Załącznik 6 Polityka Ochrony Danych Osobowych
Załącznik 6 Polityka Ochrony Danych Osobowych
Umowa Powierzenia Przetwarzania Danych Nr ……………
|
|
zawarta w dniu pomiędzy: |
|
Skarbem Państwa – Biurem Krajowej Rady Radiofonii i Telewizji z siedzibą w Warszawie (01-015) Skwer kard. S. Xxxxxxxxxxxx 9, o nadanym numerze NIP 000-00-00-000 oraz nadanym numerze REGON 010182401, reprezentowanym przez Dyrektora Biura – Xxxxxxx Xxxxxx, zwanym dalej „Administratorem Danych” |
|
a _______________________________________ z siedzibą w ____________________________ nadanym numerze NIP _______________ oraz nadanym numerze REGON ________________ reprezentowanym przez: ____________________________________________________ zwanym dalej „Podmiotem Przetwarzającym”.
|
|
|
|
(każdą z nich indywidualnie zwaną dalej „Stroną”, a łącznie zwanymi dalej „Stronami”), |
|
o następującej treści:
|
|
§1 Definicje |
|
W niniejszej Umowie Powierzenia Przetwarzania Danych poniższe terminy mają następujące znaczenie: |
|
Umowa |
oznacza Umowę z dnia ________Nr _____________ |
Obowiązujące Prawo Ochrony Danych |
oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przyszłe przepisy prawa przewidujące wdrożenia i odstępstwa w przypadkach dozwolonych w w/w rozporządzeniu. |
|
|
Administrator Danych
Zamawiający |
oznacza podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Skarb Państwa - Biuro Krajowej Rady Radiofonii i Telewizji jako strona Umowy
|
Podmiot Przetwarzający |
oznacza osobę lub organ, który Przetwarza Xxxx Xxxxxxx w imieniu Administratora Danych, nie działając pod bezpośrednim zwierzchnictwem Administratora Danych. |
Osoba, której Dane Dotyczą |
oznacza osobę, do której odnoszą się Dane Osobowe. |
UPPD |
oznacza niniejszą Umowę Powierzenia Przetwarzania Danych. |
RODO |
oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. |
Dane Osobowe |
oznacza wszelkie informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, które zostały powierzone Podmiotowi Przetwarzającemu wyłącznie w celu umożliwienia mu wykonania usług w ramach Umowy. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. |
Naruszenie Ochrony Danych Osobowych |
oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób Przetwarzanych. |
Przetwarzanie |
oznacza operację lub zestaw operacji wykonywanych na Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. |
Usługi |
oznacza usługi świadczone przez Podmiot Przetwarzający zgodnie z opisem w Umowie. |
Podwykonawca |
oznacza podmiot zaangażowany przez Podmiot Przetwarzający, który Przetwarza Xxxx Xxxxxxx w imieniu Podmiotu Przetwarzającego. |
Techniczne i Organizacyjne Środki Bezpieczeństwa |
oznacza środki mające zapewnić ochronę Danych Osobowych przed Naruszeniami Ochrony Danych Osobowych, w szczególności w przypadkach gdy Przetwarzanie obejmuje przekazanie danych za pomocą sieci, oraz przed wszelkimi innymi bezprawnymi formami Przetwarzania. |
§ 2 Przedmiot |
|
|
|
|
|
|
|
§3 Inspektor Ochrony Danych |
|
|
|
Podmiot Przetwarzający wyznaczył [……………………………………] na swojego inspektora ochrony danych. O zmianie inspektora ochrony danych należy niezwłocznie powiadomić Administratora Danych lub Podmiot Przetwarzający oświadcza i zapewnia, że nie musi wyznaczać inspektora ochrony danych, ponieważ nie zachodzi żaden z przypadków przewidzianych w art. 37 RODO.
§ 4 |
|
Sposób Przetwarzania |
|
|
|
|
|
|
|
§ 5 |
|
Bezpieczeństwo |
|
|
|
|
|
|
|
|
|
|
|
§ 6 Prawa Xxxx, których Dane Dotyczą |
|
Podmiot Przetwarzający niezwłocznie powiadomi Administratora Danych o: (i) wszelkich wnioskach lub skargach Osób, których Dane Dotyczą w przedmiocie Przetwarzania ich Danych Osobowych; lub (ii) wnioskach lub skargach osób trzecich (w tym organizacji lub stowarzyszeń) dotyczących Przetwarzania przez Podmiot Przetwarzający w imieniu Administratora Danych; lub (iii) wnioskach organów władzy publicznej o uzyskanie dostępu do informacji dotyczących Przetwarzania, którymi zajmuje się Podmiot Przetwarzający w kontekście Umowy i udzieli Administratorowi Danych nieodpłatnej pomocy w realizacji obowiązku udzielenia odpowiedzi, w tym obowiązku odpowiadania na żądania Osób, których Dane Dotyczą.
|
|
|
|
§ 7 Personel Podmiotu Przetwarzającego |
|
|
|
|
|
§ 8 Podwykonawstwo
|
|
|
|
|
|
|
|
(a) przed rozpoczęciem Przetwarzania przez Podwykonawcę przeprowadzi odpowiednie badanie due diligence w celu oceny, czy jest on w stanie zapewnić poziom ochrony Danych Osobowych wymagany przez niniejszą UPPD; |
|
(b) zapewni, by porozumienie pomiędzy Podmiotem Przetwarzającym a Podwykonawcą zostało uregulowane pisemną umową, zawierającą warunki gwarantujące co najmniej taki sam poziom ochrony Danych Osobowych powierzonych przez Administratora Danych, jak ten przewidziany niniejszą UPPD oraz spełniające wymogi art. 28 ust. 3 RODO, bez prawa do angażowania dalszych podwykonawców. 3. Podmiot Przetwarzający będzie odpowiedzialny za działania i zaniechania Podwykonawcy w takim zakresie, jak gdyby tych działań lub zaniechań dopuścił się sam Podmiot Przetwarzający.
|
|
|
|
|
|
|
|
§ 9 Kontrola |
|
|
|
z kontroli w terminie 7 dni od otrzymania sprawozdania .
|
|
|
|
|
|
§ 10 Pozostałe zobowiązania |
|
|
|
|
|
|
|
§ 11 Odpowiedzialność |
|
|
|
|
|
|
|
§ 12 Okres obowiązywania i rozwiązanie |
|
Niniejsza UPPD wchodzi w życie w dniu zawarcia i będzie obowiązywała przez okres obowiązywania Umowy. Rozwiązanie Umowy z dowolnej przyczyny automatycznie prowadzi do rozwiązania niniejszej UPPD. Rozwiązanie UPPD nie wpłynie na jej postanowienia lub obowiązki prawne mające wywołać skutki po rozwiązaniu.
|
|
§ 13 Postanowienia końcowe |
|
|
|
.
|
W imieniu Administratora Danych W imieniu Podmiotu Przetwarzającego
Załącznik A Opis Danych Osobowych
|
Przedmiot Przetwarzania
Realizacja Umowy ………… z dnia ………………… r. na usługi w zakresie ………………… |
Czas trwania Przetwarzania |
Określony, tożsamy z okresem obowiązywania Umowy
|
Cel Przetwarzania …………………………………………………………………………………………………………
|
Kategorie Osób, których Dane Dotyczą
Rodzaj Danych Osobowych
Operacje Przetwarzania
W imieniu Administratora Danych W imieniu Podmiotu Przetwarzającego
|
|
Załącznik B
Podstawowe wymagania dotyczące bezpieczeństwa informacji
1. Nadzór i zgodność z przepisami
Podmiot Przetwarzający ma obowiązek wdrożyć organizacyjne polityki i standardy bezpieczeństwa dostosowane do standardów bezpieczeństwa obowiązujących w branży oraz ich przestrzegać.
Podmiot Przetwarzający ma obowiązek wyznaczyć odpowiednią osobę/osoby, które będą odpowiedzialne za zapewnienie technicznej i organizacyjnej zgodności ze środkami kontroli w zakresie bezpieczeństwa i ochrony prywatności danych określonymi w niniejszym dokumencie oraz w politykach Podmiotu Przetwarzającego.
2. Zarządzanie ryzykiem dotyczącym informacji
Podmiot Przetwarzający ma obowiązek ustanowić schemat nadzoru wraz z politykami zarządzania ryzykiem, który umożliwi i wesprze proces zarządzania ryzykiem.
3. Ciągłość działania
Podmiot Przetwarzający ma obowiązek utrzymywać odpowiednie plany ciągłości działania, obejmujące plan(y) przywrócenia gotowości infrastruktury informatycznej po wystąpieniu awarii, które to plany mają na celu przeciwdziałanie, a w przypadku awarii sprawne przywrócenie działania systemu.
Podmiot Przetwarzający ma obowiązek zapewnić regularne testowanie i bieżącą aktualizację planów awaryjnego przywracania gotowości tak, by zapewnić ich aktualność i efektywność.
Podmiot Przetwarzający ma obowiązek utrzymywać integralność, dostępność i ochronę Danych Osobowych przed zniszczeniem lub ich przypadkową utratą, jak również ochronę infrastruktury wykorzystywanej do przetwarzania informacji poprzez tworzenie kopii zapasowych informacji i oprogramowania, które to kopie będą regularnie poddawane testom odtwarzania zgodnie z ustaloną polityką dotyczącą kopii zapasowych.
4. Szkolenia i świadomość bezpieczeństwa informacji
Podmiot Przetwarzający ma obowiązek zapewnić, że wszyscy pracownicy, wykonawcy, Podwykonawcy lub kontraktorzy oraz wszystkie osoby pracujące lub współpracujące z wykonawcami, podwykonawcami są świadome zagrożeń w zakresie bezpieczeństwa informacji, swoich własnych obowiązków i zakresu odpowiedzialności oraz będą odpowiednio wyposażeni, by wesprzeć organizacyjną politykę bezpieczeństwa oraz być z nią zgodnymi podczas wykonywania własnej pracy.
Podmiot Przetwarzający ma obowiązek zapewnić, że jego pracownicy, pracownicy, wykonawcy, Podwykonawcy lub kontraktorzy oraz wszystkie osoby pracujące lub współpracujące z wykonawcami, podwykonawcami lub kontraktorami, które Przetwarzają i mają do nich dostęp, znają definicję zwykłych Danych Osobowych i oraz definicję Danych Osobowych szczególnych kategorii.
Podmiot Przetwarzający ma obowiązek zapewnić, że w stosownych przypadkach wszyscy pracownicy, pracownicy, wykonawcy, odwykonawcy lub kontraktorzy oraz wszystkie osoby pracujące lub współpracujące z wykonawcami, podwykonawcami lub kontraktorami przejdą odpowiednie szkolenie z zakresu świadomości bezpieczeństwa informacji, które powinno być przeprowadzone w co najmniej raz na 12 miesięcy.
5. Postępowanie z nośnikami i wymiana informacji
Podmiot Przetwarzający ma obowiązek ustanowić procedury dotyczące postępowania i przechowywania informacji, w celu ochrony informacji przed nieuprawnionym ujawnieniem lub niewłaściwym wykorzystaniem.
Podmiot Przetwarzający ma obowiązek zapewnić, że nośniki Danych Osobowych będą utylizowane w bezpieczny sposób i z zachowaniem formalnych procedur, kiedy nie będą już potrzebne.
Podmiot Przetwarzający ma obowiązek zapewnić, że dokumentacja systemu będzie chroniona przed dostępem osób nieupoważnionych.
Podmiot Przetwarzający ma obowiązek utrzymać bezpieczeństwo oprogramowania oraz informacji, które są przesyłane w ramach organizacji oraz z wszelkimi podmiotami zewnętrznymi (np. wykonawcy, podwykonawcy lub kontraktorzy); obejmuje to sposoby wymiany, przenoszenie (transport) fizycznych nośników, wymianę wiadomości drogą elektroniczną oraz ochronę bezpieczeństwa interfejsów w przypadku łączenia systemów.
6. Kontrola Dostępu
Podmiot Przetwarzający ma obowiązek dokonywać okresowego przeglądu prawa dostępu użytkowników, by mieć pewność, że przydział i wykorzystanie uprawnień pozostaje pod kontrolą, a w uzasadnionych przypadkach podlega ograniczeniu.
7. Poufność i integralność przekazywania lub transmisji danych
Podmiot Przetwarzający ma obowiązek zapewnić, że wszystkie sieci są odpowiednio zarządzane i kontrolowane w celu ochrony przed zagrożeniami oraz utrzymania bezpieczeństwa systemów i aplikacji w sieci, w tym również bezpieczeństwa informacji podczas ich przesyłu.
8. Ochrona Danych Osobowych
Podmiot Przetwarzający potwierdza, że po rozwiązaniu Umowy, zutylizuje (np. wymaże, zniszczy lub spowoduje nieczytelność) wszystkie Dane Osobowe Powierzone przez Administratora Danych, które Podmiot Przetwarzający oraz podmioty zależne lub Podwykonawcy mają w posiadaniu.
Podmiot Przetwarzający ma obowiązek poświadczyć na piśmie, że czynności utylizacji Danych Osobowych zostały wykonane.
Za wyłączoną z powyższego wymogu utylizacji uważa się sytuacje, gdy Podmiot Przetwarzający jest zobowiązany przechowywać Dane Osobowe w aktach dla celów podyktowanych wymogami prawnymi lub regulacyjnymi; takie Dane Osobowe mają wówczas być usunięte natychmiast po upływie wymaganego prawnie okresu przechowywania.
9. Zarządzanie bezpieczeństwem systemu i podatnościami
Podmiot Przetwarzający ma obowiązek ustanowić i utrzymać polityki, które wykażą odpowiednie zastosowanie aktualizacji i poprawek.
10. Zarządzanie incydentami naruszającymi bezpieczeństwo informacji
Podmiot Przetwarzający ma obowiązek zapewnić, że ustanowione zostaną procedury i zakresy odpowiedzialności związane z zarządzaniem incydentami tak, by zagwarantować szybka, skuteczną i zorganizowaną reakcję na incydenty naruszające bezpieczeństwo informacji oraz w celu zgłaszania i odpowiedniego zarządzania incydentami i słabościami w obszarze bezpieczeństwa.
Podmiot Przetwarzający powinien zgłaszać Administratorowi Danych wszelkie wykryte naruszenia ochrony Danych Osobowych niezwłocznie, nie później niż w ciągu 24 godzin od ich wykrycia.
11. Monitorowanie i audyt
Podmiot Przetwarzający będzie wykorzystywał odpowiednie systemy i zabezpieczenia w celu wykrycia ewentualnych przypadków nieupoważnionego przetwarzania informacji.
Wszystkie systemy, które przechowują, przetwarzają lub przesyłają dane muszą mieć wdrożony system audytu zdarzeń bezpieczeństwa systemu oraz wszelkich działań generowanych w wyniku Przetwarzania
12. Bezpieczeństwo Fizyczne i Środowiskowe
Podmiot Przetwarzający musi zapewnić, że obowiązują odpowiednie obszary bezpieczeństwa oraz kontrole wejść, które uniemożliwiają fizyczny dostęp osobom nieupoważnionym, zapobiegają zniszczeniom i zakłóceniom w odniesieniu do pomieszczeń, w których Przetwarzane są powierzone Dane Osobowe.
W imieniu Administratora Danych W imieniu Podmiotu Przetwarzającego
|