ZAŁĄCZNIK NR 4 DO OGÓLNYCH ZASAD WSPÓŁPRACY Z GRUPĄ PRACUJ S.A.

1. Umowa Powierzenia stanowi integralną część Zasad Współpracy i określa zasady przetwarzania przez Usługodawcę na zlecenie Klienta danych osobowych Kandydatów, Pracowników Klienta oraz innych osób wskazanych w Umowie Powierzenia, za pośrednictwem Systemów Usługodawcy.

2. Pojęcia użyte w Umowie Powierzenia i pisane wielką literą mają znaczenie przypisane im w treści Umowy Powierzenia oraz w Zasadach Współpracy.

3. Umowa Powierzenia stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych Kandydatów, Pracowników Klienta oraz innych osób wskazanych w Umowie Powierzenia, pomiędzy Klientem i Usługodawcą w związku z realizacją Usług i korzystaniem przez Klienta z Systemów Usługodawcy oraz zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Klientem i Usługodawcą w tym zakresie.

I. DEFINICJE

Pojęcia użyte w niniejszej Umowie powierzenia oznaczają:
Administrator Danych	oznacza Klienta lub Podmiot Powiązany, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych
Cel Przetwarzania	oznacza realizację przez Usługodawcę zobowiązań określonych w Umowie o świadczenie Usług w związku z publikacją Ogłoszeń Rekrutacyjnych w Serwisie, Serwisie IT lub realizacją z innych Usług, która wiąże się z korzystaniem przez Klienta z Systemów Usługodawcy
Czynności Przetwarzania	oznaczają wszelkie operacje na Danych Osobowych, które będzie wykonywał Podmiot Przetwarzający na polecenie Administratora Danych na podstawie Umowy o świadczenie Usług, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie
Dalszy Podmiot Przetwarzający	oznacza podmiot, z którego usług korzysta Podmiot Przetwarzający przy wykonywaniu praw i obowiązków określonych w Umowie o świadczenie Usług i dokonywaniu konkretnych Czynności Przetwarzania, który będzie miał dostęp do Danych Osobowych
Dane Osobowe	oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, których dotyczy powierzenie przetwarzania na mocy Umowy Powierzenia. Dane Osobowe określa Załącznik nr 1 do Umowy Powierzenia, przez wskazanie kategorii

	osób, których dane dotyczą, rodzaju danych osobowych oraz czynności i formy przetwarzania
EOG	oznacza Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.), czyli państwa należące do Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein
Harmonogram Kontroli	oznacza harmonogram Kontroli Przetwarzania, które mogą przeprowadzać Klienci u Usługodawcy
Informacja o Dalszym Podmiocie Przetwarzającym	oznacza informację o zamiarze powierzenia przetwarzania Danych Osobowych przez Usługodawcę innemu podmiotowi niż określony w Załączniku nr 3 do Umowy Powierzenia lub informację o zmianie miejsca przetwarzania przez dotychczasowy Dalszy Podmiot Przetwarzający na miejsce przetwarzania poza EOG, zawierającą: (i) nazwę i adres siedziby Dalszego Podmiotu Przetwarzającego, (ii) miejsce przetwarzania Danych Osobowych oraz (iii) cel dalszego powierzenia przetwarzania Danych Osobowych (funkcję Dalszego Podmiotu Przetwarzającego)
Klient	oznacza Klienta zgodnie z definicją określoną w Zasadach Współpracy jak również odpowiednio Podmiot Powiązany, jeżeli Podmiot Powiązany jest Administratorem Danych Osobowych
Kontrola Przetwarzania	oznacza audyty (w tym inspekcje) zgodności przetwarzania Danych Osobowych w Systemach Usługodawcy z przepisami prawa, w szczególności z RODO oraz Umową Powierzenia. Kontrola Przetwarzania może być dokonana samodzielnie przez Klienta lub za pośrednictwem upoważnionego przez niego audytora, po przedłożeniu przez audytora pełnomocnictwa do działania w imieniu Xxxxxxx
Naruszenie Ochrony Danych Osobowych	oznacza naruszenie bezpieczeństwa Danych Osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w stosunku do których są wykonywane Czynności Przetwarzania przez odpowiednio Podmiot Przetwarzający lub Dalszy Podmiot Przetwarzający
Ocena Skutków dla Ochrony Danych	oznacza ocenę skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, o której mowa w art. 35-36 RODO

Okres Przechowywania	oznacza okres wskazany w Umowie o świadczenie Usług, przez który Usługodawca będzie przechowywał dokumenty aplikacyjne Kandydatów w Systemach Usługodawcy
Organ Nadzorczy	oznacza organ nadzorczy, o którym mowa w art. 4 pkt 21 RODO
Podmiot Przetwarzający	oznacza Usługodawcę, który przetwarza Dane Osobowe na wyraźne polecenie Klienta w związku z publikacją Ogłoszeń Rekrutacyjnych lub realizacją innych Usług, która wiąże się z korzystaniem przez Klienta z Systemów Usługodawcy
Pracownik Klienta	oznacza pracownika Klienta zatrudnionego na podstawie umowy o pracę lub na podstawie umowy cywilnoprawnej (np. umowy zlecenia, umowy o współpracy), którego dane osobowe są przetwarzane w Systemach Usługodawcy w związku z publikacją Ogłoszeń Rekrutacyjnych w Serwisie, Serwisie IT lub realizacją innych Usług
Przekazywanie Danych Osobowych do Państw Trzecich	oznacza przetwarzanie przez Usługodawcę Danych Osobowych poza EOG za pośrednictwem Dalszego Podmiotu Przetwarzającego po spełnieniu warunków określonych w rozdziale V RODO
RODO	oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Sprzeciw wobec Dalszego Podmiotu Przetwarzającego	oznacza sprzeciw Klienta wobec dalszego powierzenia przetwarzania Danych Osobowych przez Usługodawcę podmiotowi określonemu w Informacji o Dalszym Podmiocie Przetwarzającym. Sprzeciw wymaga zachowania formy pisemnej pod rygorem nieważności;
Standardowe Klauzule Umowne	oznaczają standardowe klauzule ochrony danych przyjęte przez Komisję Europejską, o których mowa w art. 46 RODO.

II. POSTANOWIENIA OGÓLNE

1. PRZEDMIOT I CZAS TRWANIA PRZETWARZANIA DANYCH OSOBOWYCH

1. Klient powierza Usługodawcy przetwarzanie Danych Osobowych w związku z Umową o świadczenie Usług a Usługodawca to zlecenie przyjmuje.

2. Usługodawca może przetwarzać Dane Osobowe wyłącznie w celu wykonania zobowiązań wynikających z Umowy o świadczenie Usług, w tym zapewnienia określonych funkcjonalności oraz wsparcia technicznego Systemów Usługodawcy.

3. Usługodawca może przetwarzać Dane Osobowe wyłącznie przez (i) okres obowiązywania Umowy o świadczenie Usług oraz przez (ii) okres od rozwiązania lub wygaśnięcia Umowy o świadczenie Usług do czasu usunięcia Danych Osobowych zgodnie z postanowieniami Umowy Powierzenia, chyba że

Klient oraz Usługodawca ustalą inny termin przetwarzania Danych Osobowych w drodze odrębnego

porozumienia.

4. Zawarcie Umowy Powierzenia stanowi udokumentowane polecenie Klienta do przetwarzania przez Usługodawcę Danych Osobowych, w tym do Przekazywania Danych Osobowych do Państw Trzecich z zastrzeżeniem postanowień określonych w Rozdziale. III ust. 2 6 Umowy Powierzenia.

2. ŚRODKI TECHNICZNE I ORGANIZACYJNE

1. Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych Osobowych oraz ryzyko naruszenia praw lub wolności osób, których Dane Osobowe dotyczą, Usługodawca zapewni środki techniczne i organizacyjne adekwatne do rodzaju Danych Osobowych oraz ryzyka naruszenia praw lub wolności osób, których Dane Osobowe dotyczą.

2. Odpowiednie środki techniczne i organizacyjne obejmują co najmniej środki określone w Załączniku

nr 2 do Umowy Powierzenia.

3. Usługodawca może zmienić lub wprowadzić inne środki techniczne i organizacyjne niż określone w Załączniku nr 2 do Umowy Powierzenia pod warunkiem, że będą one spełniały wymogi określone w Rozdziale. II ust. 2 pkt. 1 Umowy Powierzenia.

3. PERSONEL USŁUGODAWCY

1. Usługodawca dopuści do przetwarzania Danych Osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do Danych Osobowych jest niezbędny do wykonania usług określonych w Umowie o świadczenie Usług.

2. Usługodawca zapewni, aby osoby działające z jego upoważnienia i mające dostęp do Danych Osobowych zobowiązały się do zachowania tajemnicy przetwarzanych Danych Osobowych lub podlegały ustawowemu obowiązkowi zachowania tajemnicy. Usługodawca zaznajomi osoby upoważnione do przetwarzania Danych Osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem Danych Osobowych.

III. WSPÓŁPRACA Z PODMIOTAMI ZEWNĘTRZNYMI

1. DALSZE PODMIOTY PRZETWARZAJĄCE

1. Klient wyraża zgodę na korzystanie przez Usługodawcę z usług Dalszych Podmiotów Przetwarzających przy przetwarzaniu Danych Osobowych zgodnie z art. 28 ust. 2 RODO, w celu prawidłowego świadczenia Usług, w tym zapewnienia określonych funkcjonalności oraz bezpieczeństwa Systemów Usługodawcy.

2. Lista Dalszych Podmiotów Przetwarzających, z których korzysta lub zamierza korzystać Usługodawca na dzień rozpoczęcia obowiązywania Umowy Powierzenia znajduje się w Załączniku nr 3 do Umowy Powierzenia. Zawierając Umowę Powierzenia Klient akceptuje powierzenie przetwarzania Danych Osobowych podmiotom określonym w Załączniku nr 3 do Umowy Powierzenia.

3. W przypadku zamiaru skorzystania przez Usługodawcę z usług innych Dalszych Podmiotów Przetwarzających niż określone w Załączniku nr 3 do Umowy Powierzenia, Usługodawca przekaże

Klientowi Informację o Dalszym Podmiocie Przetwarzającym co najmniej na 30 dni przed dokonaniem dalszego powierzenia przetwarzania Danych Osobowych. Informacja o Dalszym Podmiocie Przetwarzającym zostanie przekazana w postaci elektronicznej na Adres E-Mail Klienta. Zmiana Załącznika nr 3 nie wymaga zmiany Umowy Powierzenia.

4. W terminie 14 dni od dnia otrzymania Informacji o Dalszym Podmiocie Przetwarzającym, Klient może zgłosić Sprzeciw wobec Dalszego Podmiotu Przetwarzającego.

5. Zgłoszenie Sprzeciwu wobec Dalszego Podmiotu Przetwarzającego, w zależności od rodzaju usług świadczonych przez Dalszy Podmiot Przetwarzający, oznacza: (i) wypowiedzenie Umowy o świadczenie Usług ze skutkiem na koniec miesiąca następującego po miesiącu, w którym złożono Sprzeciw, jeżeli powierzenie przetwarzania Danych Osobowych Dalszemu Podmiotowi Przetwarzającemu jest niezbędne do świadczenia wszystkich Usług zgodnie z Zasadami Współpracy i Klient nie ma możliwości wyboru, czy z danej Usługi lub jej określonej funkcjonalności chce skorzystać albo (ii) zaprzestanie korzystania przez Klienta z określonej Usługi lub jej funkcjonalności lub brak dostępu do określonej Usługi lub jej funkcjonalności, z którą wiąże się konieczność skorzystania z usług Dalszego Podmiotu Przetwarzającego, w przypadku gdy powierzenie przetwarzania Danych Osobowych Dalszemu Podmiotowi Przetwarzającemu jest niezbędne jedynie do świadczenia określonej Usługi lub jej funkcjonalności. W czasie trwania okresu wypowiedzenia Umowy o świadczenie Usług, Usługodawca nie przekaże Dalszemu Podmiotowi Przetwarzającemu Danych Osobowych do przetwarzania.

6. Umowa pomiędzy Usługodawcą a Dalszym Podmiotem Przetwarzającym będzie nakładać na Dalszy Podmiot Przetwarzający te same obowiązki ochrony danych, jak określone w Umowie Powierzenia, w szczególności zobowiązania dotyczące przestrzegania przepisów RODO, w tym zobowiązania dotyczące stosowania środków technicznych i organizacyjnych, które będą adekwatne do rodzaju powierzonych Danych Osobowych oraz ryzyka naruszenia praw lub wolności osób, których Dane Osobowe dotyczą. Uprawnienia Dalszych Podmiotów Przetwarzających nie będą szersze niż uprawnienia Usługodawcy określone w Umowie Powierzenia.

7. Usługodawca ponosi odpowiedzialność za działania i zaniechania Dalszych Podmiotów Przetwarzających zgodnie z zasadami odpowiedzialności określonymi w Rozdziale 6 ust. 1 Umowy Powierzenia.

2. PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

1. W przypadku zamiaru skorzystania z usług innych Dalszych Podmiotów Przetwarzających niż określone w Załączniku nr 3 do Umowy Powierzenia lub zmiany miejsca przetwarzania Danych Osobowych przez Dalszy Podmiot Przetwarzający określony w Załączniku nr 3, które będzie się wiązało z koniecznością Przekazywania Danych Osobowych do Państw Trzecich, znajdują odpowiednie zastosowanie postanowienia Rozdziału III ust. 1 Umowy Powierzenia, z zastrzeżeniem, że Informacja o Dalszym Podmiocie Przetwarzającym będzie zawierała dodatkowo informację o podstawach prawnych Przekazywania Danych Osobowych do Państw Trzecich, w szczególności w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 RODO, w tym informacje o Standardowych Klauzulach Umownych, jeżeli dotyczy.

2. Jeżeli skorzystanie z usług Dalszego Podmiotu Przetwarzającego będzie się wiązało z koniecznością zawarcia Standardowych Klauzul Umownych w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 RODO, a nie zostaną przyjęte przez Komisję Europejską Standardowe Klauzule

Umowne dla celów przekazywania danych osobowych pomiędzy podmiotem przetwarzającym a dalszym podmiotem przetwarzającym, Usługodawca zawrze Standardowe Klauzule Umowne z Dalszym Podmiotem Przetwarzającym w imieniu i na rzecz Klienta, chyba że Klient zgłosił Sprzeciw wobec Dalszego Podmiotu Przetwarzającego na zasadach określonych w Rozdziale. III ust. 1 pkt. 4-5 Umowy Powierzenia. Zawierając Umowę o świadczenie Usług Klient upoważnia Usługodawcę do zawarcia w imieniu Klienta Standardowych Klauzul Umownych.

3. W przypadku zgłoszenia przez Klienta Sprzeciwu wobec Dalszego Podmiotu Przetwarzającego, Usługodawca nie jest uprawniony do przekazania Danych Osobowych do Państw Trzecich, w szczególności do zawarcia w imieniu i na rzecz Klienta Standardowych Klauzul Umownych.

IV. OBOWIĄZKI USŁUGODAWCY

1. POMOC DLA KLIENTA

Uwzględniając charakter wykonywanych Czynności Przetwarzania Danych Osobowych oraz dostępne informacje w związku ze świadczeniem Usług, Usługodawca zapewni Klientowi pomoc w wywiązaniu się z następujących obowiązków:

a) zapewnienia odpowiednich środków technicznych i organizacyjnych przetwarzania Danych Osobowych, poprzez zastosowanie środków technicznych i organizacyjnych określonych w Rozdziale II ust. 2 Umowy Powierzenia;

b) przeprowadzenia Oceny Skutków dla Ochrony Danych poprzez udzielanie Klientowi niezbędnych informacji odnośnie przetwarzania Danych Osobowych w Systemach Usługodawcy potrzebnych do przeprowadzenia przez Klienta Oceny Skutków dla Ochrony Danych;

c) udzielania odpowiedzi na żądania osób, których Dane Osobowe dotyczą, w zakresie określonym w art. 15-22 RODO, poprzez zapewnienie Klientowi, na jego żądanie zgłoszone na adres: xxxxxx@xxxxxx.xx, następujących możliwości: (i) eksportu Danych Osobowych, (ii) usunięcia i ograniczenia przetwarzania Danych Osobowych oraz (iii) sprostowania Danych Osobowych. W przypadku zgłoszenia przez osobę, której Dane Osobowe dotyczą, żądania bezpośrednio do Usługodawcy jako Podmiotu Przetwarzającego Dane Osobowe, Usługodawca poinformuje Klienta niezwłocznie o zgłoszonym żądaniu i ustali z nim sposób postępowania w stosunku do zgłoszonego żądania;

d) zgłoszenia Naruszenia Ochrony Danych Osobowych Organowi Nadzorczemu oraz z obowiązku zawiadomienia osób, których Dane Osobowe dotyczą, o Naruszeniu Ochrony Danych Osobowych zgodnie z art. 33-34 RODO.

2. INFORMOWANIE KLIENTA

1. Usługodawca niezwłocznie, jednak nie później niż w terminie 5 Dni Roboczych, poinformuje Klienta

a) wszelkich postępowaniach, w szczególności administracyjnych lub sądowych, dotyczących przetwarzania Danych Osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu sądowym dotyczących Danych Osobowych, skierowanych do Usługodawcy, a także o wszelkich

planowanych postępowaniach lub o realizowanych kontrolach i inspekcjach dotyczących przetwarzania Danych Osobowych;

b) poleceniach wydanych przez Klienta Usługodawcy dotyczących przetwarzania Danych Osobowych, które zdaniem Usługodawcy stanowią naruszenie przepisów RODO lub innych przepisów prawa o ochronie danych osobowych.

2. Na żądanie Klienta Usługodawca udostępni Klientowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.

3. Informacje zostaną przekazane na Adres E-Mail Klienta.

3. NARUSZENIA OCHRONY DANYCH OSOBOWYCH

1. W przypadku stwierdzenia przez Usługodawcę Naruszenia Ochrony Danych Osobowych, zgodnie z przyjętą u Usługodawcy procedurą, Usługodawca zgłosi takie naruszenie Klientowi niezwłocznie, jednak nie później niż w terminie 36 godzin od stwierdzenia Naruszenia Ochrony Danych Osobowych. Zgłoszenie będzie zawierało:

a) opis okoliczności zdarzenia stanowiącego Naruszenie Ochrony Danych Osobowych oraz jego

ustalonych lub podejrzewanych przyczyn;

b) opis charakteru Naruszenia Ochrony Danych Osobowych, w tym w miarę możliwości wskaże kategorie i przybliżoną liczbę osób, których Dane Osobowe dotyczą oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy Naruszenie Ochrony Danych Osobowych;

c) opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych;

d) opis zastosowanych przez Usługodawcę środków zaradczych w celu zminimalizowania ewentualnych negatywnych skutków Naruszenia Ochrony Danych Osobowych.

2. Informacja o Naruszeniu Ochrony Danych Osobowych zostanie przekazana przez Usługodawcę na

Adres E-Mail Klienta.

3. W przypadku stwierdzenia Naruszenia Ochrony Danych Osobowych Usługodawca podejmuje niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zaradzenia Naruszeniu Ochrony Danych Osobowych i zminimalizowania jego ewentualnych negatywnych konsekwencji.

V. KONTROLA PRZETWARZANIA

1. Klient jest uprawniony do przeprowadzenia Kontroli Przetwarzania w każdym czasie.

2. Klient jest uprawniony do przeprowadzenia Kontroli Przetwarzania bez ponoszenia jakichkolwiek opłat z tego tytułu na rzecz Usługodawcy w następujących przypadkach: (i) obowiązek przeprowadzenia Kontroli Przetwarzania został nałożony przez Organ Nadzorczy lub (ii) przeprowadzenie Kontroli Przetwarzania jest konieczne dla wyjaśnienia Naruszenia Ochrony Danych Osobowych.

3. W innych przypadkach przeprowadzania Kontroli Przetwarzania przez Klienta niż określone w ust. 2

niniejszego rozdziału, Usługodawca jest uprawniony do pobrania od Klienta opłaty w celu pokrycia

uzasadnionych kosztów obsługi Kontroli Przetwarzania, według cennika stanowiącego Załącznik nr

4 do Umowy Powierzenia. Opłata powiększona o podatek o towarów i usług będzie płatna przelewem na podstawie faktury wystawionej przez Usługodawcę w terminie do 15. dnia miesiąca następującego po miesiącu, w którym Klient oraz Usługodawca podpisali protokół z Kontroli Przetwarzania zgodnie z ust. 7 niniejszego rozdziału.

4. Klient jest zobowiązany zawiadomić Usługodawcę o zamiarze przeprowadzenia Kontroli Przetwarzania co najmniej na 7 Dni Roboczych przed planowaną datą rozpoczęcia Kontroli Przetwarzania, z wyłączeniem przypadków określonych w ust. 2 niniejszego rozdziału. W tych przypadkach Strony uzgodnią odrębnie termin przeprowadzenia Kontroli Przetwarzania. Zawiadomienie powinno wskazywać dokładny zakres, termin oraz osoby upoważnione przez Klienta do przeprowadzenia Kontroli Przetwarzania i zostać przekazane na Adres E- Mail Usługodawcy.

5. Jeżeli zgodnie z Harmonogramem Kontroli przeprowadzenie Kontroli Przetwarzania nie będzie możliwe w terminie wskazanym przez Klienta w zawiadomieniu, o którym mowa w ust. 4 niniejszego rozdziału, w szczególności z uwagi na liczbę Kontroli Przetwarzania zgłoszonych przez innych klientów, Usługodawca poinformuje Klienta o pierwszym możliwym terminie przeprowadzenia Kontroli Przetwarzania. To postanowienie nie ma zastosowania do przypadków przeprowadzenia Kontroli Przetwarzania określonych w ust. 2 niniejszego rozdziału. Informacja zostanie przekazana na Adres E-Mail Klienta.

6. Kontrola Przetwarzania, w zakresie dotyczącym obszarów przetwarzania Danych Osobowych (np. pomieszczeń i systemów informatycznych Usługodawcy), nie może trwać dłużej niż 3 Dni Robocze, chyba że okaże się to niezbędne do prawidłowego przeprowadzenia Kontroli Przetwarzania. W takim przypadku Usługodawca i Klient uzgodnią maksymalny czas trwania Kontroli Przetwarzania.

7. Kontrola Przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z Kontroli Przetwarzania. Protokół będzie zawierał wnioski z Kontroli Przetwarzania, uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Usługodawcę oraz wysokość opłaty określonej w ust. 3 niniejszego rozdziału, jeżeli dotyczy.

8. Przed rozpoczęciem Kontroli Przetwarzania Usługodawca jest uprawniony do żądania od Klienta zawarcia umowy o zachowaniu poufności odnośnie informacji, które mają zostać ujawnione Klientowi w ramach Kontroli Przetwarzania. Dodatkowo Klient będzie uprawniony do przeprowadzenia testów penetracyjnych Systemów Usługodawcy jedynie po uzyskaniu uprzedniej zgody Usługodawcy.

VI. POSTANOWIENIA KOŃCOWE

1. ODPOWIEDZIALNOŚĆ

1. W przypadku niewykonania lub nienależytego wykonania Umowy Powierzenia Usługodawca ponosi odpowiedzialność za szkody poniesione przez Klienta do wysokości szkody rzeczywistej, w zakresie, w jakim takie ograniczenie odpowiedzialności jest dopuszczalne w oparciu o bezwzględnie obowiązujące przepisy prawa.

2. Usługodawca ponosi odpowiedzialność za działania lub zaniechania Dalszych Podmiotów Przetwarzających jak za własne działania lub zaniechania zgodnie z zasadami odpowiedzialności określonymi w ust. 1 niniejszego punktu.

2. ZAKOŃCZENIE PRZETWARZANIA DANYCH OSOBOWYCH

1. Usługodawca usunie Xxxx Xxxxxxx z wszelkich nośników danych, w tym z wszelkich istniejących kopii lub dokona ich anonimizacji, nie później niż w terminie 30 dni od dnia zakończenia Okresu Przechowywania lub zakończenia realizacji innych Usług związanych z przetwarzaniem Danych Osobowych w Systemach Usługodawcy (innych niż dokumenty aplikacyjne Kandydatów), chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia zawartego w formie pisemnej lub dokumentowej. W przypadku rozwiązania lub wygaśnięcia Umowy przed upływem Okresów Przechowywania, Usługodawca usunie Dane Osobowe lub dokona ich anonimizacji w terminie 30 dni od dnia rozwiązania lub wygaśnięcia Umowy o świadczenie Usług, chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia zawartego w formie pisemnej lub dokumentowej. Na żądanie Klienta Usługodawca przekaże protokół usunięcia lub anonimizacji Danych Osobowych.

2. Usługodawca zapewni, że wszystkie Dalsze Podmioty Przetwarzające usuną lub zanonimizują Dane Osobowe na zasadach określonych w niniejszym rozdziale.

3. W czasie trwania odpowiednio Okresu Przechowywania lub realizacji innych Usług związanych z przetwarzaniem Danych Osobowych w Systemach Usługodawcy (innych niż dokumenty aplikacyjne Kandydatów), Klient może żądać usunięcia Danych Osobowych przez Usługodawcę oraz dokonania eksportu (zwrotu) Danych Osobowych na uzgodniony przez Strony nośnik.

4. Na żądanie Klienta Usługodawca przekaże protokół zwrotu, usunięcia lub anonimizacji Danych

Osobowych.

5. Jeżeli na mocy odpowiednich przepisów prawa Usługodawca będzie zobowiązany do przechowywania Danych Osobowych jeszcze przez jakiś czas po zakończeniu odpowiednio Okresu Przechowywania lub realizacji innych Usług związanych z przetwarzaniem Danych Osobowych w Systemach Usługodawcy (innych niż dokumenty aplikacyjne Kandydatów), Usługodawca niezwłocznie poinformuje Klienta o wystąpieniu takich okoliczności. W takiej sytuacji Usługodawca będzie przetwarzać Dane Osobowe wyłącznie w zakresie i celu wykonania obowiązków wynikających z przepisów prawa, a po ich spełnieniu niezwłocznie usunie lub dokona anonimizacji Danych Osobowych.

VII. ZAŁĄCZNIKI

Załącznik nr 1 – Dane osobowe

Załącznik nr 2 – Lista środków technicznych i organizacyjnych Załącznik nr 3 – Lista Dalszych Podmiotów Przetwarzających Załącznik nr 4 – Cennik obsługi Kontroli Przetwarzania

ZAŁĄCZNIK NR 1 – DANE OSOBOWE

Kategoria osób, których Dane

Osobowe dotyczą

Rodzaj Danych Osobowych

Czynności

Przetwarzania

Forma przetwarzania

Kandydaci

Wszelkie dane Kandydatów

przekazane przez

Kandydatówlub umieszczone przez Klienta w Systemach Usługodawcy np. dane zawarte w CV,

liście motywacyjnym oraz formularzu aplikacyjnym, w szczególności: imię, nazwisko, xxxx kontaktowe (adres e-mail, numer telefonu, adres zamieszkania), data

urodzenia, wykształcenie, doświadczenie zawodowe, kwalifikacje i umiejętności, termin rozpoczęcia pracy, oczekiwania finansowe, wizerunek.

Zbieranie, utrwalanie, organizowanie, porządkowanie,

przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie.

Elektroniczna

Pracownicy Klienta

Xxxx, nazwisko, adres e- mail, numer telefonu, stanowisko służbowe, miejsce zatrudnienia, wizerunek, lub inne dane, które Klient zamieszcza w Serwisie, Xxxxxxxx IT lub

przekazuje Xxxxxxxxxxx w inny sposób w związku z korzystaniem z określonych Usług,

x.xx. w związku z publikacją Ogłoszeń Rekrutacyjnych, lub korzystaniem z Profilu Pracodawcy.

Zbieranie, utrwalanie, organizowanie, porządkowanie,

przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie.

Elektroniczna

Inne osoby wskazane przez Klienta

Xxxx, nazwisko, dane kontaktowe, wizerunek lub inne dane, które Klient zamieszcza w Serwisie, Serwisie IT lub przekazuje

Xxxxxxxxxxx w inny sposób w związku z korzystaniem z określonych Usług, x.xx. w związku z publikacją

Ogłoszeń Rekrutacyjnych, , lub korzystaniem z Profilu Pracodawcy.

Zbieranie, utrwalanie, organizowanie, porządkowanie,

przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie.

Elektroniczna

ZAŁĄCZNIK NR 2 – LISTA ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH

1. BEZPIECZEŃSTWO DANYCH OSOBOWYCH

1. Zabezpieczenia organizacyjne:

a) Usługodawca posiada Politykę Bezpieczeństwa Informacji, która reguluje zasady ochrony danych osobowych przez Usługodawcę, w tym politykę zarządzania incydentami;

b) Usługodawca przeprowadza szkolenia wstępne i okresowe z ochrony danych osobowych i bezpieczeństwa informacji dla pracowników;

c) Usługodawca nadaje pracownikom imienne upoważnienia do przetwarzania danych osobowych. Upoważnienia są cyklicznie weryfikowane.

2. Zabezpieczenia dotyczące bezpieczeństwa fizycznego:

a) Usługodawca wydzielił obszary bezpieczne, w których przetwarzane są Dane Osobowe;

b) Usługodawca zastosował odpowiednie środki bezpieczeństwa tj. kontrolę dostępu, ochronę fizyczną, monitoring CCTV.

3. Zabezpieczenia dotyczące kontroli dostępu:

a) każdy pracownik Usługodawcy posiada odrębne, unikalne konto dostępowe do systemów

informatycznych, w których przetwarzane są Dane Osobowe;

b) Usługodawca stosuje politykę silnych haseł, zmiany haseł i blokowania kont;

c) Usługodawca wprowadził szyfrowanie urządzeń mobilnych przetwarzających Dane Osobowe;

d) dostęp zdalny do Danych Osobowych jest centralnie zarządzany i kontrolowany.

4. Zabezpieczenia dotyczące bezpieczeństwa operacyjnego:

a) systemy informatyczne i aplikacje Usługodawcy służące do przetwarzania Danych Osobowych są regularnie aktualizowane, weryfikowane pod kątem podatności oraz zabezpieczone przez systemy antywirusowe;

b) Usługodawca stosuje ochronę przed nieuprawnionym dostępem do systemów i sieci przez zaporę ogniową (firewall);

c) zastosowano filtrowanie dostępów do stron internetowych. Zostały wdrożone systemy monitorujące ruch sieciowy, wykryte anomalie są logowane i raportowane.

2. BEZPIECZEŃSTWO APLIKACJI

Zabezpieczenia Systemów Usługodawcy zostały wyselekcjonowane w oparciu o standard OWASP

ASVS oraz najlepsze praktyki bezpieczeństwa aplikacji.

W Systemach Usługodawcy stosowane są następujące zabezpieczenia:

1. Zabezpieczenia dotyczące architektury:

a) architektura aplikacji gwarantuje wielowarstwowość aplikacji;

b) aplikacja jest cyklicznie testowana przy pomocy testów penetracyjnych;

c) komponenty architektury aplikacji są monitorowane pod kątem podatności;

d) stosowane są zabezpieczenia sieciowe na styku z siecią Internet.

2. Zabezpieczenia dotyczące uwierzytelniania: jest stosowana weryfikacja tożsamości nadawcy w trakcie komunikacji zapewniająca, że tylko upoważnione podmioty mogą być uwierzytelnione, a dane uwierzytelniające są przechowywane i transportowane w sposób bezpieczny.

3. Zabezpieczenia dotyczące zarządzania sesją: zostały wdrożone mechanizmy zarządzania sesją, przy pomocy których interakcja aplikacji z użytkownikiem jest nadzorowana i bezpieczna. Sesje są unikalne dla każdego użytkownika i nie mogą zostać odgadnięte lub współdzielone.

4. Zabezpieczenia dotyczące kontroli dostępu: jest zapewniony dostęp jedynie do tych zasobów, na które wyrażono zgodę. Osoby uzyskujące dostęp posiadają ważne dane uwierzytelniające, a użytkownicy są powiązani ze zdefiniowanymi zestawami ról i uprawnień.

5. Zabezpieczenia dotyczące obsługi złośliwych danych wejściowych: jest stosowana walidacja

danych wejściowych zapewniająca poprawność i dostosowanie do zamierzonych celów.

6. Zabezpieczenia dotyczące nieaktywnych mechanizmów kryptograficznych: jest zapewnione, że wszystkie moduły kryptograficzne kończące pracę niepowodzeniem robią to w sposób bezpieczny. Dostęp do kluczy jest zarządzany w bezpieczny sposób.

7. Zabezpieczenia dotyczące obsługi i logowania błędów: stosowane są mechanizmy logowania zdarzeń bezpieczeństwa, a wszystkie logowane informacje są obsługiwane i przechowywane w sposób bezpieczny.

8. Zabezpieczenia dotyczące mechanizmów ochrony danych: jest zapewniona ochrona danych przed nieautoryzowanym podglądem lub ujawnieniem, zarówno podczas transmisji jak i podczas przechowywania. Dane chronione są przed złośliwym tworzeniem, zmianą lub usuwaniem przez nieupoważnione osoby oraz dostępne są tylko dla autoryzowanych użytkowników, gdy tylko są potrzebne.

9. Zabezpieczenia dotyczące komunikacji:

a) stosowane jest bezpieczne połączenie we wszystkich połączeniach (zewnętrznych i wewnętrznych), które są uwierzytelniane lub związane są z wrażliwymi danymi lub funkcjami;

b) zapewnione są mechanizmy uniemożliwiające pogorszenie parametrów bezpieczeństwa połączenia;

c) stosowany jest najsilniejszy dostępny algorytm szyfrowania.

10. Zabezpieczenia dotyczące konfiguracji http: są zapewnione bezpieczne zestawy znaków w nagłówkach oraz nie są ujawniane informacje o wersjach komponentu systemów.

11. Zabezpieczenia dotyczące bezpieczeństwa plików i zasobów: jest zapewnione, że niezaufane dane z plików obsługiwane są w sposób bezpieczny, a pliki źródłowe otrzymane z niezaufanych źródeł są przechowywane poza katalogiem głównym aplikacji z ograniczonymi uprawnieniami.

12. Zabezpieczenia dotyczące bezpieczeństwa webservice’ów: jest zapewniona walidacja wszystkich

parametrów wejściowych, które są transmitowane z mniej do bardziej zaufanych warstw.

13. Zabezpieczenia dotyczące bezpieczeństwa procesu konfiguracji: jest zapewnione bezpieczeństwo podczas zmian w oprogramowaniu i wykorzystywanie aktualnych bibliotek i platform, a komunikacja pomiędzy komponentami jest szyfrowana i uwierzytelniana.

ZAŁĄCZNIK NR 3 - DALSZE PODMIOTY PRZETWARZAJĄCE

Lp.	Nazwa DPP	Adres DPP	Miejsce przetwarzania przez DPP	Cel dalszego powierzenia DPP
1.	Xxxxxxxx S.A.	ul. Xxxxxxxx 00, 00- 000 Xxxxxxxx	Xxxxxx, Warszawa	Hosting w postaci xxxxxx xxxxxxxxxxxxx
0.	Microsoft Ireland Operations Limited	00 Xxx Xxxxxxxx’x Xxxx Xxxxxx 000, Xxxxxxxx	EOG (główne centra danych: Holandia)	Hosting w postaci chmury obliczeniowej (Microsoft Azure)
3.	Google Ireland Limited	Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx 0 Irlandia	EOG (główne centra danych: Irlandia, Niemcy, Belgia, Finlandia, Holandia)	Hosting w postaci chmury obliczeniowej (Google Cloud)
4.	Atende S.A.	Xxxx Xxxxxxxx 00x, 00-000 Xxxxxxxx, Polska	Polska, Warszawa	Usługa wsparcia technicznego

*wszystkie koszty zostały podane w kwotach netto.

Lp.	Koszt*	Opis kosztu
1.	130 zł	Godzina pracy osoby zaangażowanej w Kontrolę Przetwarzania w zakresie audytu środków technicznych i organizacyjnych, za pomocą których Usługodawca przetwarza Dane Osobowe, w szczególności takich jak oprogramowanie, aplikacje, serwery, sprzęt komputerowy, zabezpieczenia systemowe.
2.	160 zł	Godzina pracy Inspektora Ochrony Danych.
3.	50 zł	Godzina pracy osoby zaangażowanej w Kontrolę Przetwarzania w zakresie audytu dokumentacji prawnej/administracyjnej.

Document Metadata

Table of Contents

ZAŁĄCZNIK NR 4 DO OGÓLNYCH ZASAD WSPÓŁPRACY Z GRUPĄ PRACUJ S.A.

Document Metadata