UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
(zwana dalej „Umową”) zawarta w dniu 2021 r. w Warszawie, pomiędzy:
Bankiem Ochrony Środowiska Spółką Akcyjną z siedzibą w Warszawie, xx. Xxxxxxx 00, 00-000 Xxxxxxxx wpisanym do rejestru przedsiębiorców prowadzonym przez Sąd Rejonowy dla m. st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000015525, kapitał zakładowy w wysokości 929.476.710 zł wpłacony w całości, XXX 0000000000, REGON 006239498 reprezentowanym przez:
1.
2.
zwanym dalej „Administratorem” a
reprezentowanym przez:
1.
2.
zwanym dalej „Procesorem”,
zwanymi dalej łącznie Stronami, a z osobna „Stroną”.
§ 1
DEFINICJE
1. RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Dane osobowe - dane w rozumieniu RODO, tj. dane, które oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
3. Przetwarzanie Danych osobowych – wszelkie operacje lub zestaw operacji wykonywanych na Danych osobowych lub zestawach Danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie w rozumieniu RODO.
4. Postępowanie przetargowe – postępowanie ogłoszone w dniu 02 marca 2021 roku w trybie nieograniczonego przetargu ofertowego na świadczenie usług windykacyjnych organizowane przez Bank Ochrony Środowiska Spółkę Akcyjną z siedzibą w Warszawie.
§ 2
OŚWIADCZENIA STRON
1. Strony oświadczają, że Umowa została zawarta w celu wykonania obowiązków, o których mowa w art. 28 ust. 3 RODO w związku z powierzeniem przez Administratora Procesorowi Danych osobowych.
2. Administrator oświadcza, iż jest administratorem powierzonych Procesorowi Danych osobowych w rozumieniu przepisów RODO co oznacza, że samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania Danych osobowych.
3. Administrator oświadcza, że posiada podstawę prawną do przetwarzania Danych osobowych powierzonych Procesorowi.
4. Procesor oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8) RODO, a ponadto oświadcza, iż dysponuje środkami, doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe wykonanie Umowy, w tym zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby Przetwarzanie Danych osobowych spełniało wymogi RODO.
5. Procesor oświadcza, że stosuje środki bezpieczeństwa spełniające wymogi RODO.
§ 3
POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. Administrator powierza Procesorowi, w trybie art. 28 RODO do Przetwarzania Dane osobowe wskazane w ust. 2 i 3 poniżej, a Procesor zobowiązuje się do ich przetwarzania wyłącznie w zakresie i celu przewidzianym w Umowie.
2. Zakres przetwarzanych przez Procesora Danych osobowych na podstawie Umowy obejmuje następujące kategorie osób: dłużnicy Administratora w tym dłużnicy rzeczowi oraz poręczyciele.
3. Zakres powierzonych Procesorowi do Przetwarzania Danych osobowych może obejmować takie dane jak: imiona i nazwiska dłużników Administratora w tym dłużników rzeczowych oraz poręczycieli ich numery PESEL oraz numery ksiąg wieczystych nieruchomości.
4. Procesor nie ma prawa do wykorzystania Danych osobowych w jakimkolwiek celu po rozwiązaniu lub wygaśnięciu Umowy.
§ 4
CEL PRZETWARZANIA DANYCH
1. Wyłącznym celem Przetwarzania Danych osobowych jest wykonanie przez Procesora analizy wierzytelności przysługujących Administratorowi, a przeznaczonych do sprzedaży w ramach ogłoszonego Postępowania przetargowego.
2. Procesor będzie wykonywał następujące operacje dotyczące powierzonych do przetwarzania Danych osobowych: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, dopasowywanie lub łączenie, ujawnianie innym podmiotom zgodnie z przepisami prawa lub na polecenie Administratora, ograniczanie, usuwanie lub niszczenie.
§ 5
OBOWIĄZKI PROCESORA
1. Procesor może przetwarzać powierzone mu Dane osobowe wyłącznie w zakresie i celu określonym w Umowie oraz zgodnie z udokumentowanymi poleceniami Administratora, przy czym za takie udokumentowane polecenia uważa się polecenia przekazywane drogą e-mail lub na piśmie.
2. Przy Przetwarzaniu Danych osobowych, Procesor zobowiązuje się do przestrzegania bezwzględnie obowiązujących przepisów prawa, a w szczególności przepisów RODO.
3. W przypadku wypowiedzenia, rozwiązania bądź wygaśnięcia Umowy, Procesor zobowiązany jest do trwałego usunięcia powierzonych do przetwarzania Danych osobowych oraz do usunięcia wszelkich istniejących kopii tych Danych osobowych w terminie do 7 dni roboczych od wypowiedzenia, rozwiązania lub wygaśnięcia Umowy.
4. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie, nie później niż w terminie 7 dni roboczych od zaistnienia poniższych zdarzeń o:
a) wszczęciu kontroli przez organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem Procesorowi przetwarzania Danych osobowych na podstawie Umowy, a także o wszelkich decyzjach lub postanowieniach administracyjnych wobec Procesora w związku z powyższym,
b) wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem Procesorowi przetwarzania Danych osobowych na podstawie Umowy, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym.
5. Procesor zobowiązuje się:
a) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomagać Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO. W ramach tego obowiązku Procesor zobowiązuje się przekazywać Administratorowi, w terminach określonych w Umowie informacje dotyczące stosowanych środków zabezpieczania powierzonych Danych osobowych, informacje dotyczące przypadków naruszenia ochrony Danych osobowych będących przedmiotem Umowy oraz informacje niezbędne Administratorowi do zawiadamiania o przypadkach naruszenia organu nadzorczego ochrony Danych osobowych lub osób, których Dane osobowe dotyczą,
b) przekazywać Administratorowi na adres e-mail; xxx@xxxxxxx.xx, w ciągu 24 godzin od wykrycia zdarzenia, informacje o naruszeniu ochrony powierzonych Procesorowi Danych osobowych, w tym znane Procesorowi informacje niezbędne Administratorowi do zgłoszenia naruszenia ochrony danych organowi nadzorczemu, o którym mowa w art. 33 ust. 3 RODO,
c) w miarę możliwości pomagać Administratorowi, poprzez odpowiednie środki techniczne i organizacyjne oraz na podstawie odrębnych ustaleń dokonywanych w formie pisemnej lub elektronicznej w wywiązywaniu się z obowiązku odpowiadania na żądanie osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w rozdziale III RODO,
d) niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania polecenia, informować Administratora, jeżeli zdaniem Xxxxxxxxx wydane mu plecenie stanowi naruszenie RODO lub innych przepisów dotyczących ochrony danych,
e) że będzie przetwarzał powierzone Dane osobowe na terytorium Rzeczypospolitej Polskiej,
f) przesłania do Administratora przed podpisaniem Umowy wypełnionej ankiety - ocena podmiotu przetwarzającego, stanowiącej załącznik nr 3 do Umowy.
6. Do Przetwarzania Danych osobowych Procesor dopuści wyłącznie osoby, którym zostało nadane pisemne upoważnienie do przetwarzania powierzonych danych w celu realizacji Umowy.
7. Procesor prowadzi, w formie pisemnej (w tym elektronicznej), rejestr wszystkich kategorii czynności przetwarzania powierzonych mu danych, za który jest odpowiedzialny. Rejestr ten udostępnia na żądanie organu nadzorczego w celu monitorowania operacji przetwarzania.
8. Procesor oświadcza, ze wyznaczył inspektora ochrony danych, o czym powiadomił organ nadzoru. Dane inspektora ochrony danych opublikowane są na stronie internetowej Procesora.1
§ 6
AUDYT
1. Administrator jest uprawniony do weryfikacji przestrzegania przez Procesora zasad Przetwarzania Danych osobowych wynikających z RODO oraz Umowy, poprzez prawo żądania udzielenia wszelkich informacji dotyczących powierzonych Danych osobowych.
2. Administrator ma także prawo przeprowadzania audytów lub inspekcji Procesora w zakresie zgodności operacji przetwarzania powierzonych do przetwarzania Danych osobowych z prawem i z Umową. Audyty lub inspekcje mogą być przeprowadzane wyłącznie przez pisemnie upoważnionych przez Administratora pracowników.
3. Prawo do przeprowadzenia audytów lub inspekcji Procesora przysługuje Administratorowi, pod warunkiem wcześniejszego powiadomienia Procesora o planowanym audycie na co najmniej 7 dni roboczych przed planowanym terminem audytu.
4. Po zakończeniu audytu pracownik upoważniony przez Administratora do audytu lub podmiot trzeci upoważniony do audytu przez Administratora przedstawia Procesorowi wyniki audytu, a Procesor zobowiązany jest do usunięcia nieprawidłowości.
5. Procesor zobowiązuje się niezwłocznie informować Administratora na piśmie, jeżeli zdaniem Xxxxxxxxx wydane jemu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie Danych osobowych.
6. Audyt, o którym mowa w ust. 2 może się odnosić wyłącznie do powierzonych do przetwarzania przez Administratora Danych osobowych i wykorzystywanych do tego narzędzi, infrastruktury i procedur. Sposób przeprowadzenia audytu nie może naruszać innych obszarów działalności Procesora, m. in. informacji poufnych, zobowiązań umownych, informacji dotyczących współpracy Procesora z innymi podmiotami.
§ 7
DALSZE POWIERZENIE DANYCH DO PRZETWARZANIA
Procesor nie może przekazywać powierzonych mu do Przetwarzania Danych osobowych objętych Umową do dalszego przetwarzania.
§ 8
ODPOWIEDZIALNOŚĆ PROCESORA
1 Postanowienie to jest aktualne, o ile Procesor wyznaczył inspektora (w momencie zawierania umowy
inspektor jest wyznaczony). Jeżeli Procesor nie wyznaczył inspektora, to zobowiązany jest poinformować Bank o wyznaczeniu inspektora ochrony danych oraz o miejscu publikacji danych kontaktowych inspektora ochrony danych – niezwłocznie po wyznaczeniu inspektora ochrony danych.
1. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie Danych osobowych niezgodnie z treścią Umowy, w tym za udostępnienie Danych osobowych osobom / podmiotom nieupoważnionym.
2. Procesor odpowiada za szkody, jakie powstaną u Administratora, a także osób których Dane osobowe dotyczą lub innych osób trzecich w wyniku niezgodnego z Umową lub przepisami prawa przetwarzaniem przez Procesora powierzonych Danych osobowych na podstawie Umowy, w tym w związku z udostępnieniem Danych osobowych osobom / podmiotom nieupoważnionym lub niezastosowaniem właściwych środków bezpieczeństwa.
3. W przypadku naruszenia obowiązujących przepisów prawa lub Umowy z przyczyn leżących po stronie Procesora, w następstwie czego Administrator zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany administracyjną karą finansową, Procesor zobowiązuje się pokryć Administratorowi poniesione z tego tytułu uzasadnione, niezbędne i udokumentowane koszty.
§ 9
OBOWIĄZKI ADMINISTRATORA
Administrator zobowiązany jest współdziałać z Procesorem przy wykonywaniu Umowy jak też wywiązywać się terminowo ze swoich szczegółowych obowiązków.
§ 10
UDOSTĘPNIENIE DANYCH OSOBOWYCH REPREZENTANTÓW I PRACOWNIKÓW
1. Strony jako administratorzy danych osobowych swoich reprezentantów i pracowników, udostępniają wzajemnie dane osobowe reprezentantów i pracowników współpracujących ze sobą w celu i w zakresie niezbędnym dla wykonania Umowy.
2. Strony udostępniają dane reprezentantów i pracowników wymienionych w ust. 1 w zakresie: imię i nazwisko, stanowisko służbowe, służbowy adres e-mail, numer telefonu służbowego, w celu umożliwienia należytego wykonania przez Strony Umowy.
3. Dane osobowe udostępnione na podstawie ust. 1 każda ze Stron przetwarza we własnym imieniu w związku z podejmowaniem poszczególnych czynności mających na celu wykonanie Umowy, tj. w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Stronę jako administratora danych.
4. W wyniku udostępnienia danych, o których mowa w ust. 2, każda ze Stron staje się administratorem udostępnionych danych osobowych w zakresie, w jakim przetwarza te dane w związku z realizacją Umowy.
5. Każda ze Stron oświadcza, że przy przetwarzaniu danych osobowych udostępnionych przez drugą Stronę na podstawie ust. 1, realizuje wszystkie obowiązki administratora danych wynikające z RODO.
6. Każda ze Stron oświadcza, że posiada i stosuje, przy przetwarzaniu udostępnionych danych osobowych, środki techniczne i organizacyjne odpowiadające wymogom RODO, w szczególności wymogom bezpieczeństwa przetwarzania danych osobowych. Każda ze Stron oświadcza, że stosowanie przez nią środków technicznych i organizacyjnych, o których wyżej mowa, zapewnia przetwarzanie danych osobowych zgodnie z wymogami RODO, w sposób zapewniający ochronę praw osób, których dane dotyczą.
7. Każda ze Stron oświadcza, że dysponuje środkami wymaganymi na mocy art. 32 RODO oraz że w odniesieniu do danych osobowych udostępnionych przez drugą Stronę zgodnie z ust. 3, podejmuje wszelkie środki wymagane na mocy art. 32 RODO, tj. stosuje odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.
8. Każda ze Stron oświadcza, że jako administrator danych osobowych prowadzi rejestr czynności przetwarzania danych. W rejestrze, o którym wyżej mowa, każda ze Stron uwzględnia przetwarzanie danych osobowych udostępnionych jej na podstawie Umowy.
9. Każda ze Stron oświadcza, że w stosunku do reprezentantów i pracowników, których dane zostały udostępnione na podstawie Umowy, wykona obowiązki informacyjne wynikające z art. 14 RODO.
10.Administrator oświadcza, że w imieniu Xxxxxxxxx wypełnił wobec swoich pracowników, których dane są przedmiotem udostępnienia obowiązki informacyjne zgodnie z art. 14 RODO. Wzór obowiązku informacyjnego Procesora stanowi załącznik nr 1 do Umowy.
11.Procesor oświadcza, że w imieniu Administratora wypełnił wobec swoich pracowników, których dane są przedmiotem udostępnienia obowiązki informacyjne zgodnie z art. 14 RODO. Wzór obowiązku Administratora stanowi załącznik nr 2 do Umowy.
§ 11
CZAS OBOWIĄZYWANIA UMOWY
Umowa wchodzi w życie z dniem jej podpisania przez Xxxxxx i zostaje zawarta wyłącznie na czas analizy wierzytelności przeznaczonych przez Administratora do sprzedaży w ramach Postępowania przetargowego. Umowa ulega rozwiązaniu wraz z zakończeniem procesu analizy wierzytelności. Procesor zobowiązany jest niezwłocznie poinformować Administratora o zakończeniu analizy wierzytelności.
§ 12
ZAKOŃCZENIE POWIERZENIA PRZETWARZANIA
Po rozwiązaniu Umowy, Procesor zobowiązany jest do trwałego usunięcia powierzonych na mocy Umowy Danych osobowych z wszystkich nośników danych, zarówno w wersji elektronicznej jak i papierowej, w terminie tygodnia od rozwiązania Umowy, chyba że Xxxxxx postanowiły inaczej. Na żądanie Administratora Procesor potwierdzi pisemnie lub elektronicznie usunięcie Danych osobowych, które przetwarzał w związku z wykonywaniem Umowy. Przez usunięcie danych, należy rozumieć takie zniszczenie, które nie pozwoli na ich ponowne odtworzenie.
§ 13
ZASADA ZACHOWANIA POUFNOŚCI
Procesor zobowiązuje się, zgodnie z art. 28 ust. 3b RODO, do zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczania, w tym również po rozwiązaniu Umowy, oraz zobowiązuje się zapewnić, aby jego pracownicy, podwykonawcy oraz inne osoby upoważnione do Przetwarzania Danych osobowych, zobowiązały się do zachowania w tajemnicy Danych osobowych oraz sposobów ich zabezpieczenia, w tym także po rozwiązaniu Umowy.
§ 14
POSTANOWIENIA KOŃCOWE
1. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.
2. W sprawach nieuregulowanych Umową mają zastosowanie przepisy Kodeksu cywilnego oraz RODO.
3. Procesor nie może przenieść praw lub obowiązków wynikających z Umowy bez pisemnej zgody Administratora.
4. Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej Umowy będzie sąd właściwy dla Administratora.
5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
..................................... .....................................
Pieczęć i podpisy osób Pieczęć i podpisy osób
działających w imieniu Administratora działających w imieniu Procesora
Załącznik nr 1 do
UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH z dnia
Klauzula informacyjna Procesora
…..
Załącznik nr 2 do
UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH z dnia
Klauzula informacyjna Administratora
Informacja dla pracownika i reprezentanta Procesora biorącego udział w realizacji procesu sprzedaży portfeli wierzytelności w ramach ogłoszonego w dniu 13 stycznia
2021 roku niepublicznego zamkniętego przetargu ofertowego
Informujemy, że Bank Ochrony Środowiska Spółka Akcyjna z siedzibą w Warszawie, xx. Xxxxxxx 00, 00-000 Xxxxxxxx, tel. 000 000 000, xxx@xxxxxxx.xx („Bank”) jest administratorem Pani/Pana danych osobowych należących do kategorii danych identyfikacyjnych i kontaktowych. Pani/Pana dane osobowe zostały udostępnione Bankowi przez ………………. z siedzibą w ………………. w związku z udziałem w realizacji procesu sprzedaży portfeli wierzytelności w ramach ogłoszonego w dniu 13 stycznia 2021 roku niepublicznego zamkniętego przetargu ofertowego („Przetarg”).
Bank wyznaczył Inspektora Ochrony Danych, w przypadku jakichkolwiek pytań związanych z przetwarzaniem danych osobowych zachęcamy do kontaktu z Inspektorem pod adresem adres e-mail: xxx@xxxxxxx.xx lub pod adresem pocztowym: xx. Xxxxxxx 00, 00-000 Xxxxxxxx.
Pani/Pana dane osobowe będą przetwarzane dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez Bank jako administratora (podstawa prawna: art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)).
Prawnie uzasadnionym interesem realizowanym przez Bank jako administratora danych jest zapewnienie prawidłowej realizacji warunków Umowy. Prawnie uzasadnionym interesem Banku jest również zapewnienie możliwości prawidłowego zweryfikowania Pani/Pana tożsamości i nadania Pani/Panu stosownych uprawnień niezbędnych do podejmowania czynności związanych z udziałem w Przetargu, jak również do podejmowania czynności wiązanych z koniecznością zapobiegania jakimkolwiek oszustwom. Prawnie usprawiedliwionym interesem realizowanym przez Bank jest również zapewnienie możliwości ustalenia i dochodzenia przez Bank ewentualnych roszczeń lub obrony przed roszczeniami.
Pani/Pana dane osobowe będą przetwarzane przez czas, w którym będzie Pani/Pan wykonywać czynności związanych z udziałem w Przetargu z zastrzeżeniem, że okres przechowywania Pani/Pana danych osobowych może zostać przedłużony o okres niezbędny
do celowego dochodzenia ewentualnych roszczeń lub obrony przed roszczeniami. Przysługuje Pani/Panu prawo żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania
Informujemy, że przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.
Załącznik nr 3 do
UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH z dnia
Ankieta - Ocena podmiotu przetwarzającego z punktu widzenia spełnienia warunków,
o których mowa w art. 28 ust. 1 RODO
Nazwa podmiotu przetwarzającego (który podlega ocenie): …………………………………………………..
Dane kontaktowe podmiotu przetwarzającego:…………………………………………………………………..
Przedmiot umowy z podmiotem przetwarzającym:………………………………………………………………
Przedstawiciele podmiotu, z którymi BOŚ S.A. kontaktował się w celu dokonania oceny podmiotu przetwarzającego: …………………………………………………………………………………………………..
L.P. | PYTANIE | TAK/NIE | WYMÓG |
WIEDZA FACHOWA | |||
1. | Czy podmiot przetwarzający posiada doświadczenie lub daje rękojmię należytego świadczeniu usług związanych z powierzeniem przetwarzania danych osobowych? Jeśli tak, to jak duże jest to doświadczenie? Prosimy o udokumentowanie świadczenia przedmiotowych usług. | ||
2. | Czy przepisy prawa wymagają, aby dany podmiot przetwarzający wyznaczył inspektora ochrony danych? | art. 37 RODO | |
3. | Czy dany podmiot przetwarzający wyznaczył inspektora ochrony danych? | art. 37 RODO | |
4. | Czy podmiot przetwarzający wyznaczył inspektora ochrony danych, mimo że nie wymagają tego przepisy prawa lub też inną osobę/zespół odpowiedzialny za nadzór nad ochroną danych osobowych w organizacji? | ||
5. | Czy osoby po stronie podmiotu przetwarzającego dedykowane do obsługi BOŚ S.A. zostały przeszkolone i zapoznane z przepisami o ochronie danych? Czy jest to udokumentowane? | ||
6. | Czy osoby zatrudnione w podmiocie przetwarzającym przy przetwarzaniu danych zostały przeszkolone w zakresie obsługi, w tym bezpiecznego korzystania z systemu informatycznego, jeżeli jest on stosowany do przetwarzania danych przez podmiot przetwarzający? | ||
7. | Czy osoby zatrudnione w podmiocie przetwarzającym przy przetwarzaniu danych zostały przeszkolone w zakresie zasad bezpieczeństwa informacji? | ||
8. | [Pytanie zadać tylko gdy podmiot przetwarzający będzie pracował na własnym systemie informatycznym] Czy osoby zatrudnione w podmiocie przetwarzającym przy przetwarzaniu danych zostały przeszkolone w zakresie obsługi, w tym bezpiecznego korzystania z systemu informatycznego, jeżeli jest on stosowany do przetwarzania danych przez podmiot przetwarzający? | ||
WIARYGODNOŚĆ | |||
1. | Czy podmiot przetwarzający posiada referencje od innych podmiotów, które obsługuje/obsługiwał w zakresie przetwarzania danych osobowych na ich zlecenie? Jeśli tak, to prosimy o przedstawienie takich referencji. | ||
2. | Czy stwierdzono prawomocną decyzją Prezesa Urzędu Ochrony Danych Osobowych lub innego organu nadzorczego lub prawomocnym wyrokiem sądu naruszenie ochrony danych osobowych przez podmiot przetwarzający? Jeśli tak, czy naruszenie zostało usunięte? | ||
3. | Czy podmiot przetwarzający stosuje się do przyjętych przez organ nadzorczy kodeksów podstępowania? Jeśli tak to jakich? | art. 40 RODO | |
4. | Czy podmiot przetwarzający objęty jest monitorowaniem przestrzegania kodeksu postępowania przez akredytowany podmiot monitorujący? | art. 41 RODO | |
5. | Czy podmiot przetwarzający otrzymał certyfikat zgodności z RODO? | art.42 RODO | |
6. | Kryterium wewnętrzne: Czy rozważany podmiot jest znany na rynku jako podmiot wykonujący danego rodzaju usługi? Jeżeli tak, jaką ma renomę? Jakie są opinie o tym podmiocie, o współpracy z tym podmiotem, o stosowanych przez niego zabezpieczeniach czy przetwarzaniu danych? | Wypełnia Bank | |
7. | Kryterium wewnętrzne: Czy Spółka (ADO) lub inna Spółka z grupy kapitałowej w przeszłości współpracowała z rozważanym podmiotem? Jeżeli tak, jakie są doświadczenia współpracy z tym podmiotem i opinie o nim? | Wypełnia Bank | |
ZASOBY | |||
1. | Czy podmiot przetwarzający opracował i wdrożył politykę ochrony danych lub podobną procedurę? Jeśli tak, prosimy o jej przedstawienie. | art. 24 RODO | |
2. | Czy podmiot przetwarzający wdrożył instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych? | ||
3. | Czy podmiot przetwarzający prowadzi ewidencję naruszeń przepisów o ochronie danych osobowych, w tym naruszeń bezpieczeństwa danych? | ||
4. | Czy podmiot przetwarzający prowadzi rejestry czynności przetwarzania danych osobowych (jako ADO oraz jako procesor)? | art. 30 RODO | |
5. | Czy podmiot przetwarzający wdrożył zasady zarządzania bezpieczeństwem informacji, w tym: | ||
a) system zarządzania bezpieczeństwem informacji na podstawie normy ISO 27001? Czy posiada certyfikat? | |||
b) zasady zarządzania bezpieczeństwem informacji z elementami wykorzystania normy ISO 27002? | |||
c) [dla podmiotów publicznych] zasady zarządzania bezpieczeństwem informacji zgodne z wymaganiami Krajowych Ram Interoperacyjności? | |||
d) [dla podmiotów podlegających pod Komisję Nadzoru Finansowego] zasady zarządzania bezpieczeństwem informacji zgodne z odpowiednimi wytycznymi KNF? | |||
Czy podmiot wdrożył inne zasady ochrony informacji – np. Polityka bezpieczeństwa informacji, itp.? | |||
6. | Czy podmiot przetwarzający dobrał zabezpieczenia zapewniające bezpieczeństwo przetwarzanych danych osobowych w odniesieniu do oceny skutków ich przetwarzania dla praw i wolności osób, których dane dotyczą? (na podstawie szacowania ryzyka pod kątem ochrony prywatności - Privacy Impact Assessment)? | Odniesienie do art. 24, 25, 32 RODO | |
7. | Czy szacowanie ryzyka zostało udokumentowane, np. czy został stworzony plan postępowania z ryzykiem lub zakres zastosowania (Statement of Applicability)? | ||
8. | Czy podmiot przetwarzający okresowo przeprowadza kolejne działania związane z szacowaniem ryzyka pod kątem ochrony prywatności? Czy w przypadku zmiany poziomu ryzyka dobiera nowe środki techniczne i organizacyjne zabezpieczające dane, stosownie do wyników analizy? | ||
9. | Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z ich przetwarzaniem, w tym: | art. 32 ust. 1 lit. a)-c) RODO | |
a) pseudonimizację i szyfrowanie danych, | |||
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, |
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. | |||
10. | Czy podmiot przetwarzający prowadzi regularnie audyty dotyczące zasad bezpieczeństwa informacji, w tym danych osobowych, w celu weryfikacji spełniania wymogów polityki ochrony danych lub innej wewnętrznej procedury, w tym ocena skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania? | art. 32 ust. 1 lit. d) RODO | |
11. | Czy wnioski z audytów zostały udokumentowane, np. w raporcie audytowym? | ||
12. | Czy podmiot przetwarzający jest przygotowany do poddania się audytowi przeprowadzonemu przez administratora danych lub audytora upoważnionego przez administratora danych? | ||
13. | Czy osoby delegowane do obsługi ADO posiadają nadane upoważnienia do przetwarzania danych? Czy zostało to udokumentowane? Prosimy o przedłożenie listy osób upoważnionych, które będą obsługiwać ADO? | ||
14. | Czy osoby upoważnione do przetwarzania danych w ramach obsługi ADO zostały obowiązane do zachowania ich w tajemnicy? Czy zostało to udokumentowane? | ||
15. | Czy podmiot przetwarzający wprowadził procedurę upoważniania osób uczestniczących w przetwarzaniu danych osobowych do ich przetwarzania? | ||
16. | Czy podmiot przetwarzający gwarantuje przetwarzanie danych osobowych w obszarze EOG (tj. nie przekazywania danych do państw trzecich)? | ||
17. | Czy podmiot przetwarzający gwarantuje, że nie będzie korzystał z usług innych podwykonawców, a w razie korzystania z usług takich podwykonawców, czy gwarantuje, że będą oni zapewniać co najmniej równorzędny poziom ochrony Danych Osobowych co podmiot przetwarzający? |
Ogólny wynik oceny spełnienia kryteriów z art. 28 ust. 1 RODO przez podmiot przetwarzający:
[ ] TAK. Podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych,
[ ] NIE. Podmiot przetwarzający nie zapewnia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych,
Uzasadnienie:………………………………………………………………………………………………………….
Data i podpis IOD: ……………………………………………………………………………………………………