UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
……………………………………
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH
zawarta w dniu ………………………… w …………………….
pomiędzy:
Państwowym Gospodarstwem Wodnym Wody Polskie z siedzibą w Warszawie, 00-000 Xxxxxxxx,
xx. Xxxxxxx 00X, NIP: 000-000-00-00, REGON: 368302575, reprezentowanym przez:
…………………………………. – …………………………………………………., działając na podstawie Pełnomocnictwa nr
………………………………….. z dn……………………………………………...
zwanym dalej „Administratorem”,
a
………………………………………………………………………………………………………………………………………. z siedzibą
w ………………………………………………………. NIP REGON ,
zwaną dalej „Procesorem”,
dalej łącznie zwanymi „Stronami” lub pojedynczo „Stroną”.
§ 1 – Definicje
Ilekroć w niniejszej Umowie Powierzenia mowa o:
1) danych osobowych – rozumie się przez to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);
2) przetwarzaniu – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
3) Rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 z późn. zm.);
4) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;
5) Umowie Powierzenia – rozumie się przez to niniejszą umowę powierzenia przetwarzania
danych osobowych;
6) Umowie Głównej – rozumie się przez to umowę z dnia (data)
(RZGW/ROK/2022/…. zawartą przez Strony niniejszej Umowy Powierzenia, której przedmiotem jest współpraca polegająca na świadczeniu przez Wykonawcę (Procesora) na rzecz Zamawiającego (Administratora) usługi szkoleniowej dotyczącej organizacji szkolenia z zakresu „Budżet zadaniowy i controlling w sektorze publicznym” dla pracowników Państwowego Gospodarstwa Wodnego Wody Polskie;
7) ustawie o ochronie danych osobowych – rozumie się przez to ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 z późn. zm.).
§ 2 – Przedmiot Umowy Powierzenia
1. Administrator i Procesor oświadczają, że zawarli Umowę Główną w związku z którą będą
przetwarzane dane osobowe.
2. Niniejsza Umowa Powierzenia jest akcesoryjna względem Umowy Głównej oraz reguluje wzajemny stosunek stron i ich obowiązki w zakresie przetwarzania danych osobowych w związku z obowiązkami Procesora wynikającymi z Umowy Głównej.
3. Przetwarzanie danych osobowych odbywać się będzie w zgodzie i w oparciu o Rozporządzenie, ustawę o ochronie danych osobowych i innymi powszechnie obowiązującymi przepisami o ochronie danych osobowych.
4. Przedmiotem Umowy Powierzenia jest powierzenie Procesorowi przez Administratora, przetwarzania danych osobowych, w związku z realizacją obowiązków określonych w Umowie Głównej.
5. Administrator oświadcza, że jest administratorem danych, o których mowa w § 3 ust. 1 Umowy Powierzenia, w rozumieniu art. 4 pkt 7 Rozporządzenia.
6. Podmiotem przetwarzającym, w rozumieniu art. 4 pkt 8 Rozporządzenia, któremu Administrator powierza przetwarzanie danych osobowych jest Procesor.
7. Administrator powierza Procesorowi przetwarzanie danych osobowych, a Procesor zobowiązuje się do ich przetwarzania zgodnego z prawem, Umową Główną i niniejszą Umową Powierzenia.
8. Procesor będzie przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w niniejszej Umowie Powierzenia.
§ 3 – Powierzenie przetwarzania danych osobowych
1. Administrator powierza Procesorowi przetwarzanie danych osobowych pracowników Państwowego Gospodarstwa Wodnego Wody Polskie takich jak: imię i nazwisko, numer telefonu, służbowy adres e-mail, miejsce zatrudnienia.
2. Powierzenie nie obejmuje przetwarzanie danych osobowych, o których mowa w art. 9-10
Rozporządzenia.
3. Cel i zakres powierzenia przetwarzania danych osobowych wynika bezpośrednio i ogranicza się wyłącznie do zadań wynikających z zawartej Umowy Głównej, tj.: zapewnienie przez Wykonawcę usługi szkoleniowej dotyczącej organizacji szkolenia z zakresu „Budżet zadaniowy i controlling w sektorze publicznym”.
4. Na danych osobowych, z związku z realizacją celu, o którym mowa w ust. 3, będą wykonywane
w szczególności następujące operacje: ☐zbierania, ☐utrwalania, ☒organizowania,
☒porządkowania, ☐przechowywania, ☐adaptowania lub modyfikowania, ☐pobierania,
☐wykorzystywania, ☐ujawniania poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, ☐dopasowywania lub łączenia, ☐ograniczania, ☐usuwania lub niszczenia, a także czynności polegające na tworzeniu kopii bezpieczeństwa oraz czynności związane z odtworzeniem danych osobowych z kopii bezpieczeństwa.
5. Przetwarzanie powierzonych danych osobowych nie będzie odbywać się z wykorzystaniem systemów informatycznych.
6. Administrator nie wyraża zgody na przetwarzanie danych osobowych poza Europejskim Obszarem Gospodarczym.
§ 4 – Obowiązki Procesora
1. Procesor oświadcza, że przetwarzanie powierzonych mu danych osobowych, będzie odbywało się z poszanowaniem przepisów Rozporządzenia, ustawy o ochronie danych osobowych i innych powszechnie obowiązujących przepisów z zakresu ochrony danych osobowych.
2. W związku z powierzeniem przetwarzania danych osobowych Procesor zobowiązuje się do:
1) przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora; za udokumentowane polecenie uznaje się zadania zlecone do wykonywania w drodze Umowy Głównej;
2) dopuszczenia do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie, o którym mowa w art. 29 Rozporządzenia, oraz przeszkolonych z zakresu przepisów o ochronie danych osobowych;
3) zobowiązania osób upoważnionych do przetwarzania danych osobowych do zachowania tajemnicy;
4) podjęcia środków gwarantujących bezpieczeństwo powierzonych do przetwarzania danych osobowych, w tym x.xx. do wdrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, odpowiednich środków ochrony fizycznej, środków sprzętowych infrastruktury informatycznej i telekomunikacyjnej, środków ochrony w ramach narzędzi programowych i baz danych oraz środków organizacyjnych, w celu zapewnienia stopnia bezpieczeństwa odpowiadającemu temu ryzyku, w tym m. in. w stosownym przypadku:
a) pseudonimizacji i szyfrowania danych osobowych,
b) zapewnienia bezpiecznego (kryptograficznie zabezpieczonego) transferu danych osobowych w procesie świadczonej usługi – wdrożenia mechanizmów uwierzytelniania oraz nadzoru działań w systemie informatycznym przez odnotowywanie zdarzeń na przetwarzanych danych osobowych (logowanie działań),
c) zapewnienia w działaniach serwisowych (w tym wymiana uszkodzonych zasobów
dyskowych), by dostęp do zasobów był ograniczony do osób upoważnionych,
d) zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności
systemów informatycznych i usług przetwarzania,
e) zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
f) regularnego testowania, mierzenia i oceniania skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych;
5) przestrzegania określonych w § 7 niniejszej Umowy Powierzenia warunków podpowierzenia przetwarzania danych osobowych innemu podmiotowi;
6) aktywnej współpracy z Administratorem przez cały okres trwania powierzenia przetwarzania danych osobowych, która w szczególności polega na tym, iż Procesor biorąc pod uwagę charakter przetwarzania, poprzez odpowiednie środki techniczne i organizacyjne, w miarę możliwości będzie pomagał Administratorowi wywiązywać się z obowiązków względem osób, których dane dotyczą, oraz – uwzględniając charakter przetwarzania i dostępne mu informacje
– będzie pomagał Administratorowi wywiązywać się z obowiązków w zakresie
zagwarantowania bezpieczeństwa danych osobowych.
3. Procesor realizując zadania wynikające z Umowy Głównej:
1) zastosuje odpowiednie środki organizacyjne w celu zgodnego z przepisami przetwarzania powierzonych danych osobowych;
2) zastosuje środki zabezpieczenia określone w art. 32 Rozporządzenia – wdrożone środki zabezpieczenia muszą być adekwatne do zidentyfikowanych ryzyk dla zakresu powierzonego przetwarzania danych osobowych;
3) udzieli pomocy Administratorowi w zakresie:
a) realizacji obowiązku udzielania odpowiedzi na żądania osób, których dane dotyczą,
w zakresie wykonywania jej praw określonych w rozdziale III Rozporządzenia,
b) zapewnienia realizacji obowiązków wynikających z art. 32-36 Rozporządzenia;
4) po zakończeniu przetwarzania danych osobowych niezwłocznie zwróci powierzone mu dane
osobowe lub dokona ich zniszczenia – adekwatnie do woli Administratora;
5) wyznaczy Inspektora Ochrony Danych (o ile wynika to z obowiązku prawnego) oraz rozpocznie prowadzenie rejestru wszystkich kategorii czynności przetwarzania danych osobowych dokonywanych w imieniu administratora zgodnie z wymaganiami art. 30 ust. 2 Rozporządzenia i pisemnie poinformuje o tym Administratora.
4. Procesor zobowiązuje się niezwłocznie (nie później niż w ciągu 24 godzin) zawiadomić
Administratora o:
1) każdym prawnie umocowanym żądaniu udostępnienia danych osobowych właściwemu organowi państwa, chyba że zakaz zawiadomienia Administratora wynika z przepisów prawa, a w szczególności przepisów postępowania karnego, gdy zakaz ma na celu zapewnienie poufności wszczętego dochodzenia,
2) każdym żądaniu otrzymanym bezpośrednio od osoby, której dane osobowe przetwarza, w zakresie przetwarzania dotyczącej jej danych osobowych, powstrzymując się jednocześnie od odpowiedzi na żądanie, chyba że zostanie do tego upoważniony przez Administratora.
5. Wykaz środków, o których mowa w ust. 2 pkt 4 oraz ust. 3 pkt 1-2, stanowi Załącznik nr 1 do niniejszej Umowy.
6. Procesor na każdy pisemny wniosek Administratora zobowiązany jest do udzielenia kompleksowej, pisemnej odpowiedzi, na skierowane przez Administratora pytania dotyczące kwestii związanych z przetwarzaniem powierzonych danych osobowych.
7. Odpowiedzi, o której mowa w ust. 5, Procesor udzieli niezwłocznie, nie później niż w terminie 7 dni roboczych od dnia otrzymania wniosku Administratora.
§ 5 – Naruszenie bezpieczeństwa danych osobowych
1. W przypadku podejrzenia lub stwierdzenia naruszenia ochrony danych osobowych, Procesor bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 24 godzin od momentu pozyskania informacji o wystąpieniu naruszenia lub podejrzeniu jego wystąpienia – zgłasza je Administratorowi. Zgłoszenie powinno zawierać informacje wskazane w art. 33 ust. 3 Rozporządzenia.
2. Procesor zobowiązuje się zapewnić odpowiednie wsparcie wymagane przez Administratora lub organ nadzorczy w celu podjęcia sprawnych i odpowiednich działań w przedmiocie naruszenia bezpieczeństwa danych osobowych.
3. Procesor odpowiada za szkody spowodowane swoim działaniem w związku z niedopełnieniem obowiązków, które Rozporządzenie nakłada bezpośrednio na Procesora, lub gdy działał poza zgodnymi z prawem instrukcjami Administratora lub wbrew tym instrukcjom. Procesor odpowiada za szkody spowodowane zastosowaniem lub niezastosowaniem właściwych środków bezpieczeństwa.
§ 6 – Prawo audytu
1. Administrator ma prawo do audytu przetwarzania przez Procesora powierzonych mu danych osobowych z punktu widzenia zgodności tego przetwarzania z przepisami prawa oraz postanowieniami niniejszej Umowy Powierzenia w postaci audytu realizowanego przez Administratora lub audytora upoważnionego przez Administratora.
2. Procesor zobowiązany jest:
1) udostępnić Administratorowi lub audytorowi upoważnionemu przez Administratora wszelkie
informacje niezbędne do wykazania spełnienia obowiązków spoczywających na Procesorze;
2) umożliwić Administratorowi lub audytorowi upoważnionemu przez Administratora przeprowadzanie audytów, w tym inspekcji, współpracując przy działaniach sprawdzających i naprawczych;
3) zastosować się do zaleceń poaudytowych przekazanych przez Administratora lub audytora
upoważnionego przez Administratora.
3. Informacja o terminie i zakresie audytu, o którym mowa w ust. 1, będzie przekazana Procesorowi z co najmniej 24-godzinnym wyprzedzeniem.
4. Procesor umożliwia Administratorowi lub audytorowi upoważnionemu przez Administratora,
przeprowadzanie audytu, o którym mowa w ust. 1, i przyczynia się do niego. W szczególności,
Procesor zobowiązany jest udostępnić wgląd do wszystkich materiałów oraz systemów informatycznych, w których realizowane jest przetwarzanie powierzonych danych osobowych oraz umożliwić dostęp do pracowników zaangażowanych w ich przetwarzanie.
5. Administrator lub audytor upoważniony przez Administratora przed rozpoczęciem czynności audytowych podpisze zobowiązanie o zachowaniu w poufności wszelkich informacji uzyskanych podczas realizacji audytu, w tym danych osobowych, których administratorem jest Procesor.
§ 7 – Podpowierzenie
1. Procesor nie będzie podpowierzał innym podmiotom danych osobowych, o których mowa w § 3 ust. 1, w zakresie i celu niezbędnym do realizacji celu powierzenia przetwarzania danych osobowych określonego w § 3 ust. 3.
2. Wykaz podmiotów podprzetwarzających (podprocesorów) zawiera Załącznik nr 2 do niniejszej Umowy.
3. Procesor jest zobowiązany do poinformowania Administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów podprzetwarzających, dając tym samym Administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian. Informację w tym zakresie należy przekazać na adres e-mail: xxx@xxxx.xxx.xx.
4. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania danych osobowych Procesor korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający, w drodze umowy zawartej pomiędzy tym podmiotem a Procesorem, nałożone zostaną te same obowiązki ochrony danych osobowych, jak w § 4 niniejszej Umowy Powierzenia, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych ochrony danych.
5. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze.
§ 8 – Odpowiedzialność Procesora
1. Procesor, dla zapewnienia, iż spełnia wymagania Rozporządzenia, zobowiązany jest na wezwanie Administratora Danych dostarczyć raport z audytu zabezpieczenia środowiska informacyjnego, w którym przetwarzane są powierzone Umową Główną dane osobowe.
2. Procesor jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z niniejszą Umową Powierzenia, a w szczególności udostępnienie ich osobom nieuprawnionym.
3. W przypadku ujawnienia okoliczności uznanych przez Administratora za uchybienia w zakresie wykonywania niniejszej Umowy Powierzenia lub obowiązujących w tym zakresie przepisów prawa, Procesor zobowiązuje się do ich usunięcia w wyznaczonym terminie. W razie niezastosowania się przez Procesora do wydanych przez Administratora wytycznych, Administrator jest uprawniony do nałożenia kary umownej w wysokości 5 % wynagrodzenia całkowitego netto określonego w § 6 ust. 1 umowy za każdy przypadek stwierdzonej nieprawidłowości.
4. Jeżeli podobne nieprawidłowości zostaną ujawnione ponownie lub nie zostanie dotrzymany termin usunięcia uchybień, o którym mowa w ust. 3, Administrator jest uprawniony do nałożenia kary umownej bez wyznaczania terminu do ich usunięcia.
5. W przypadku naruszenia postanowień niniejszej Umowy Powierzenia lub obowiązujących w tym zakresie przepisów prawa z przyczyn leżących po stronie Procesora, w następstwie czego Administrator, jako administrator danych osobowych, zostanie zobowiązany do wypłaty odszkodowania lub zostanie ukarany karą grzywny, Procesor zobowiązuje się do zapłaty Administratorowi równowartości roszczeń osób trzecich, kar oraz równowartości kosztów postępowania sądowego, które będą wynikiem nieprawidłowego działania Procesora.
6. Administratorowi przysługuje względem Procesora prawo do dochodzenia odszkodowania
przewyższającego zastrzeżoną karę umowną – do pełnej wysokości poniesionej szkody.
§ 9 – Usunięcie lub zwrot danych osobowych
1. Zależnie od decyzji Administratora w tym zakresie, w terminie do 14 dni roboczych od dnia zakończenia niniejszej Umowy Powierzenia, Procesor jest zobowiązany do usunięcia lub zwrotu wszelkich powierzonych mu danych osobowych oraz usunięcia wszelkich ich istniejących kopii, chyba że obowiązujące przepisy prawa nakazują ich przechowywanie.
2. Powierzenie przetwarzania danych osobowych trwa do upływu wyżej wskazanego terminu.
§ 10 – Czas trwania i wypowiedzenie Umowy Powierzenia
1. Niniejsza Umowa Powierzenia zawarta jest na czas określony odpowiadający okresowi obowiązywania Umowy Głównej.
2. Administrator ma prawo wypowiedzieć niniejszą Umowę Powierzenia w trybie natychmiastowym z dniem rozwiązania lub wygaśnięcia Umowy Głównej, a także, gdy Procesor:
1) wykorzystał dane osobowe w sposób niezgodny z niniejszą Umową Powierzenia;
2) wykonuje niniejszą Umowę Powierzenia niezgodnie z obowiązującymi w tym zakresie przepisami prawa;
3) nie zaprzestał niewłaściwego przetwarzania danych osobowych;
4) zawiadomił o swojej niezdolności do wypełnienia niniejszej Umowy Powierzenia, a w szczególności wymagań określonych w § 4 niniejszej Umowy Powierzenia.
3. Wypowiedzenie niniejszej Umowy Powierzenia przez Administratora nie zwalnia Procesora od zapłaty należnych kar umownych i odszkodowania.
§ 11 – Pozostałe postanowienia
1. Przetwarzanie powierzonych danych osobowych dozwolone jest wyłącznie w celu określonym
w § 3 ust. 3 niniejszej Umowy Powierzenia.
2. Wykorzystanie przez Procesora powierzonych danych osobowych w celach innych niż określone niniejszą Umową Powierzenia wymaga każdorazowo pisemnej zgody Administratora.
§ 12 – Postanowienia końcowe
1. Niniejsza Umowa Powierzenia stanowi udokumentowane polecenie Administratora, o którym mowa w art. 28 ust. 3 lit. a Rozporządzenia.
2. W sprawach nieuregulowanych postanowieniami niniejszej Umowy Powierzenia zastosowanie
będą mieć właściwe w tym zakresie przepisy prawa polskiego.
3. Wszelkie zmiany, uzupełnienia lub rozwiązanie niniejszej Umowy Powierzenia wymagają
zachowania formy pisemnej pod rygorem nieważności.
4. W przypadku zmian w przepisach prawa stanowiących podstawę przetwarzania danych osobowych na podstawie niniejszej Umowy Powierzenia, Procesor przed wejściem w życie zmian, sformułuje rekomendacje dla ewentualnych zmian w niniejszej Umowie Powierzenia, zgodnie z zasadami określonymi w Umowie Głównej.
5. Strony zgodnie oświadczają, iż w przypadku sporów powstałych na tle realizacji niniejszej Umowy Powierzenia dążyć będą do polubownego ich załatwienia. w przypadku, gdy nie dojdzie do załatwienia sporu w powyższy sposób, właściwym do jego rozstrzygnięcia będzie sąd powszechny właściwy miejscowo dla siedziby Administratora.
6. Niniejsza Umowa Powierzenia została sporządzona w dwóch jednobrzmiących egzemplarzach –
po jednym dla każdej ze Stron.
Administrator:
………………………………………………………………………
Procesor:
………………………………………………………………………
Załącznik nr 1 do umowy powierzenia przetwarzania danych osobowych
ŚRODKI ODPOWIEDNIEGO ZABEZPIECZENIA
POWIERZONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH
STOSOWANE PRZEZ PODMIOT PRZETWARZAJĄCY
Środki ochrony fizycznej powierzonych do przetwarzania danych osobowych | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do fizycznego zabezpieczenia przetwarzanych danych osobowych. | ||
1 | ☒ | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). |
2 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min. |
3 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie – drzwi klasy C. |
4 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. |
5 | ☐ | Pomieszczenia, w których przetwarzany jest zbiór danych osobowych, wyposażone są w system alarmowy przeciwwłamaniowy. |
6 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęty jest systemem kontroli dostępu. |
7 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. |
8 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, w czasie nieobecności zatrudnionych tam pracowników jest nadzorowany przez służbę ochrony. |
9 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony. |
10 | ☐ | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. |
11 | ☐ | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. |
12 | ☐ | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub szafie pancernej. |
13 | ☐ | Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. |
14 | ☐ | Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. |
15 | ☐ | Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub szafie pancernej. |
16 | ☐ | Zbiór danych osobowych przetwarzany jest w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach. |
17 | ☐ | Pomieszczenie, w którym przetwarzany jest zbiór danych osobowych, zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy. |
18 | ☐ | Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. |
Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do: ▪ technicznych środków zabezpieczenia komputerów przed skutkami awarii zasilania; ▪ opisu infrastruktury sieci informatycznej, w której użytkowane są komputery wykorzystywane do przetwarzania danych osobowych; ▪ sprzętowych i programowych środków ochrony przed nieuprawnionym dostępem do danych osobowych, w tym środków zapewniających rozliczalność wykonywanych operacji; ▪ sprzętowych i programowych środków ochrony poufności danych osobowych przesyłanych drogą elektroniczną (środków ochrony transmisji); ▪ sprzętowych i programowych środków ochrony przed szkodliwym oprogramowaniem i nieuprawnionym dostępem do przetwarzania danych osobowych. | ||
1 | ☒ | Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego. |
2 | ☐ | Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową. |
3 | ☐ | Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych, przed skutkami awarii zasilania. |
4 | ☒ | Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/komputerze przenośnym, zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS. |
5 | ☐ | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. |
6 | ☐ | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena. |
7 | ☐ | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej. |
8 | ☐ | Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. |
9 | ☐ | Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł. |
10 | ☐ | Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. |
11 | ☐ | Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji. |
12 | ☐ | Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia. |
13 | ☐ | Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu. |
14 | ☐ | Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej. |
15 | ☐ | Zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity. |
16 | ☒ | Użyto system Firewall do ochrony dostępu do sieci komputerowej. |
17 | ☐ | Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej. |
Środki ochrony w ramach narzędzi programowych i baz danych | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do technicznych i programowych środków bezpieczeństwa zastosowanych w procedurach, aplikacjach i programach oraz innych narzędziach programowych wykorzystywanych do przetwarzania danych osobowych. | ||
1 | ☐ | Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych. |
2 | ☐ | Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych osobowych w ramach przetwarzanego zbioru danych osobowych. |
3 | ☐ | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. |
4 | ☐ | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena. |
5 | ☐ | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej. |
6 | ☐ | Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego. |
7 | ☐ | Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych. |
8 | ☐ | Zastosowano kryptograficzne środki ochrony danych osobowych. |
9 | ☐ | Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. |
10 | ☐ | Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. |
Środki organizacyjne | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do innych środków organizacyjnych zastosowanych przez Procesora w celu ochrony danych osobowych, takich jak: instrukcje, szkolenia, zobowiązania. | ||
1 | ☒ | Osoby zatrudnione przy przetwarzaniu danych osobowych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. |
2 | ☒ | Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. |
3 | ☒ | Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. |
4 | ☒ | Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane osobowe. |
5 | ☐ | Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. |
6 | ☐ | Wyznaczono inspektora ochrony danych osobowych, nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych: Xxxxxxxx Xxxxxxxx tel. 000000000 |
7 | ☒ | Do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie w przedmiotowym zakresie. |
8 | ☒ | Prowadzona jest ewidencja/rejestr osób upoważnionych do przetwarzania danych osobowych. |
9 | ☐ | Została opracowana i wdrożona dokumentacja w zakresie ochrony danych osobowych, spełniająca wymagania określone dla środków organizacyjnych, o których mowa w art. 24 ust. 2 Rozporządzenia. |
Załącznik nr 2 do umowy powierzenia przetwarzania danych osobowych
WYKAZ PODMIOTÓW PODPRZETWARZAJĄCYCH (PODPROCESORÓW)
PODPROCESOR | ŚWIADCZONE USŁUGI |
……………………………… (nazwa podprocesora) | ……………………………… (usługa) |
……………………………… (nazwa podprocesora) | ……………………………… (usługa) |
……………………………… (nazwa podprocesora) | ……………………………… (usługa) |
……………………………… (nazwa podprocesora) | ……………………………… (usługa) |
……………………………… (nazwa podprocesora) | ……………………………… (usługa) |