Umowa
Sprawa nr A.0411.5.2020 Załącznik nr 6
Do zapytania ofertowego
Umowa
Powierzenia Przetwarzania Danych Osobowych
zawarta w Chyrzynie w dniu pomiędzy:
1. Parkiem Narodowym „Ujście Warty” z siedzibą w Xxxxxxxxx 0, 00-000 Xxxxxxx, NIP: 5981629880, REGON:
081005974, reprezentowaną przez:
zwaną dalej: „Powierzającym”
a
2. …………………………………………….. z siedzibą w ……………, przy ul. ……………………… , kod miejscowość
……………..….., wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla ……………………, ……… Wydział Gospodarczy Krajowego Rejestru Sądowego, nr KRS:
………………….., NIP: …………………., REGON: , , reprezentowaną przez:
…………………………………………………………………………….. zwaną dalej: „Przetwarzającym”
łącznie zwanymi: „Stronami”, a każda z osobna także: „Stroną”
Zważywszy, że:
1. Powierzający jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (zwane dalej: „RODO”);
2. Strony zawarły umowę o świadczenie usług drogą elektroniczną (zwaną dalej: „Umową Właściwą”) w związku z wykonywaniem której Powierzający powierza Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową;
3. Zgodnym zamiarem Stron jest ustalenie zasad i warunków, na jakich dochodzić będzie do przetwarzania danych osobowych, w ten sposób, aby przetwarzanie danych osobowych było zgodne z przepisami prawa powszechnie obowiązującego oraz w całości odpowiadało regulacjom wynikającym z RODO
Xxxxxx postanowiły zawrzeć Umowę o następującej treści:
§ 1.
Przedmiot Umowy
1. Na warunkach określonych niniejszą Umową Powierzający powierza Przetwarzającemu przetwarzanie opisanych w dalszej części Umowy Danych Osobowych, a Przetwarzający zobowiązuje się przetwarzać powierzone mu Dane Osobowe zgodnie z niniejszą Umową, RODO oraz innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
2. Czas trwania przetwarzania Danych Osobowych jest tożsamy z okresem obowiązywania Umowy Właściwej.
3. Charakter i cel przetwarzania Danych Osobowych wynikają z przedmiotu Umowy Właściwej oraz zobowiązań nałożonych na Przetwarzającego na jej podstawie. W szczególności charakter Danych Osobowych wynika, z
tego że Przetwarzający wykonuje kompleksową obsługę informatyczną dla Parku Narodowego „Ujście Warty”, a celem przetwarzania Danych Osobowych jest utrzymanie systemu bazy danych.
4. Przetwarzanie będzie obejmować następujące rodzaje danych osobowych (zwane dalej: „Danymi osobowymi”):
1) Dane klientów/kontrahentów Powierzającego - „Klienci/Kontrahenci” w zakresie:
a) imię i nazwisko,
b) adres,
c) telefon kontaktowy,
d) adres e-mail,
e) ( dalej należy uzupełnić)
2) Dane pracowników Powierzającego - „Pracownicy” w zakresie:
f) imię i nazwisko,
g) adres,
h) telefon kontaktowy,
i) adres e-mail,
j) login,
k) stanowisko,
l) (dalej należy uzupełnić)
5. Kategorie osób, których dotyczyć będzie przetwarzanie Danych Osobowych to:
1) Klienci/Kontrahenci Powierzającego,
2) Pracownicy Powierzającego.
§ 2.
Dalsze Powierzenie Przetwarzania Danych Osobowych Innemu Podmiotowi Przetwarzającemu
1. Przetwarzający może powierzyć konkretne czynności przetwarzania Danych Osobowych w drodze pisemnej umowy dalszego powierzania przetwarzania danych osobowych innemu podmiotowi przetwarzającemu pod warunkiem braku sprzeciwu Powierzającego, co do wyboru konkretnego innego podmiotu przetwarzającego, co jest jednoznaczne z wyrażeniem przez Powierzającego ogólnej zgody, o której mowa w art. 28 ust. 2 RODO.
3. W wypadku zgłoszenia przez Powierzającego sprzeciwu, co do wyboru innego podmiotu przetwarzającego, Przetwarzający nie jest uprawniony do powierzenia przetwarzania danych osobowych temu podmiotowi przetwarzającemu.
4. Powierzający zobowiązuje się do zawiadomienia Przetwarzającego o wyrażeniu sprzeciwu w terminie 3 dni od dnia poinformowania Powierzającego o wyborze innego podmiotu przetwarzającego pod rygorem przyjęcia, iż Powierzający nie wyraża sprzeciwu, co do wyboru innego podmiotu przetwarzającego.
5. Przetwarzający dokonując dalszego powierzenia przetwarzania Danych Osobowych zobowiązuje się nałożyć na inny podmiot przetwarzający te same obowiązki ochrony Danych Osobowych jak w niniejszej Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom Umowy i RODO (art. 28 ust. 4 RODO).
§ 3.
Polecenie Przetwarzania Danych
Realizacja Umowy Właściwej wiąże się ze stałym dostępem do bazy Danych Osobowych poza siedzibą Powierzającego, co jest jednoznaczne z tym, że Powierzający niniejszym udziela Przetwarzającemu polecenia przetwarzania Danych Osobowych, na zasadach o którym mowa w art. 28 ust. 3 lit. a RODO.
§ 4.
Obowiązki Przetwarzającego
1. Przetwarzający:
1) zapewnia, by osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania tajemnicy lub zapewnia aby osoby te podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO),
2) prowadzi ewidencję osób upoważnionych do przetwarzania Danych Osobowych przetwarzanych
w związku z wykonywaniem Umowy Właściwej zawartej z Powierzającym.
3) podejmuje wszelkie środki ochrony Danych Osobowych wymagane na mocy art. 32 RODO (art. 28 ust. 3 lit. c RODO),
4) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w RODO
i w niniejszej Umowie (art. 28 ust. 3 lit. d RODO),
5) biorąc pod uwagę charakter przetwarzania Danych Osobowych, w miarę możliwości pomaga Powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO „Prawa osoby, której dane dotyczą” (art. 28 ust. 3 lit. e RODO),
6) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Powierzającego, o którym mowa w art. 30 ust. 2 Rozporządzenia 2016/679 i udostępnia go organowi nadzorczemu na jego żądanie, chyba że Przetwarzający jest zwolniony z tego obowiązku na podstawie art. 30 ust. 5 Rozporządzenia 2016/679.
7) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Powierzającemu wywiązać się z obowiązków określonych w art. 32–36 RODO (art. 28 ust. 3 lit. f RODO).
§ 5.
Obowiązki Powierzającego
1. Powierzający oświadcza, że przetwarza Dane Osobowe zgodnie z zasadami określonymi w RODO, w tym w szczególności z zasadami określonymi w rozdziale II RODO „Zasady”.
2. Powierzający zobowiązuje się współpracować z Przetwarzającym w wykonaniu niniejszej Umowy, jak również udzielać Przetwarzającemu wyjaśnień w razie jakichkolwiek wątpliwości co do zgodności z prawem poleceń Powierzającego oraz terminowo wykonywać nałożone na Powierzającego obowiązki.
3. Powierzający zobowiązuje się, że nie będzie nadużywał prawa audytu, w tym inspekcji, o których mowa w §
8 niniejszej Umowy.
§ 6.
Bezpieczeństwo Przetwarzania Danych Osobowych
Strony zobowiązują się wykonywać zobowiązania wynikające z niniejszej Umowy z najwyższą starannością oraz zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie Danych Osobowych odbywało się zgodnie z RODO, w tym z wymogami określonymi w art. 25 RODO i art. 32 RODO oraz chroniło prawa osób, których dane dotyczą.
§ 7.
Powiadomienie o Stwierdzonym Naruszeniu Ochrony Danych Osobowych
1. Przetwarzający po stwierdzeniu naruszenia ochrony Danych Osobowych zgłasza je Powierzającemu bez zbędnej zwłoki, jednak nie później niż w terminie 48 godzin od momentu stwierdzenia naruszenia, a także, w przypadku pozyskania dodatkowych informacji w późniejszym czasie, zobowiązuje się przekazywać je Powierzającemu nie później niż w terminie 48 godzin od ich pozyskania.
2. Zgłoszenie stwierdzonego naruszenia ochrony Danych Osobowych, o którym mowa w ust. 1 powyżej powinno nastąpić wraz z przekazaniem wszelkich informacji dotyczących naruszenia, zgodnie z art. 33 RODO, będących w posiadaniu Przetwarzającego.
§ 8. NADZÓR
1. Przetwarzający udostępnia Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków, o których mowa w niniejszej Umowie oraz umożliwia Powierzającemu lub upoważnionemu
przez Powierzającego audytorowi przeprowadzanie audytów, w tym inspekcji i przyczynia się do nich (art. 28 ust. 3 lit. h RODO). Powierzający uprawniony jest do przeprowadzenia audytów, w tym inspekcji, o których mowa w zdaniu poprzedzającym, nie częściej niż raz w miesiącu kalendarzowym.
2. Warunkiem przeprowadzenia audytu, w tym inspekcji, o których mowa w ust. 1 powyżej, z uwagi na koniczność uzyskania stosownych upoważnień uprawniających do wejścia do siedziby Przetwarzającego oraz do miejsc, w których przetwarzane są Dane Osobowe, jest zawiadomienie Przetwarzającego w terminie 14 dni przed planowanym terminem ich przeprowadzenia.
3. Przetwarzający zastrzega sobie prawo do zmiany planowanego terminu przeprowadzenia audytu, w tym inspekcji, o których mowa w ust. 2 powyżej z uwagi na ważne przyczyny uniemożlwiające ich przeprowadzenie w uprzednio zaplanowanym terminie, w tym w szczególności z uwagi na audyt innego powierzającego, urlopy pracowników, problemy techniczne, czy organizacyjne i wyznaczenia terminu audytu, w tym inspekcji w terminie 30 dni od dnia uprzednio planowanego terminu ich przeprowadzenia.
4. Przetwarzający upoważniony jest odmówić Powierzającemu lub upoważnionemu przez Powierzającego
audytorowi przeprowadzenia czynności kontrolnych jeżeli:
1) pojawią się oni w siedzibie Przetwarzającego lub w miejscu, w którym przetwarzane są Dane Osobowe bez zawiadomienia, lub po zawiadomieniu, które nie uwzględnia terminu, o którym mowa w ust. 2 i 3 powyżej,
2) nie zostanie wydane im stosowne upoważnienie uprawniające do wejścia do miejsc, w których przetwarzane są Dane Osobowe z uwagi na ważny interes Rzeczypospolitej Polskiej,
3) podejmowane przez nich czynności mogą zagrozić bezpieczeństwu całości infrastruktury technicznej i teleinformatycznej Przetwarzającego, w tym zagrozić bezpieczeństwu przetwarzanych innych danych osobowych niż będące przedmiotem niniejszej Umowy.
5. Powierzający lub upoważniony przez Powierzającego audytor:
1) uprawnieni są tylko i wyłącznie do kontroli w obszarze przetwarzania powierzonych Danych Osobowych, a ich działania i czynności nie mogą dotyczyć infrastruktury technicznej i teleinformatycznej Przetwarzającego, jak również innych aspektów wprost niezwiązanych z przetwarzaniem Danych Osobowych,
2) zobowiązani są powstrzymać się od działań mogących doprowadzić do naruszenia bezpieczeństwa przetwarzanych innych danych osobowych niż będące przedmiotem niniejszej Umowy,
3) uprawnieni są do wejścia do miejsc, w których przetwarzane są Dane Osobowe tylko pod warunkiem uzyskania stosownego upoważnienia uprawniającego do wejścia do tych miejsc,
4) uprawnieni są do wglądu do dokumentacji związanej z przetwarzaniem Danych Osobowych,
5) nie są uprawnieni do wykonywania jakichkolwiek testów, prób zabezpieczeń, czy też innych działań mogących mieć wpływ na infrastrukturę techniczną i teleinformatyczną Przetwarzającego.
6. Przetwarzający niezwłocznie informuje Powierzającego, jeżeli jego zdaniem wydane mu polecenie, w ramach działań o których mowa w ust. 1 powyżej stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych osobowych (art. 28 ust. 3 Akapit 2 RODO).
§ 9.
Oświadczenia Stron
1. Powierzający oświadcza, że jest uprawniony do przetwarzania Danych Osobowych w takim zakresie, w jakim powierzył przetwarzanie Danych Osobowych Przetwarzającemu.
2. Przetwarzający oświadcza, że posiada wdrożone odpowiednie środki techniczne i organizacyjne przetwarzania Danych Osobowych zapewniające odpowiedni stopień bezpieczeństwa przetwarzania Danych Osobowych zgodnie z przepisami prawa powszechnie obowiązującego, stanem wiedzy technicznej oraz charakterem, zakresem, kontekstem i celem przetwarzania Danych Osobowych, a także ryzykiem naruszenia praw lub wolności osób fizycznych. Wzór informacji o zapewnieniu przez podmiot przetwarzający odpowiednich środków ochrony (technicznych i organizacyjnych), umożliwiających należyte zabezpieczenie danych osobowych, wymaganych art.24 ust.1 i 2 oraz art.32 RODO stanowi załącznik nr 1 do niniejszej umowy.
3. Przetwarzający oświadcza, że każda osoba, która posiada dostęp do Danych Osobowych uzyskała odrębne pisemne upoważnienie do przetwarzania danych osobowych, zobowiązała się do zachowania w tajemnicy Danych Osobowych oraz informacji dotyczących sposobów ich zabezpieczeń, a także będzie przetwarzała Dane Osobowe wyłącznie na polecenie Przetwarzającego, w granicach realizacji niniejszej Umowy. Wzór upoważnienia/odwołania upoważnienia powierzonych do przetwarzania danych osobowych stanowi załącznik nr 2 do niniejszej Umowy.
§ 10.
Odpowiedzialność
1. Powierzający ponosi odpowiedzialność za przestrzeganie przepisów prawa w zakresie przetwarzania i ochrony danych osobowych według RODO. Powyższe nie wyłącza odpowiedzialności Przetwarzającego za przetwarzanie powierzonych Danych Osobowych. Przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłączenie gdy nie dopełnił obowiązków, które nakłada na niego RODO lub gdy działał poza zgodnymi z prawem instrukcjami Powierzającego lub wbrew tym instrukcjom (art. 82 ust. 2 RODO).
2. Przetwarzający nie ponosi odpowiedzialności za nieprzestrzeganie lub nienależyte przestrzeganie przez Powierzającego ogólnych zaleceń Przetwarzającego dotyczących przetwarzania Danych Osobowych. Pełną odpowiedzialność, w tym odpowiedzialność odszkodowawczą, za wszelkie szkody wynikłe z naruszenia tych zaleceń ponosi Powierzający.
3. Jeżeli inny podmiot przetwarzający, o którym mowa w § 2 niniejszej Umowy, nie wywiąże się ze spoczywających na nim obowiązków ochrony Danych Osobowych, pełna odpowiedzialność wobec Powierzającego za wypełnienie obowiązków przez inny podmiot przetwarzający spoczywa na Przetwarzającym (art. 28 ust. 4 RODO).
§ 11.
Czas Obowiązywania Umowy
Umowa zostaje zawarta na czas obowiązywania Umowy Właściwej. W celu uniknięcia wątpliwości Strony zgodnie
przyjmują, że rozwiązanie Umowy Właściwej skutkuje rozwiązaniem niniejszej Umowy.
§ 12.
Usunięcie Lub Zwrot Danych Osobowych
1. Z chwilą rozwiązania Umowy Przetwarzający nie ma prawa dalszego przetwarzania powierzonych Danych Osobowych i jest zobowiązany, zależnie od decyzji Powierzającego, do:
1) usunięcia Danych Osobowych i usunięcia wszelkich istniejących kopii Danych Osobowych, lub
2) zwrotu Danych Osobowych i usunięcia wszelkich istniejących kopii Danych Osobowych,
- chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują dalsze przechowywanie
Danych Osobowych (art. 28 ust. 3 lit. g RODO).
2. Powierzający informuje Przetwarzającego o podjętej decyzji, o której mowa w ust. 1 powyżej, w formie pisemnej w terminie 14 dni przed planowanym rozwiązaniem Umowy, pod rygorem przyjęcia, iż Powierzający wyraża zgodę na usunięcie Danych Osobowych i usunięcie wszelkich istniejących kopii Danych Osobowych po rozwiązaniu Umowy.
3. Sposób usunięcia lub zwrot Danych Osobowych oraz usunięcia wszelkich istniejących kopii Danych Osobowych po rozwiązaniu Umowy zostanie uzgodniony pomiędzy Stronami przed przystąpieniem do tych czynności, o ile sposób ich usunięcia lub zwrotu nie został określony w ogólnych zaleceniach Przetwarzającego dotyczących przetwarzania Danych Osobowych.
§ 13.
Poufność
1. Strony zobowiązują się nie ujawniać osobom trzecim treści Umowy, jak również wszelkich danych i informacji przekazywanych w związku z jej realizacją z uwagi na jej poufny charakter, chyba że obowiązek ujawnienia takich informacji wynika z bezwzględnie obowiązujących przepisów prawa.
2. Powyższy obowiązek nie będzie miał zastosowania w stosunku do informacji, które:
1) zostały ogłoszone publicznie w sposób niestanowiący naruszenia niniejszej Umowy,
2) są znane Stronie z innego źródła i nie wiążą się z obowiązkiem zachowania poufności oraz ich
wyjawienie nie powoduje naruszenia niniejszej Umowy,
3) mogą być ogłoszone publicznie po uzyskaniu pisemnej zgody drugiej Strony.
3. Obowiązek zachowania poufności określony w niniejszym paragrafie nie narusza obowiązku Stron przedstawiania informacji właściwym organom i władzom.
4. Strony mogą ujawniać informacje objęte niniejszym obowiązkiem zachowania poufności swoim doradcom, zwłaszcza swoim adwokatom i radcom prawnym, o ile są oni związani obowiązkiem zachowania tajemnicy.
5. Zobowiązanie do zachowania poufności nie wygasa po rozwiązaniu niniejszej Umowy i ma charakter bezterminowy.
§ 14.
Postanowienia Końcowe
1. Xxxxxx, mając na uwadze treść punktu 3 preambuły Umowy, zgodnie przyjmują, że w razie sprzeczności pomiędzy postanowieniami niniejszej Umowy, a Umowy Właściwej, pierwszeństwo mają postanowienia niniejszej Umowy.
2. Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy pisemnej pod rygorem nieważności.
3. Kontakt do Inspektora Ochrony Danych Osobowych po stronie Powierzającego: Inspektor Ochrony Danych
(IOD)- Xxxxx Xxxxxxxxx, e-mail: xxx@xxxxxxxxxxxxx.xxx.xx,
4. Kontakt do Inspektora Ochrony Danych Osobowych lub innej osoby odpowiedzialnej za przetwarzanie
danych osobowych po stronie Przetwarzającego: xxxx@xxxxxxxxxxxx.xx
5. Sądem właściwym dla rozstrzygania sporów powstałych w związku z realizacją Umowy jest sąd właściwy dla siedziby Przetwarzającego.
6. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.
7. Umowa podlega prawu polskiemu.
8. Załączniki stanowiące integralną część umowy powierzenia:
Załącznik nr 1- Wzór informacji o zapewnieniu przez podmiot przetwarzający odpowiednich środków ochrony (technicznych i organizacyjnych), umożliwiających należyte zabezpieczenie danych osobowych, wymaganych art.24 ust.1 i 2 oraz art.32 RODO.
Załącznik nr 2- wzór upoważnienia/odwołania upoważnienia do przetwarzania powierzonych danych osobowych.
Powierzający:
Przetwarzający:
Załącznik nr 1 do Umowy Powierzenia: Wzór informacji o zapewnieniu przez podmiot przetwarzający odpowiednich środków ochrony (technicznych i organizacyjnych), umożliwiających należyte zabezpieczenie danych osobowych, wymaganych art. 24 ust. 1 i 2 oraz art. 32 RODO
☐ został wyznaczony inspektor ochrony danych osobowych, nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych, należy podać dane kontaktowe (imię i nazwisko, numer telefonu oraz adres poczty elektronicznej):
……………………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………………………………………………………
……
☐ do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie
w przedmiotowym zakresie,
☐ prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych,
☐ została opracowana i wdrożona dokumentacja w zakresie ochrony danych osobowych, spełniająca wymagania określone dla środków organizacyjnych, o których mowa w art. 24 ust. 2 RODO; należy ją wyszczególnić poniżej:
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Środki ochrony fizycznej danych |
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do fizycznego zabezpieczenia przetwarzanych danych osobowych. |
1 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi). |
2 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min. |
3 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C. |
4 | ☐ | Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. |
5 | ☐ | Pomieszczenia, w których przetwarzany jest zbiór danych osobowych, wyposażone są w system alarmowy przeciwwłamaniowy. |
6 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęte są systemem kontroli dostępu. |
7 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. |
8 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony. |
9 | ☐ | Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony. |
10 | ☐ | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie. |
11 | ☐ | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie. |
12 | ☐ | Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej. |
13 | ☐ | Kopie zapasowe / archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie. |
14 | ☐ | Kopie zapasowe / archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie. |
15 | ☐ | Kopie zapasowe / archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej. |
16 | ☐ | Zbiór danych osobowych przetwarzany jest w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach. |
17 | ☐ | Pomieszczenie, w którym przetwarzany jest zbiór danych osobowych, zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i / lub wolnostojącej gaśnicy. |
18 | ☐ | Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów. |
Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do: ✓ technicznych środków zabezpieczenia komputerów przed skutkami awarii zasilania, ✓ opisu infrastruktury sieci informatycznej, w której użytkowane są komputery wykorzystywane do przetwarzania danych osobowych, ✓ sprzętowych i programowych środków ochrony przed nieuprawnionym dostępem do danych osobowych, w tym środków zapewniających rozliczalność wykonywanych operacji, ✓ sprzętowych i programowych środków ochrony poufności danych przesyłanych drogą elektroniczną (środków ochrony transmisji), ✓ sprzętowych i programowych środków ochrony przed szkodliwym oprogramowaniem i nieuprawnionym dostępem do przetwarzanych danych. | ||
1 | ☐ | Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego. |
2 | ☐ | Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową. |
3 | ☐ | Zastosowano urządzenia typu UPS, generator prądu i / lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania. |
4 | ☐ | Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej / komputerze przenośnym, zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS. |
5 | ☐ | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. |
6 | ☐ | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena. |
7 | ☐ | Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej. |
8 | ☐ | Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. |
9 | ☐ | Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł. |
10 | ☐ | Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. |
11 | ☐ | Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji. |
12 | ☐ | Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia. |
13 | ☐ | Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu. |
14 | ☐ | Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej. |
15 | ☐ | Zastosowano środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity. |
16 | ☐ | Użyto system Firewall do ochrony dostępu do sieci komputerowej. |
17 | ☐ | Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej. |
Środki ochrony w ramach narzędzi programowych i baz danych | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do technicznych i programowych środków bezpieczeństwa zastosowanych w procedurach, aplikacjach i programach oraz innych narzędziach programowych wykorzystywanych do przetwarzania danych osobowych. | ||
1 | ☐ | Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych. |
2 | ☐ | Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych. |
3 | ☐ | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. |
4 | ☐ | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena. |
5 | ☐ | Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej. |
6 | ☐ | Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego. |
7 | ☐ | Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych. |
8 | ☐ | Zastosowano kryptograficzne środki ochrony danych osobowych. |
9 | ☐ | Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. |
10 | ☐ | Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. |
Środki organizacyjne | ||
W tej grupie środków należy zaznaczyć te pozycje, które odnoszą się do innych środków organizacyjnych zastosowanych przez administratora w celu ochrony danych, takich jak: instrukcje, szkolenia, zobowiązania. | ||
1 | ☐ | Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. |
2 | ☐ | Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. |
3 | ☐ | Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. |
4 | ☐ | Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. |
5 | ☐ | Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. |
Jeżeli zastosowane zostały dodatkowo inne środki nie wymienione w udostępnionych listach, należy je wyszczególnić poniżej:
……………………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………..…………………………………………………………………………………………………
………….
……………………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………..…………………………………………………………………………………………………
………….
Załącznik nr 2 do Umowy Powierzenia: Wzór upoważnienia do przetwarzania powierzonych do
przetwarzania danych osobowych
UPOWAŻNIENIE nr ………
do przetwarzania powierzonych do przetwarzania danych osobowych
Z dniem …………………., na podstawie art. 29 w związku z art. 28 ust. 3 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1-88), (RODO), upoważniam Panią / Pana*:
……………..……………………………………..
(imię i nazwisko osoby upoważnionej)
…………………………..
(pełniona funkcja)
do przetwarzania danych osobowych powierzonych do przetwarzania przez Administratora Danych- Park Narodowy „Ujście Warty” w ramach kompleksowej obsługi informatycznej dla Parku Narodowego „Ujście Warty” i dotyczy następujących kategorii osób: klienci/kontrahenci Powierzającego, pracownicy Powierzającego.
Równocześnie zobowiązuję Panią/Pana* do:
a) zachowania w tajemnicy wszelkich informacji dotyczących przetwarzanych danych osobowych oraz
sposobów ich zabezpieczenia;
b) przetwarzania danych osobowych w ramach „kompleksowej obsługi informatycznej dla Parku Narodowego
„Ujście Warty”, zgodnie z zasadami przetwarzania opisanymi w art.5 RODO.
Powyższe zobowiązanie do zachowania tajemnicy obowiązuje Panią/Pana* w trakcie trwania umowy jak również po ustaniu stosunku prawnego łączącego Panią/Pana* z
………………………………………………………………………………………………………………
Upoważnienie wygasa z chwilą ustania Pani / Pana* zatrudnienia / wykonywania pracy na rzecz / / stażu / praktyk w lub z chwilą jego odwołania.
* niepotrzebne skreślić
………….……………………………………………………..
(pieczątka i podpis Administratora Danych Osobowych lub osoby upoważnionej do wydawania upoważnienia)
Oświadczenie upoważnionego
Oświadczam, że zapoznałam/łem się z przepisami dotyczącymi ochrony danych osobowych, w tym z RODO, ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000), a także z obowiązującą w …………………..……………………………….. dokumentacją w zakresie ochrony danych osobowych, spełniającą wymagania określone dla środków organizacyjnych, o których mowa w art. 24 ust. 2 i art. 32 RODO - i zobowiązuję się do przestrzegania zasad przetwarzania danych
osobowych określonych w tych dokumentach.
Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczania, z którymi zapoznałem się zarówno w okresie trwania zatrudnienia / wykonywania pracy na rzecz / stażu / praktyk w ………………..……..…….., jak też po ustaniu tego stosunku prawnego.
……………………………………………
(czytelny podpis osoby upoważnionej)
Upoważnienie otrzymałam / -łem
…………………………………………………… ( miejscowość, data, podpis)
_
Załącznik nr 2 do Umowy Powierzenia: Wzór odwołania upoważnienia do przetwarzania powierzonych do przetwarzania danych osobowych
ODWOŁANIE UPOWAŻNIENIA nr ………..
do przetwarzania powierzonych do przetwarzania danych osobowych
Z dniem ………………..………., na podstawie art. 29 w związku z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1-88) (RODO), odwołuję upoważnienie Pani / Pana*
………………………………………….. nr …………………. do przetwarzania danych osobowych, wydane w dniu ………………………………………
……….…………………………………………………………………… Czytelny podpis osoby upoważnionej do odwołania upoważnienia
…………………………………………………..
(miejscowość, data)