Załącznik 6 Polityka Ochrony Danych Osobowych

Załącznik 6 Polityka Ochrony Danych Osobowych

Umowa

Powierzenia Przetwarzania Danych

Nr ……………

zawarta w dniu

pomiędzy:

Skarbem Państwa – Biurem Krajowej Rady Radiofonii i Telewizji z siedzibą w Warszawie (01-015) Skwer kard. S. Xxxxxxxxxxxx 9, o nadanym numerze NIP 000-00-00-000 oraz nadanym numerze REGON 010182401, reprezentowanym przez Dyrektora Biura – Xxxxxxx Xxxxxx, zwanym dalej „Administratorem Danych”

a

_______________________________________

z siedzibą w ____________________________

nadanym numerze NIP _______________ oraz nadanym numerze REGON ________________

reprezentowanym przez:

____________________________________________________

zwanym dalej „Podmiotem Przetwarzającym”.

(każdą z nich indywidualnie zwaną dalej „Stroną”, a łącznie zwanymi dalej „Stronami”),

o następującej treści:

§1

Definicje

W niniejszej Umowie Powierzenia Przetwarzania Danych poniższe terminy mają następujące znaczenie:

Umowa

oznacza Umowę z dnia ________Nr _____________

Obowiązujące Prawo Ochrony Danych

oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przyszłe przepisy prawa przewidujące wdrożenia i odstępstwa w przypadkach dozwolonych w w/w rozporządzeniu.


Administrator Danych





Zamawiający

oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.



Skarb Państwa - Biuro Krajowej Rady Radiofonii i Telewizji jako strona Umowy

Podmiot Przetwarzający

oznacza osobę lub organ, który Przetwarza Xxxx Xxxxxxx w imieniu Administratora Danych, nie działając pod bezpośrednim zwierzchnictwem Administratora Danych.

Osoba, której Dane Dotyczą

oznacza osobę, do której odnoszą się Dane Osobowe.

UPPD

oznacza niniejszą Umowę Powierzenia Przetwarzania Danych.

RODO

oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Dane Osobowe

oznacza wszelkie informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, które zostały powierzone Podmiotowi Przetwarzającemu wyłącznie w celu umożliwienia mu wykonania usług w ramach Umowy. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Naruszenie Ochrony Danych Osobowych

oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób Przetwarzanych.

Przetwarzanie

oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Usługi

oznacza usługi świadczone przez Podmiot Przetwarzający zgodnie z opisem w Umowie.

Podwykonawca

oznacza podmiot zaangażowany przez Podmiot Przetwarzający, który Przetwarza Xxxx Xxxxxxx w imieniu Podmiotu Przetwarzającego.

Techniczne i Organizacyjne Środki Bezpieczeństwa

oznacza środki mające zapewnić ochronę Danych Osobowych przed Naruszeniami Ochrony Danych Osobowych, w szczególności w przypadkach gdy Przetwarzanie obejmuje przekazanie danych za pomocą sieci, oraz przed wszelkimi innymi bezprawnymi formami Przetwarzania.



§ 2

Przedmiot

  1. W dniu ………… pomiędzy Skarbem Państwa – Biurem Krajowej Rady Radiofonii i Telewizji a ………………………….. zawarto Umowę nr………, której przedmiotem jest świadczenie usług w zakresie............... a niniejsza UPPD jako umowa akcesoryjna, reguluje prawa i obowiązki Stron w zakresie Przetwarzania w związku z wykonywaniem Umowy. Kategorie Danych Osobowych objęte niniejszą UPPD zostały wyszczególnione w Załączniku A, który stanowi integralną część niniejszej UPPD. Bez uszczerbku dla rzeczonego wykazu, wszelkie inne Dane Osobowe Przetwarzane przez Podmiot Przetwarzający w imieniu Administratora Danych w ramach świadczenia Usług będą podlegały warunkom niniejszej UPPD.

  2. Każda ze Stron zapewnia drugą Stronę, że będzie Przetwarzać Dane Osobowe zgodnie z postanowieniami niniejszej UPPD oraz będzie wykonywać swoje obowiązki w sposób niepowodujący naruszenia przez drugą Stronę jakichkolwiek obowiązków wynikających z niniejszej UPPD.

  3. Dane Osobowe będą wykorzystywane przez Podmiot Przetwarzający wyłącznie w celu świadczenia Usług zgodnie z Umową. Podmiot Przetwarzający nie będzie wykorzystywał Danych Osobowych lub pozyskiwał z nich informacji dla celów nieprzewidzianych w niniejszej UPPD. Podmiot Przetwarzający zobowiązuje się bezterminowo do zachowania poufności powierzonych Danych Osobowych.



§3

Inspektor Ochrony Danych


Podmiot Przetwarzający wyznaczył [……………………………………] na swojego inspektora ochrony danych. O zmianie inspektora ochrony danych należy niezwłocznie powiadomić Administratora Danych

lub Podmiot Przetwarzający oświadcza i zapewnia, że nie musi wyznaczać inspektora ochrony danych, ponieważ nie zachodzi żaden z przypadków przewidzianych w art. 37 RODO.


§ 4

Sposób Przetwarzania

  1. Podmiot Przetwarzający będzie Przetwarzał wyłącznie (i) w zakresie niezbędnym do świadczenia Usług na podstawie Umowy i wyłącznie dla celów wskazanych przez Administratora Danych oraz (ii) w sposób zgodny z postanowieniami niniejszej UPPD. Umowa i niniejsza UPPD, wraz z późniejszymi poleceniami przekazywanymi Podmiotowi Przetwarzającemu przez Administratora Danych stanowią polecenia w rozumieniu art. 29 RODO skierowane do Podmiotu Przetwarzającego w sprawie Przetwarzania.

  2. Jeżeli Podmiot Przetwarzający nie będzie w stanie zapewnić zgodności Przetwarzania z postanowieniami nienijszej UPPD, niezależnie od powodów, niezwłocznie powiadomi Administratora Danych, a wówczas Zamawiającemu będzie przysługiwało prawo wypowiedzenia Umowy ze skutkiem natychmiastowym, bez ponoszenia jakiejkolwiek kary z tego tytułu.

  3. Podmiot Przetwarzający bedzie niezwłocznie i należycie rozpatrywał wszelkie zapytania Administratora Danych dotyczące Przetwarzania przez niego lub jego Podwykonawców.

  4. Osobami upoważnionymi do wydawania poleceń w imieniu Administratora Danych są: [……………………………………………….].

  5. Osobami upoważnionymi do odbierania poleceń w imieniu Podmiotu Przetwarzającego są: [………………………………………………].

  6. W przypadku długoterminowego zastępstwa lub braku dostępności osoby/osób do kontaktu, druga Strona musi uzyskać na piśmie (w tym za pośrednictwem poczty elektronicznej) dane kontaktowe odpowiednio osoby zastępującej lub przedstawiciela.

  7. Polecenia mogą być przekazywane za pośrednictwem poczty elektronicznej osobom wskazanym powyżej i zostaną zatrzymane przez okres ich obowiązywania, jak również przez trzy lata po zakończeniu tego okresu, począwszy od 1 stycznia kolejnego roku kalendarzowego.

  8. Podmiot Przetwarzający niezwłocznie powiadomi Administratora Danych jeżeli, jego zdaniem, wydane polecenie narusza Obowiązujące Prawo Ochrony Danych. Podmiot Przetwarzający może zawiesić wykonywanie rzeczonego polecenia do czasu jego potwierdzenia lub zmiany przez osobę odpowiedzialną po stronie Administratora Danych, po przeprowadzeniu weryfikacji.




§ 5

Bezpieczeństwo

  1. Przez cały okres obowiązywania Umowy Podmiot Przetwarzający podejmie wszelkie środki wymagane na mocy art. 32 RODO i wdroży odpowiednie Techniczne i Organizacyjne Środki Bezpieczeństwa (w tym między innymi te określone w Załączniku B, który stanowi integralną część niniejszej UPPD), w celu zachowania poufności i zabezpieczenia Danych Osobowych przed Naruszeniami Ochrony Danych Osobowych.

  2. W celu uniknięcia wątpliwości, wdrożenie wymogów bezpieczeństwa wskazanych w Załączniku B nie zwalnia Podmiotu Przetwarzającego z obowiązku dokonania własnej oceny i podjęcia decyzji o tym, jakie dodatkowe środki właściwie zapewnią poziom bezpieczeństwa odpowiedni do ustalonych czynników ryzyka.

  3. Podmiot Przetwarzający niezwłocznie, nie później niż w ciągu 24 godzin od powzięcia wiadomości, powiadomi Administratora Danych o Naruszeniu Ochrony Danych Osobowych i przekaże mu wszelkie dostępne informacje dotyczące takiego Naruszenia Ochrony Danych Osobowych, w tym poinformuje o działaniach naprawczych i innych środkach prawnych podjętych lub planowanych przez Podmiot Przetwarzający. Następnie Podmiot Przetwarzający zbada Naruszenie Ochrony Danych Osobowych i będzie należycie przekazywał Administratorowi Danych wszelkie fakty w sprawie, podejmie niezbędne kroki w celu zminimalizowania skutków i szkód wynikających z Naruszenia Ochrony Danych Osobowych oraz zapewni pełną współpracę wymaganą przez Administratora Danych.

  4. Administrator Danych jest zobowiązany niezwłocznie powiadomić Podmiot Przetwarzający o podejrzeniach dotyczących incydentu naruszającego bezpieczeństwo Danych Osobowych w związku z wykonywaniem Umowy.





§ 6

Prawa Xxxx, których Dane Dotyczą

Podmiot Przetwarzający niezwłocznie powiadomi Administratora Danych o: (i) wszelkich wnioskach lub skargach Osób, których Dane Dotyczą w przedmiocie Przetwarzania ich Danych Osobowych; lub (ii) wnioskach lub skargach osób trzecich (w tym organizacji lub stowarzyszeń) dotyczących Przetwarzania przez Podmiot Przetwarzający w imieniu Administratora Danych; lub (iii) wnioskach organów władzy publicznej o uzyskanie dostępu do informacji dotyczących Przetwarzania, którymi zajmuje się Podmiot Przetwarzający w kontekście Umowy i udzieli Administratorowi Danych nieodpłatnej pomocy w realizacji obowiązku udzielenia odpowiedzi, w tym obowiązku odpowiadania na żądania Osób, których Dane Dotyczą.


§ 7

Personel Podmiotu Przetwarzającego

  1. Podmiot Przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, o której mowa w art. 28 ust. 3 pkt b RODO, Przetwarzanych Danych Osobowych oraz sposobów ich zabezpieczenia przez osoby, które upoważnia do Przetwarzania w celu realizacji Umowy zarówno w trakcie ich zatrudnienia w Podmiocie Przetwarzającym, jak i po jego ustaniu. W tym celu Podmiot Przetwarzający dopuści do Przetwarzania wyłącznie pracowników dedykowanych do realizacji Umowy, którzy zostali upoważnieni do Przetwarzania powierzonych niniejszą UPPD w celu realizacji Umowy i podpisali zobowiązanie do zachowania w tajemnicy Danych Osobowych i sposobów ich zabezpieczenia. Podmiot Przetwarzający zobowiązuje się ponadto, aby pracownicy dedykowani do realizacji Umowy byli należycie przeszkoleni w zakresie zgodnego z prawem Przetwarzania.

  2. Podmiot Przetwarzający dostarczy Administratorowi Danych w dniu zawarcia UPPD dowody udzielenia upoważnień, o których mowa w ust. 1, jak również oświadczenie o przeszkoleniu pracowników dedykowanych do realizacji Umowy w zakresie Przetwarzania. W przypadku zmiany w trakcie realizacji Umowy składu osobowego dedykowanego do wykonania Umowy, Podmiot Przetwarzający dostarcza Administratorowi Danych dowody udzielenia upoważnienia oraz przeszkolenia nowego pracownika, najpóźniej w dniu udostępnienia Danych Osobowych.

  3. Podmiot Przetwarzający pisemnie zobowiąże pracowników dedykowanych do realizacji Umowy do Przetwarzania wyłącznie na polecenie Administratora Danych.

  4. Za wszelkie działania lub zaniechania osób dedykowanych do realizacji Umowy Podmiot Przetwarzający odpowiada jak za własne działania lub zaniechania na zasadzie ryzyka.




§ 8

Podwykonawstwo

  1. Powierzenie Przetwarzania innym Podwykonawcom, wymaga zgody Administratora Danych. Co najmniej 21 dni przed zaangażowaniem Podwykonawcy, Podmiot Przetwarzający dostarczy Administratorowi Danych zawiadomienie o zamiarze powierzenia Przetwarzania nowemu Podwykonawcy, wskazujące jego dane identyfikacyjne i szczegółowo opisujące ocenę ryzyka przeprowadzoną przy jego wyborze, a w szczególności Środki Techniczne i Organizacyjne podjęte w celu zapewnienia ochrony Danych Osobowych. Administrator Danych może zgłosić sprzeciw w ciągu 7 dni od otrzymania zawiadomienia, z wyszczególnieniem powodów sprzeciwu wobec powierzenia Danych Osobowych wskazanemu Podwykonawcy. W przypadku zgłoszenia takiego sprzeciwu, Podmiot Przetwarzający nie może zaangażować Podwykonawcy w zakresie realizacji Umowy. Strony oświadczają, że będą współpracować w dobrej wierze z zamiarem wspólnego rozstrzygnięcia tej kwestii.

  2. W odniesieniu do każdego Podwykonawcy, Podmiot Przetwarzający:



(a)    przed rozpoczęciem Przetwarzania przez Podwykonawcę przeprowadzi odpowiednie badanie due diligence w celu oceny, czy jest on w stanie zapewnić poziom ochrony Danych Osobowych wymagany przez niniejszą UPPD;

(b)   zapewni, by porozumienie pomiędzy Podmiotem Przetwarzającym a Podwykonawcą zostało uregulowane pisemną umową, zawierającą warunki gwarantujące co najmniej taki sam poziom ochrony Danych Osobowych powierzonych przez Administratora Danych, jak ten przewidziany niniejszą UPPD oraz spełniające wymogi art. 28 ust. 3 RODO, bez prawa do angażowania dalszych podwykonawców.

3. Podmiot Przetwarzający będzie odpowiedzialny za działania i zaniechania Podwykonawcy w takim zakresie, jak gdyby tych działań lub zaniechań dopuścił się sam Podmiot Przetwarzający.




§ 9

Kontrola

  1. Podmiot Przetwarzający udostępni Administratorowi Danych na żądanie wszelkie informacje niezbędne do wykazania zgodności z postanowieniami niniejszej UPPD, oraz umożliwi realizację i zapewni współpracę w zakresie kontroli przeprowadzanych przez Administratora Danych lub audytora działającego na ich zlecenie w obszarze Przetwarzania powierzonych przez Administratora Danych przez Podmiot Przetwarzający i jego Podwykonawców. Administrator Danych zapewni, by informacja o audycie została przekazana z możliwie największym wyprzedzeniem, chyba że kontrola wynika ze zgłoszonego naruszenia ochrony Danych Osobowych.

  2. Podmiot Przetwarzający podejmie działania naprawcze w kwestiach podniesionych w sprawozdaniu

z kontroli w terminie 7 dni od otrzymania sprawozdania .



§ 10

Pozostałe zobowiązania

  1. Podmiot Przetwarzający bezpłatnie zapewni Administratorowi Danych wsparcie przy realizacji obowiązków określonych w art. 32 do 36 RODO.

  2. Strony będą przestrzegały wszelkich przepisów Obowiązującego Prawa Ochrony Danych, nawet jeżeli nie zostały wskazane w niniejszej UPPD.

  3. Każda ze Stron będzie wspierać drugą w zapewnieniu realizacji jej zobowiązań zgodnie z Obowiązującym Prawem Ochrony Danych, biorąc pod uwagę charakter Przetwarzania i informacje dostępne stronie.

  4. Podmiot Przetwarzający udostępni Administratorowi Danych wszelkie informacje niezbędne do wykazania realizacji zobowiązań przewidzianych w niniejszej UPPD oraz Obowiązującym Prawie Ochrony Danych.

  5. Po zakończeniu obowiązywania Umowy, Podmiot Przetwarzający zwraca Administratorowi Danych wszelkie Dane Osobowe, które zostały mu powierzone w związku z realizacją Umowy.



§ 11

Odpowiedzialność

  1. Podmiot Przetwarzający jest odpowiedzialny za wszelkie szkody powstałe za sprawą Przetwarzania realizowanego przez Podmiot Przetwarzający.

  2. Jeżeli Administrator Danych zapłaci odszkodowanie za szkody poniesione przez Osobę, której Dane Dotyczą i odpowiedzialność leży w całości lub częściowo po stronie Podmiotu Przetwarzającego, Administrator Danych będzie upoważniony do żądania od Podmiotu Przetwarzającego zwrotu tej części odszkodowania, która odnosi się do odpowiedzialności Podmiotu Przetwarzającego za powstałą szkodę.

  3. Bez uszczerbku dla prawa Stron do wszczęcia sporu w sprawie, w przypadku nałożenia na Administratora Danych administracyjnej kary pieniężnej na mocy Obowiązującego Prawa Ochrony Danych z przyczyn powiązanych z Podmiotem Przetwarzającym lub leżących po jego stronie, Podmiot Przetwarzający zwolni Administratora Danych z odpowiedzialności i pokryje w całości wysokość takiej administracyjnej kary pieniężnej albo jej część, która odnosi się do odpowiedzialności Podmiotu Przetwarzającego.

  4. W przypadku naruszenia przez Podmiot Przetwarzający lub pracownika Podmiotu Przetwarzajacego dedykowanego do realizacji Umowy zasad Przetwarzania, o których mowa w UPPD, w szczególności: postanowień § 2 ust. 3, § 4 ust. 1, § 5 ust. 1, § 6 oraz § 7 ust. 1 UPPD, dalszego powierzenia Przetwarzania Podwykonawcom bez zgody Administratora Danych oraz niepodjęcia w terminie działań naprawczych, o których mowa w § 9 ust. 2 UPPD Administrator Danych może naliczyć karę umowną w wysokości do 10 000,00 zł (słownie: dziesięć tysięcy złotych) za każdy stwierdzony przypadek.

  5. Administrator Xxxxxx jest uprawiony do dochodzenia poszczególnych kar umownych niezależnie, kary te nie podlegają sumowaniu.

  6. Zamawiający może dochodzić na zasadach ogólnych odszkodowania przewyższającego wysokość kar umownych.





§ 12

Okres obowiązywania i rozwiązanie

Niniejsza UPPD wchodzi w życie w dniu zawarcia i będzie obowiązywała przez okres obowiązywania Umowy. Rozwiązanie Umowy z dowolnej przyczyny automatycznie prowadzi do rozwiązania niniejszej UPPD. Rozwiązanie UPPD nie wpłynie na jej postanowienia lub obowiązki prawne mające wywołać skutki po rozwiązaniu.


§ 13

Postanowienia końcowe

  1. Postanowienia Umowy dotyczące poufności, rozstrzygania sporów mają zastosowanie do niniejszej UPPD. Administrator Danych może udostępnić niniejszą UPPD organowi nadzorującemu ochronę Danych Osobowych bez zgody Podmiotu Przetwarzającego.

  2. W odniesieniu do przedmiotu niniejszej UPPD, warunki UPPD będą nadrzędne względem postanowień Umowy.

  3. Jeżeli jedno lub więcej postanowień zawartych w niniejszej UPPD zostanie uznane za nieważne, nieobowiązujące, bezprawne i/lub niewykonalne w jakimkolwiek zakresie, nie wpłynie to w żaden sposób na ważność, zgodność z prawem i wykonalność pozostałych postanowień niniejszej UPPD, a jeżeli będzie to konieczne w rzeczonym przypadku, należy uznać, że takie postanowienie/a zostanie/ą pominięte w niniejszej UPPD.

  4. Zmiany niniejszej UPPD wymagają formy pisemnej pod rygorem nieważności.

.

 W imieniu Administratora Danych W imieniu Podmiotu Przetwarzającego


























 
























Załącznik A

Opis Danych Osobowych

Przedmiot Przetwarzania


Realizacja Umowy ………… z dnia ………………… r. na usługi w zakresie …………………

Czas trwania Przetwarzania

Określony, tożsamy z okresem obowiązywania Umowy


Cel Przetwarzania

…………………………………………………………………………………………………………

Kategorie Osób, których Dane Dotyczą


Rodzaj Danych Osobowych


Operacje Przetwarzania

    1. przechowywanie (tj.: archiwizowanie, wykonywanie kopii bezpieczeństwa, zapisywanie na nośnikach danych i w pamięci komputerów),

    2. opracowywanie (tj.: analizowanie, porównywanie, testowanie),

    3. zmienianie (tj.: modyfikowanie, dezintegrowanie),

    4. usuwanie (tj.: kasowanie z nośników danych i pamięci komputerów, oraz środowisk testowych),






W imieniu Administratora Danych W imieniu Podmiotu Przetwarzającego


 

















Załącznik B

 

Podstawowe wymagania dotyczące bezpieczeństwa informacji

 

1.      Nadzór i zgodność z przepisami

        Podmiot Przetwarzający ma obowiązek wdrożyć organizacyjne polityki i standardy bezpieczeństwa dostosowane do standardów bezpieczeństwa obowiązujących w branży oraz ich przestrzegać.

 

          Podmiot Przetwarzający ma obowiązek wyznaczyć odpowiednią osobę/osoby, które będą odpowiedzialne za zapewnienie technicznej i organizacyjnej zgodności ze środkami kontroli w zakresie bezpieczeństwa i ochrony prywatności danych określonymi w niniejszym dokumencie oraz w politykach  Podmiotu Przetwarzającego.

 

2.      Zarządzanie ryzykiem dotyczącym informacji

         Podmiot Przetwarzający ma obowiązek ustanowić schemat nadzoru wraz z politykami zarządzania ryzykiem, który umożliwi i wesprze proces zarządzania ryzykiem.

 

3.      Ciągłość działania

          Podmiot Przetwarzający ma obowiązek utrzymywać odpowiednie plany ciągłości działania, obejmujące plan(y) przywrócenia gotowości infrastruktury informatycznej po wystąpieniu awarii, które to plany mają na celu przeciwdziałanie, a w przypadku awarii sprawne przywrócenie działania systemu.

  Podmiot Przetwarzający ma obowiązek zapewnić regularne testowanie i bieżącą aktualizację planów awaryjnego przywracania gotowości tak, by zapewnić ich aktualność i efektywność.

 

          Podmiot Przetwarzający ma obowiązek utrzymywać integralność, dostępność i ochronę Danych Osobowych przed zniszczeniem lub ich przypadkową utratą, jak również ochronę infrastruktury wykorzystywanej do przetwarzania informacji poprzez tworzenie kopii zapasowych informacji i oprogramowania, które to kopie będą regularnie poddawane testom odtwarzania zgodnie z ustaloną polityką dotyczącą kopii zapasowych.

 

4.      Szkolenia i świadomość bezpieczeństwa informacji

         Podmiot Przetwarzający ma obowiązek zapewnić, że wszyscy pracownicy, wykonawcy, Podwykonawcy lub kontraktorzy oraz wszystkie osoby pracujące lub współpracujące z wykonawcami, podwykonawcami są świadome zagrożeń w zakresie bezpieczeństwa informacji, swoich własnych obowiązków i zakresu odpowiedzialności oraz będą odpowiednio wyposażeni, by wesprzeć organizacyjną politykę bezpieczeństwa oraz być z nią zgodnymi podczas wykonywania własnej pracy.

 

          Podmiot Przetwarzający ma obowiązek zapewnić, że jego pracownicy, pracownicy, wykonawcy, Podwykonawcy lub kontraktorzy oraz wszystkie osoby pracujące lub współpracujące z wykonawcami, podwykonawcami lub kontraktorami, które Przetwarzają i mają do nich dostęp, znają definicję zwykłych Danych Osobowych i oraz definicję Danych Osobowych szczególnych kategorii.

 

          Podmiot Przetwarzający ma obowiązek zapewnić, że w stosownych przypadkach wszyscy pracownicy, pracownicy, wykonawcy, odwykonawcy lub kontraktorzy oraz wszystkie osoby pracujące lub współpracujące z wykonawcami, podwykonawcami lub kontraktorami przejdą odpowiednie szkolenie z zakresu świadomości bezpieczeństwa informacji, które powinno być przeprowadzone w co najmniej raz na 12 miesięcy.

 

5.      Postępowanie z nośnikami i wymiana informacji

 

          Podmiot Przetwarzający ma obowiązek ustanowić procedury dotyczące postępowania i przechowywania informacji, w celu ochrony informacji przed nieuprawnionym ujawnieniem lub niewłaściwym wykorzystaniem.

 

          Podmiot Przetwarzający ma obowiązek zapewnić, że nośniki Danych Osobowych będą utylizowane w bezpieczny sposób i z zachowaniem formalnych procedur, kiedy nie będą już potrzebne.

 

  Podmiot Przetwarzający ma obowiązek zapewnić, że dokumentacja systemu będzie chroniona przed dostępem osób nieupoważnionych.

 

          Podmiot Przetwarzający ma obowiązek utrzymać bezpieczeństwo oprogramowania oraz informacji, które są przesyłane w ramach organizacji oraz z wszelkimi podmiotami zewnętrznymi (np. wykonawcy, podwykonawcy lub kontraktorzy); obejmuje to sposoby wymiany, przenoszenie (transport) fizycznych nośników, wymianę wiadomości drogą elektroniczną oraz ochronę bezpieczeństwa interfejsów w przypadku łączenia systemów.

 

6.      Kontrola Dostępu  

       

  Podmiot Przetwarzający ma obowiązek dokonywać okresowego przeglądu prawa dostępu użytkowników, by mieć pewność, że przydział i wykorzystanie uprawnień pozostaje pod kontrolą, a w uzasadnionych przypadkach podlega ograniczeniu. 

 

7.      Poufność i integralność przekazywania lub transmisji danych

 

        Podmiot Przetwarzający ma obowiązek zapewnić, że wszystkie sieci są odpowiednio zarządzane i kontrolowane w celu ochrony przed zagrożeniami oraz utrzymania bezpieczeństwa systemów i aplikacji w sieci, w tym również bezpieczeństwa informacji podczas ich przesyłu.

 

8.   Ochrona Danych Osobowych

 

       Podmiot Przetwarzający potwierdza, że po rozwiązaniu Umowy, zutylizuje (np. wymaże, zniszczy lub spowoduje nieczytelność) wszystkie Dane Osobowe Powierzone przez Administratora Danych, które Podmiot Przetwarzający oraz podmioty zależne lub Podwykonawcy mają w posiadaniu.

        Podmiot Przetwarzający ma obowiązek poświadczyć na piśmie, że czynności utylizacji Danych Osobowych zostały wykonane.  

        Za wyłączoną z powyższego wymogu utylizacji uważa się sytuacje, gdy Podmiot Przetwarzający jest zobowiązany przechowywać Dane Osobowe w aktach dla celów podyktowanych wymogami prawnymi lub regulacyjnymi; takie Dane Osobowe mają wówczas być usunięte natychmiast po upływie wymaganego prawnie okresu przechowywania.

9.   Zarządzanie bezpieczeństwem systemu i podatnościami

         Podmiot Przetwarzający ma obowiązek ustanowić i utrzymać polityki, które wykażą odpowiednie zastosowanie aktualizacji i poprawek. 

           

10.   Zarządzanie incydentami naruszającymi bezpieczeństwo informacji

          Podmiot Przetwarzający ma obowiązek zapewnić, że ustanowione zostaną procedury i zakresy odpowiedzialności związane z zarządzaniem incydentami tak, by zagwarantować szybka, skuteczną i zorganizowaną reakcję na incydenty naruszające bezpieczeństwo informacji oraz w celu zgłaszania i odpowiedniego zarządzania incydentami i słabościami w obszarze bezpieczeństwa.

          Podmiot Przetwarzający powinien zgłaszać Administratorowi Danych wszelkie wykryte naruszenia ochrony Danych Osobowych niezwłocznie, nie później niż w ciągu 24 godzin od ich wykrycia.


 

11.   Monitorowanie i audyt

         Podmiot Przetwarzający będzie wykorzystywał odpowiednie systemy i zabezpieczenia w celu wykrycia ewentualnych przypadków nieupoważnionego przetwarzania informacji.

        Wszystkie systemy, które przechowują, przetwarzają lub przesyłają dane muszą mieć wdrożony system audytu zdarzeń bezpieczeństwa systemu oraz wszelkich działań generowanych w wyniku Przetwarzania

12.   Bezpieczeństwo Fizyczne i Środowiskowe

         Podmiot Przetwarzający musi zapewnić, że obowiązują odpowiednie obszary bezpieczeństwa oraz kontrole wejść, które uniemożliwiają fizyczny dostęp osobom nieupoważnionym, zapobiegają zniszczeniom i zakłóceniom w odniesieniu do pomieszczeń, w których Przetwarzane są powierzone Dane Osobowe.

 

 






W imieniu Administratora Danych W imieniu Podmiotu Przetwarzającego


Document Metadata

Filed: December 10th, 2020