE/ NIE DOTYCZY | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. |
4 | TAK/NIE/ NIE DOTYCZY | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN. |
5 | TAK/NIE/ NIE DOTYCZY | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej. |
6 | TAK/NIE/ NIE DOTYCZY | Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego. |
7 | TAK/NIE/ NIE DOTYCZY | Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych. |
8 | TAK/NIE/ NIE DOTYCZY | Zastosowano kryptograficzne środki ochrony danych osobowych. |
9 | TAK/NIE/ NIE DOTYCZY | Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. |
10 | TAK/NIE/ NIE DOTYCZY | Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. |
Środki organizacyjne | ||
1 | TAK/NIE/ NIE DOTYCZY | Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. |
2 | TAK/NIE/ NIE DOTYCZY | Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. |
3 | TAK/NIE/ NIE DOTYCZY | Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. |
4 | TAK/NIE/ NIE DOTYCZY | Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. |
5 | TAK/NIE/ NIE DOTYCZY | Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. |
Inne środki organizacyjno-techniczne:……...........................................................................................................................................................
……………………………………………………………………………………………………………………………………………………
……………………………………
Podpis i pieczęć Podmiotu przetwarzającego
Załącznik nr 2 do umowy powierzenia przetwarzania danych osobowych
Lista Podprocesorów, z którymi Podmiot przetwarzający współpracuje w zakresie realizacji Umowy obowiązująca na dzień………….
Podmiot przetwarzający ………………………………………………………………………. oświadcza, że niżej wymienieni Podprocesorzy dają gwarancję wdrożenia odpowiednich środków technicznych i
organizacyjnych, o których mowa w art. 28 ust. 4 Rozporządzenia:
L.p. | nazwa podprocesora adres jego siedziby albo miejsce zamieszkania | data zawarcia umowy powierzenia | data zakończenia obowiązywania umowy powierzenia |