UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik nr 6 do Zapytania ofertowego nr 1/2021
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zwana dalej Umową powierzenia, zawarta w Dąbrowie Górniczej w dniu r. pomiędzy:
Akademią WSB z siedzibą: 41-300 Dąbrowa Górnicza, xx. Xxxxxxxx 0 X, XXX 000-00-00-000, wpisaną do ewidencji uczelni niepublicznych pod liczbą porządkową 66, reprezentowana przez Rektora – xx xxx. Xxxxxxxxx Xxxxx-Xxxxxxxxx, prof. AWSB, zwaną dalej Administratorem,
a,
…………………………………………………………………………………………………., zwaną/ego dalej Procesorem,
zwanymi dalej łącznie lub z osobna Stronami,
w związku z realizacją umowy………………………………………….z dnia roku zawartej pomiędzy
Stronami, zwanej dalej Umową główną,
§ 1 POSTANOWIENIA WSTĘPNE
1. Administrator oświadcza, że jest administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych, zwanego dalej RODO) w stosunku do danych osobowych powierzonych Procesorowi.
2. Procesor oświadcza, że jest podmiotem przetwarzającym w rozumieniu art. 4 pkt 8 RODO.
3. Procesor zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z Umową powierzenia, RODO oraz z innymi przepisami powszechnie obowiązującego prawa.
4. Procesor ponosi odpowiedzialność za przetwarzanie powierzonych danych osobowych niezgodnie z Umową powierzenia, RODO lub z innymi przepisami powszechnie obowiązującego prawa, a w szczególności za przypadkowe lub niezgodne z prawem zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub dopuszczenie do nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w ramach realizacji Umowy głównej.
§ 2 PRZEDMIOT I CZAS TRWANIA PRZETWARZANIA
1. Administrator powierza Procesorowi czynności przetwarzania danych osobowych, dokonywane w jego imieniu.
2. Przedmiot powierzonych czynności przetwarzania danych osobowych stanowi czynności związane z realizacją Umowy głównej, z którymi może wiązać się dostęp do baz danych Administratora - wykonywane w ramach realizacji Umowy głównej.
3. Powierzenie czynności przetwarzania następuje na czas: (proszę zaznaczyć odpowiednie)
□ oznaczony, wynoszący od………………….do ,
□ nieoznaczony.
4. Niezależnie od czasu powierzenia czynności przetwarzania danych osobowych, wypowiedzenie lub wygaśnięcie Umowy powierzenia lub Umowy głównej skutkuje zakończeniem czasu powierzenia czynności przetwarzania, o którym stanowi ust. 3.
§ 3 CHARAKTER I CEL PRZETWARZANIA
1. Sposób dokonywania przez Procesora czynności przetwarzania danych osobowych powierzonych przez Administratora obejmuje ich przechowywanie oraz:
(zaznaczyć odpowiednie)
□ odczyt / dostęp,
□ edycję,
□ archiwizację,
□ usuwanie.
2. Czynności przetwarzania danych osobowych są wykonywane w imieniu Administratora w sposób: -
(zaznaczyć odpowiednie)
□ jednorazowy,
□ ciągły.
3. Czynności przetwarzania danych osobowych są wykonywane w imieniu Administratora w odniesieniu do:
(zaznaczyć odpowiednie)
□ pojedynczych powierzonych danych,
□ całości powierzonych danych.
4. Celem przetwarzania danych osobowych przez Procesora jest realizacja postanowień Umowy głównej.
§ 4 RODZAJ DANYCH I KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ
1. Administrator powierza Procesorowi przetwarzanie danych osobowych:
(np. „klientów Administratora”, „pracowników Administratora”)
1.1. ,
1.2. .................................................
2. Rodzaj danych osobowych powierzonych Procesorowi obejmuje:
(np. „imię, nazwisko”.)
2.1. ………………………………………………,
2.2. ……………………………………………….
§ 5 ŚRODKI OCHRONY I DODATKOWE PROCEDURY
1. Procesor oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, zapewniającymi by przetwarzanie powierzonych mu danych osobowych chroniło prawa osób, których dane dotyczą i spełniało wymogi powszechnie obowiązującego prawa ochrony danych osobowych, a w szczególności art. 32 RODO. Procesor zobowiązuje się do ich stosowania.
2. Procesor oświadcza, iż w zakres wdrożonych środków organizacyjnych oraz środków technicznych o których stanowi ust. 1 wchodzą te zaznaczone przez Procesora, wynikające z treści załącznika nr 1 do umowy.
3. Procesor oświadcza, iż w celu realizacji Umowy powierzenia posługuje się wyłącznie procedurami, usługami i systemami informatycznymi, spełniającymi wymogi RODO.
4. Procesor zobowiązuje się do przetwarzania powierzonych danych osobowych w pomieszczeniach lub systemach informatycznych zabezpieczonych przed dostępem osób upoważnionych.
5. Procesor zobowiązuje się do prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych osobowych, dokonywanych w imieniu administratora, zgodnie z art. 30 pkt 2 i 3 RODO, w przypadku gdy nie znajduje zastosowania wyłączenie określone w art. 30 pkt 5 RODO.
6. W przypadku prowadzenia rejestru kategorii czynności, Procesor zobowiązuje się udostępniać rejestr na żądanie organu nadzorczego.
7. Procesor oraz osoby upoważnione przez Procesora do przetwarzania powierzonych danych osobowych są zobowiązane do zachowania ich w poufności, zarówno w okresie obowiązywania Umowy powierzenia, jak również bezterminowo po jej wygaśnięciu lub rozwiązaniu.
8. Procesor zobowiązuje się do zapewnienia, by osoby upoważnione do przetwarzania powierzonych mu danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.
9. Procesor zobowiązuje się do prowadzenia ewidencji osób upoważnionych do przetwarzania powierzonych mu danych osobowych.
10. W ramach wdrożonych środków technicznych i organizacyjnych, Procesor zobowiązuje się do zapewnienia pełnej rozliczalności danych osobowych powierzonych mu do przetwarzania w imieniu Administratora. W szczególności poprzez zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone, edytowane, zarchiwizowane, zwrócone Administratorowi lub usunięte.
11. Procesor oświadcza, iż:
(proszę zaznaczyć właściwe pole)
□ powołał Inspektora Ochrony Danych:…………………………………., nr tel……………………………….., adres e- mail ,
□ nie powołał Inspektora Ochrony Danych, a jako osobę kontaktową w przedmiocie realizacji postanowień Umowy powierzenia wskazuje:…………………………………., nr tel………………………………., adres e-mail……………………………………….
§ 6 PODPOWIERZANIE
1. Zgodnie z art. 28 pkt 2 RODO, Procesor nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora.
2. Administrator nie wyraża zgody na korzystanie przez Procesora z usług innych podmiotów przetwarzających.
3. Zgodnie z art. 28 pkt 2 RODO, w przypadku udzielenia ogólnej zgody na korzystanie przez Procesora z usług innych podmiotów przetwarzających, Procesor informuje Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
4. Jeżeli Procesor korzysta z usług innego podmiotu przetwarzającego do wykonania konkretnych czynności przetwarzania danych osobowych w imieniu Administratora, wówczas Procesor jest zobowiązany do posiadania z tym podmiotem przetwarzającym zawartej umowy, zobowiązującej do przestrzegania przyjętych środków i obowiązków ochrony danych osobowych, spoczywających na Procesorze i ustanowionych w niniejszej Umowie powierzenia.
5. Jeżeli podmiot przetwarzający z którego usług korzysta Procesor nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze, zgodnie z art. 28 pkt 4 RODO.
§ 7 UJAWNIANIE
1. Procesor jest uprawniony do ujawniania powierzonych mu danych osobowych tylko w ramach podpowierzenia wykonywanego zgodnie z powyższym artykułem oraz w przypadkach określonych poniżej.
2. Procesor jest uprawniony do ujawniania powierzonych mu danych osobowych organowi nadzorczemu, a także w przypadku otrzymania odpowiedniego żądania, postanowienia, decyzji, orzeczenia, właściwego organu państwowego, umocowanego konkretnym przepisem prawa powszechnie obowiązującego, nadającego temu organowi uprawnienie do ujawnienia danych przyjętych przez Procesora w powierzenia, pod warunkiem możliwości udokumentowania tego żądania.
3. Procesor zobowiązuje się niezwłocznie zawiadomić Administratora o każdym prawnie umocowanym żądaniu ujawnienia danych osobowych właściwemu organowi państwa, o ile prawo Unii Europejskiej lub prawo państwa członkowskiego któremu podlega Procesor nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
4. W innych przypadkach Procesor jest uprawniony do ujawniania powierzonych mu danych osobowych tylko na podstawie udokumentowanego polecenia Administratora.
§ 8 PRZEKAZYWANIE DO PAŃSTW TRZECICH
1. Z zastrzeżeniem następnego punktu, Procesor zobowiązuje do przetwarzania powierzonych mu danych osobowych wyłącznie na terenie Europejskiego Obszaru Gospodarczego, w zakres którego wchodzą wszystkie kraje Unii Europejskiej, Islandia, Liechtenstein oraz Norwegia.
2. Procesor zobowiązuje się do przetwarzania powierzonych mu danych osobowych lub ich przekazywania do państwa trzeciego lub organizacji międzynarodowej, wyłącznie na udokumentowane polecenie administratora.
3. Wymóg udzielenia polecenia o którym stanowi ust. 2 nie znajduje zastosowania, gdy obowiązek przekazania danych wynika z prawa Unii Europejskiej lub prawo państwa członkowskiego, któremu podlega Procesor.
4. W przypadku określonym w ust. 3, przed rozpoczęciem przetwarzania Procesor zobowiązuje się poinformować Administratora o tym obowiązku prawnym, o ile prawo Unii Europejskiej lub prawo państwa członkowskiego któremu podlega Procesor nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
§ 9 WSPARCIE ADMINISTRATORA
1. Zgodnie z art. 28 pkt 3 lit. e) RODO, w miarę możliwości i z uwzględnieniem charakteru przetwarzania powierzonych danych osobowych, Procesor zobowiązuje się do zapewnienia odpowiednich środków technicznych i organizacyjnych, które pomogą Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 12 – 22 RODO.
2. Zgodnie z art. 28 pkt 3 lit. f) RODO, Procesor z uwzględnieniem charakteru przetwarzania oraz dostępnych mu informacji, zobowiązuje się pomagać Administratorowi w wywiązaniu się z obowiązków określonych w art. 32 – 36 RODO.
§ 10 UDZIELANIE INFORMACJI ADMINISTRATOROWI
1. Procesor zobowiązuje się zawiadomić Administratora o każdej okoliczności mającej lub mogącej mieć wpływ na bezpieczeństwo powierzonych danych osobowych lub jego ocenę oraz na wykonywanie uprawnień przez osoby, których przetwarzane dane dotyczą, a w szczególności o:
1.1. każdym nieupoważnionym dostępie do danych osobowych powierzonych na podstawie Umowy powierzenia,
1.2. każdym naruszeniu zasad ochrony danych osobowych powierzonych na podstawie Umowy powierzenia,
1.3. każdym żądaniu otrzymanym od osoby, której dane przetwarza w imieniu Administratora,
1.4. wszczęciu kontroli lub postępowania administracyjnego, a także wydaniu decyzji administracyjnej lub rozpatrywaniu skargi przez organy państwowe, w szczególności organ nadzorczy, w odniesieniu do danych osobowych powierzonych na podstawie Umowy powierzenia.
2. Powiadomienie o którym stanowi ust. 1 wymaga udokumentowania, tj. wyrażenia w formie listu lub wiadomości e-mail.
3. Termin powiadomienia o którym stanowi ust.1 wynosi 24 godziny od chwili ujawnienia okoliczności stanowiącej postawę jego sformułowania.
4. Procesor niezwłocznie informuje Administratora, jeżeli jego zdaniem jakiekolwiek wydane mu polecenie stanowi naruszenie RODO lub innych powszechnie obowiązujących przepisów prawa. ---------------------------
§ 11 KONTROLA WYKONANIA UMOWY
1. Zgodnie z art. 28 pkt 3 lit. h RODO, Procesor zobowiązuje się udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w Umowie powierzenia, w szczególności informacje i dokumenty dotyczące sposobów realizacji obowiązków zabezpieczenia danych osobowych oraz przebiegu ich przetwarzania.
2. Zgodnie z art. 28 pkt 3 lit. h RODO, Procesor zobowiązuje się umożliwiać Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów realizacji zasad powierzenia danych osobowych, w tym inspekcji, i przyczyniać się do nich, w szczególności poprzez udostępnienie osobom działającym w imieniu
Administratora wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe, a także udostępnienie nośników i systemów teleinformatycznych służących do przetwarzania powierzonych danych osobowych.
3. Zobowiązanie o którym stanowi ust. 1 i 2 obowiązuje w czasie obowiązywania Umowy powierzenia oraz w terminie 7 dni po jej wygaśnięciu lub rozwiązaniu w przypadku zgłoszenia audytu, zgodnie z następnym punktem.
4. Administrator jest zobowiązany do zgłoszenia planowanego audytu na 7 dni kalendarzowych przed jego przeprowadzeniem.
5. Na zakończenie audytu, przedstawiciel Administratora sporządza protokół w dwóch egzemplarzach. Protokół z audytu jest podpisywany przez Xxxxxx.
6. Strony mogą wnieść zastrzeżenia do protokołu z audytu w terminie 7 dni kalendarzowych od daty jego podpisania.
7. Protokół z audytu stanowi podstawę oceny zgodności procesu przetwarzania powierzonych danych osobowych względem niniejszej Umowy powierzenia oraz powszechnie obowiązujących przepisów prawa.
§ 12 ZMIANY I ROZWIĄZANIE UMOWY
1. Umowa powierzenia ulega wygaśnięciu w przypadku rozwiązania lub wygaśnięcia Umowy głównej, w terminie jej rozwiązania lub wygaśnięcia.
2. Strony mogą wypowiedzieć Umowę powierzenia bez podania przyczyny, z zachowaniem okresu wypowiedzenia, wynoszącego 1 miesiąc.
3. Administrator jest uprawniony do wypowiedzenia Umowy powierzenia bez zachowania okresu wypowiedzenia, w przypadku:
3.1. naruszenia jej postanowień przez Xxxxxxxxx,
3.2. zawiadomienia przez Procesora o jego niezdolności do dalszego wykonywania Umowy powierzenia, a w szczególności do zapewnienia środków technicznych lub organizacyjnych służących do zapewnienia odpowiedniego stopnia ochrony powierzonych danych osobowych.
4. Zmiana Umowy powierzenia wymaga zachowania formy przyjętej dla jej zawarcia, pod rygorem nieważności.
§ 13 OBOWIĄZKI PROCESORA W ZWIĄZKU Z ROZWIĄZANIEM UMOWY
1. Wypowiedzenie i wygaśnięcie Umowy powierzenia skutkuje obowiązkiem Procesora, w zależności od oświadczenia Administratora, do usunięcia lub zwrócenia Administratorowi wszelkich dokumentów i nośników zawierających powierzone mu dane osobowe.
2. Wypowiedzenie i wygaśnięcie Umowy powierzenia skutkuje obowiązkiem Procesora w przedmiocie usunięcia wszelkich istniejących kopii dokumentów, plików i treści zawierających powierzone mu dane osobowe.
3. Obowiązki ustanowione w ust. 1 i 2 stosuje się odpowiednio do innych podmiotów przetwarzających, którym procesor podpowierzył dane przetwarzane w ramach niniejszej Umowy powierzenia.
4. Termin wykonania obowiązków ustanowionych w ust. 1 - 3 wynosi 7 dni od daty rozwiązania lub wygaśnięcia Umowy powierzenia.
§ 14 POSTANOWIENIA KOŃCOWE
1. Z tytułu każdorazowego naruszenia obowiązku powiadomienia o zidentyfikowanym naruszeniu ochrony danych ustanowionego w § 10 ust. 3, w tym przekroczenia ustanowionego terminu 24 godzin, Administratorowi przysługuje prawo naliczenia w stosunku do Procesora kary umownej w kwocie 2.000,00 zł netto. Nadto Administrator może dochodzić od Procesora odpowiedzialności na zasadach ogólnych, jeśli kara umowna nie pokryje rzeczywistej szkody.
2. Strony wyrażają zgodę na przesyłanie oświadczeń woli związanych z wykonaniem Umowy powierzenia za pośrednictwem poczty elektronicznej,
3. Sądem właściwym dla rozstrzygania ewentualnych sporów pomiędzy Stronami jest sąd właściwy siedziby Administratora.
4. W sprawach nieuregulowanych Umową powierzenia, zastosowanie znajdują przepisy RODO oraz powszechnie obowiązującego prawa.
POUCZENIE O PRZETWARZANIU DANYCH OSOBOWYCH
PODANYCH PRZEZ PROCESORA W OBSZARZE PODPISU:
Dane osobowe podane przez Procesora przetwarzane są w celu realizacji świadczeń wynikających z niniejszej umowy. Informacje o administratorze danych osobowych znajdują się w nagłówku niniejszej umowy.
Dane osobowe podane przez Procesora będą przechowywane przez okres 6-ciu lat od daty ich sporządzenia (dokumenty rozliczeniowe) i 11-stu lat od daty zakończenia obowiązywania umowy (korespondencja i niniejsza umowa).
Osobie, której dane dotyczą przysługuje prawo dostępu do swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec ich przetwarzania, prawo do przenoszenia danych, a także prawo wniesienia skargi do organu nadzorczego.
Podanie danych jest dobrowolne, ale stanowi warunek zawarcia umowy. Niepodanie tych danych uniemożliwi jej zawarcie.
Podstawę prawną przetwarzania danych osoby wymienionej w umowie stanowi art. 6 pkt 1 lit. b), c) oraz f) RODO.
…………………………………………………….. …………………………………………….. (Administrator) (Procesor)
Załącznik nr 1 do Umowy powierzenia
Procesor oświadcza, iż dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, zapewniającymi by przetwarzanie powierzonych mu danych osobowych chroniło prawa osób, których dane dotyczą i spełniało wymogi powszechnie obowiązującego prawa ochrony danych osobowych, a w szczególności art. 32 RODO.
Procesor oświadcza, że:
(proszę zaznaczyć środki organizacyjne wdrożone przez Procesora)
ŚRODKI ORGANIZACYJNE
□ Została opracowana i wdrożona Polityka Ochrony Danych Osobowych.
□ Została opracowana i wdrożona Instrukcja zarządzania systemem informatycznym.
□ Powołano Inspektora Ochrony Danych.
□ Powołano Administratora Systemu Informatycznego.
□ Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające ważne upoważnienia nadane przez Administratora.
□ Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.
□ Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
□ Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.
□ Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.
□ Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
□ Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
□ Przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych.
□ Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych
□ Stosuje się pisemne umowy powierzenia przetwarzania danych dla współpracy z podwykonawcami przetwarzającymi dane osobowe.
□ W Podmiocie prowadzi się politykę czystego biurka i ekranu.
ŚRODKI TECHNICZNE:
□ Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi).
□ Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min.
□ Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C.
□ Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
□ Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.
□ Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu.
□ Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
□ Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez ochronę.
□ Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez cała dobę jest nadzorowany przez służbę ochrony.
□ Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie.
□ Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie.
□ Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej.
□ Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
□ Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie
□ Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej.
□ Zbiory danych osobowych przetwarzane są w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach.
□ Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
□ Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
ŚRODKI TECHNICZNE – W ODNIESIENIU DO ZASOBÓW SPRZĘTOWEJ INFRASTRUKTURY INFORMATYCZNEJ I TELEKOMUNIKACYJNEJ
□ Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową.
□ Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
□ Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/ komputerze przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS.
□ Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
□ Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena.
□ Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej.
□ Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
□ Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł.
□ Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
□ Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
□ Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
□ Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu.
□ Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.
□ Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
□ Użyto system Firewall do ochrony dostępu do sieci komputerowej.
□ Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
ŚRODKI OCHRONY W RAMACH NARZĘDZI PROGRAMOWYCH I BAZ DANYCH:
□ Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych.
□ Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
□ Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
□ Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena.
□ Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej.
□ Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
□ Zastosowano kryptograficzne środki ochrony danych osobowych.
□ Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe
□ Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
……...……………………
(podpis Procesora/osoby upoważnionej)