ZAŁĄCZNIK NR 2 DO OGÓLNYCH ZASAD WSPÓŁPRACY Z GRUPĄ PRACUJ S.A.
ZAŁĄCZNIK NR 2 DO OGÓLNYCH ZASAD WSPÓŁPRACY Z GRUPĄ PRACUJ S.A.
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH („UMOWA POWIERZENIA”)
A. Umowa Powierzenia stanowi integralną część Zasad Współpracy i określa zasady przetwarzania przez Usługodawcę na zlecenie Klienta danych osobowych Kandydatów, Pracowników Klienta oraz innych osób wskazanych w Umowie Powierzenia, za pośrednictwem Systemów Usługodawcy.
B. Pojęcia użyte w Umowie Powierzenia i pisane wielką literą mają znaczenie przypisane im w treści Umowy Powierzenia oraz w Zasadach Współpracy.
C. Umowa Powierzenia stanowi całość zobowiązań oraz warunków powierzenia przetwarzania danych Kandydatów, Pracowników Klienta oraz innych osób wskazanych w Umowie Powierzenia, pomiędzy Klientem i Usługodawcą w związku z realizacją Usług i korzystaniem przez Klienta z Systemów Usługodawcy oraz zastępuje wszelkie dotychczasowe umowy, porozumienia oraz ustalenia pomiędzy Klientem i Usługodawcą w tym zakresie.
§ 1 Definicje
1. Administrator Danych – oznacza Klienta lub Podmiot Powiązany, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania Danych Osobowych;
2. Cel Przetwarzania – oznacza realizację przez Usługodawcę zobowiązań określonych w Umowie o świadczenie Usług w związku z publikacją Ogłoszeń Rekrutacyjnych w Serwisie lub realizacją z innych Usług, która wiąże się z korzystaniem przez Klienta z Systemów Usługodawcy;
3. Czynności Przetwarzania – oznaczają wszelkie operacje na Danych Osobowych, które będzie wykonywał Podmiot Przetwarzający na polecenie Administratora Danych na podstawie Umowy o świadczenie Usług, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
4. Dalszy Podmiot Przetwarzający – oznacza podmiot, z którego usług korzysta Podmiot Przetwarzający przy wykonywaniu praw i obowiązków określonych w Umowie o świadczenie Usług i dokonywaniu konkretnych Czynności Przetwarzania, który będzie miał dostęp do Danych Osobowych;
5. Dane Osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, których dotyczy powierzenie przetwarzania na mocy Umowy Powierzenia. Dane Osobowe określa Załącznik nr 1 do Umowy Powierzenia, przez wskazanie kategorii osób, których dane dotyczą, rodzaju danych osobowych oraz czynności i formy przetwarzania;
6. EOG – oznacza Europejski Obszar Gospodarczy zdefiniowany w Porozumieniu o Europejskim Obszarze Gospodarczym (Dz. U. UE L z dnia 3 stycznia 1994 r. z późn. zm.), czyli państwa należące do Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein;
7. Harmonogram Kontroli – oznacza harmonogram Kontroli Przetwarzania, które mogą przeprowadzać Klienci u Usługodawcy;
8. Informacja o Dalszym Podmiocie Przetwarzającym – oznacza informację o zamiarze powierzenia przetwarzania Danych Osobowych przez Usługodawcę innemu podmiotowi niż określony w Załączniku nr 3 do Umowy Powierzenia lub informację o zmianie miejsca przetwarzania przez dotychczasowy Dalszy Podmiot Przetwarzający na miejsce przetwarzania poza EOG, zawierającą: (i) nazwę i adres siedziby Dalszego Podmiotu Przetwarzającego, (ii) miejsce przetwarzania Danych Osobowych oraz (iii) cel dalszego powierzenia przetwarzania Danych Osobowych (funkcję Dalszego Podmiotu Przetwarzającego);
9. Klient – oznacza Klienta zgodnie z definicją określoną w Zasadach Współpracy jak również odpowiednio Podmiot Powiązany, jeżeli Podmiot Powiązany jest Administratorem Danych Osobowych;
10. Kontrola Przetwarzania – oznacza audyty (w tym inspekcje) zgodności przetwarzania Danych Osobowych w Systemach Usługodawcy z przepisami prawa, w szczególności z RODO oraz Umową Powierzenia. Kontrola Przetwarzania może być dokonana samodzielnie przez Klienta lub za pośrednictwem upoważnionego przez niego audytora, po przedłożeniu przez audytora pełnomocnictwa do działania w imieniu Xxxxxxx;
11. Naruszenie Ochrony Danych Osobowych – oznacza naruszenie bezpieczeństwa Danych Osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych, w stosunku do których są wykonywane Czynności Przetwarzania przez odpowiednio Podmiot Przetwarzający lub Dalszy Podmiot Przetwarzający;
12. Ocena Skutków dla Ochrony Danych – oznacza ocenę skutków planowanych operacji przetwarzania dla ochrony Danych Osobowych, o której mowa w art. 35-36 RODO;
13. Okres Przechowywania – oznacza okres wskazany w Umowie o świadczenie Usług, przez który Usługodawca będzie przechowywał dokumenty aplikacyjne Kandydatów w Systemach Usługodawcy;
14. Organ Nadzorczy – oznacza organ nadzorczy, o którym mowa w art. 4 pkt 21 RODO;
15. Podmiot Przetwarzający – oznacza Usługodawcę, który przetwarza Dane Osobowe na wyraźne polecenie Klienta w związku z publikacją Ogłoszeń Rekrutacyjnych lub realizacją innych Usług, która wiąże się z korzystaniem przez Klienta z Systemów Usługodawcy;
16. Pracownik Klienta – oznacza pracownika Klienta zatrudnionego na podstawie umowy o pracę lub na podstawie umowy cywilnoprawnej (np. umowy zlecenia, umowy o współpracy), którego dane osobowe są przetwarzane w Systemach Usługodawcy w związku z publikacją Ogłoszeń Rekrutacyjnych w Serwisie lub realizacją innych Usług;
17. Przekazywanie Danych Osobowych do Państw Trzecich – oznacza przetwarzanie przez Usługodawcę Danych Osobowych poza EOG za pośrednictwem Dalszego Podmiotu Przetwarzającego po spełnieniu warunków określonych w rozdziale V RODO;
18. RODO – oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
19. Sprzeciw wobec Dalszego Podmiotu Przetwarzającego – oznacza sprzeciw Klienta wobec dalszego powierzenia przetwarzania Danych Osobowych przez Usługodawcę podmiotowi określonemu w Informacji o Dalszym Podmiocie Przetwarzającym. Sprzeciw wymaga zachowania formy pisemnej pod rygorem nieważności;
20. Standardowe Klauzule Umowne – oznaczają standardowe klauzule ochrony danych przyjęte przez Komisję Europejską, o których mowa w art. 46 RODO.
§ 2 Przedmiot i czas trwania przetwarzania Danych Osobowych
1. Klient powierza Usługodawcy przetwarzanie Danych Osobowych w związku z Umową o świadczenie Usług a Usługodawca to zlecenie przyjmuje.
2. Usługodawca może przetwarzać Dane Osobowe wyłącznie w celu wykonania zobowiązań wynikających z Umowy o świadczenie Usług, w tym zapewnienia określonych funkcjonalności oraz wsparcia technicznego Systemów Usługodawcy.
3. Usługodawca może przetwarzać Dane Osobowe wyłącznie przez (i) okres obowiązywania Umowy o świadczenie Usług oraz przez (ii) okres od rozwiązania lub wygaśnięcia Umowy o świadczenie Usług do czasu usunięcia Danych Osobowych zgodnie z postanowieniami Umowy Powierzenia, chyba że Klient oraz Usługodawca ustalą inny termin przetwarzania Danych Osobowych w drodze odrębnego porozumienia.
4. Zawarcie Umowy Powierzenia stanowi udokumentowane polecenie Klienta do przetwarzania przez Usługodawcę Danych Osobowych, w tym do Przekazywania Danych Osobowych do Państw Trzecich z zastrzeżeniem postanowień określonych w § 6 Umowy Powierzenia.
§ 3 Środki techniczne i organizacyjne
1. Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania Danych Osobowych oraz ryzyko naruszenia praw lub wolności osób, których Dane Osobowe dotyczą, Usługodawca zapewni środki techniczne i organizacyjne adekwatne do rodzaju Danych Osobowych oraz ryzyka naruszenia praw lub wolności osób, których Dane Osobowe dotyczą.
2. Odpowiednie środki techniczne i organizacyjne obejmują co najmniej środki określone w
Załączniku nr 2 do Umowy Powierzenia.
3. Usługodawca może zmienić lub wprowadzić inne środki techniczne i organizacyjne niż określone w Załączniku nr 2 do Umowy Powierzenia pod warunkiem, że będą one spełniały wymogi określone w § 3 ust. 1 Umowy Powierzenia.
§ 4 Personel Usługodawcy
1. Usługodawca dopuści do przetwarzania Danych Osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do Danych Osobowych jest niezbędny do wykonania usług określonych w Umowie o świadczenie Usług.
2. Usługodawca zapewni, aby osoby działające z jego upoważnienia i mające dostęp do Danych Osobowych zobowiązały się do zachowania tajemnicy przetwarzanych Danych Osobowych lub podlegały ustawowemu obowiązkowi zachowania tajemnicy. Usługodawca
zaznajomi osoby upoważnione do przetwarzania Danych Osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem Danych Osobowych.
§ 5 Dalsze Podmioty Przetwarzające
1. Klient wyraża zgodę na korzystanie przez Usługodawcę z usług Dalszych Podmiotów Przetwarzających przy przetwarzaniu Danych Osobowych zgodnie z art. 28 ust. 2 RODO, w celu prawidłowego świadczenia Usług, w tym zapewnienia określonych funkcjonalności oraz bezpieczeństwa Systemów Usługodawcy.
2. Lista Dalszych Podmiotów Przetwarzających, z których korzysta lub zamierza korzystać Usługodawca na dzień rozpoczęcia obowiązywania Umowy Powierzenia znajduje się w Załączniku nr 3 do Umowy Powierzenia. Zawierając Umowę Powierzenia Klient akceptuje powierzenie przetwarzania Danych Osobowych podmiotom określonym w Załączniku nr 3 do Umowy Powierzenia.
3. W przypadku zamiaru skorzystania przez Usługodawcę z usług innych Dalszych Podmiotów Przetwarzających niż określone w Załączniku nr 3 do Umowy Powierzenia, Usługodawca przekaże Klientowi Informację o Dalszym Podmiocie Przetwarzającym co najmniej na 30 dni przed dokonaniem dalszego powierzenia przetwarzania Danych Osobowych. Informacja o Dalszym Podmiocie Przetwarzającym zostanie przekazana w postaci elektronicznej na Adres E-Mail Klienta. Zmiana Załącznika nr 3 nie wymaga zmiany Umowy Powierzenia.
4. W terminie 14 dni od dnia otrzymania Informacji o Dalszym Podmiocie Przetwarzającym, Klient może zgłosić Sprzeciw wobec Dalszego Podmiotu Przetwarzającego.
5. Zgłoszenie Sprzeciwu wobec Dalszego Podmiotu Przetwarzającego, w zależności od rodzaju usług świadczonych przez Dalszy Podmiot Przetwarzający, oznacza: (i) wypowiedzenie Umowy o świadczenie Usług ze skutkiem na koniec miesiąca następującego po miesiącu, w którym złożono Sprzeciw, jeżeli powierzenie przetwarzania Danych Osobowych Dalszemu Podmiotowi Przetwarzającemu jest niezbędne do świadczenia wszystkich Usług zgodnie z Zasadami Współpracy i Klient nie ma możliwości wyboru, czy z danej Usługi lub jej określonej funkcjonalności chce skorzystać albo (ii) zaprzestanie korzystania przez Klienta z określonej Usługi lub jej funkcjonalności lub brak dostępu do określonej Usługi lub jej funkcjonalności, z którą wiąże się konieczność skorzystania z usług Dalszego Podmiotu Przetwarzającego, w przypadku gdy powierzenie przetwarzania Danych Osobowych Dalszemu Podmiotowi Przetwarzającemu jest niezbędne jedynie do świadczenia określonej Usługi lub jej funkcjonalności. W czasie trwania okresu wypowiedzenia Umowy o świadczenie Usług, Usługodawca nie przekaże Dalszemu Podmiotowi Przetwarzającemu Danych Osobowych do przetwarzania.
6. Umowa pomiędzy Usługodawcą a Dalszym Podmiotem Przetwarzającym będzie nakładać na Dalszy Podmiot Przetwarzający te same obowiązki ochrony danych, jak określone w Umowie Powierzenia, w szczególności zobowiązania dotyczące przestrzegania przepisów RODO, w tym zobowiązania dotyczące stosowania środków technicznych i organizacyjnych, które będą adekwatne do rodzaju powierzonych Danych Osobowych oraz ryzyka naruszenia praw lub wolności osób, których Dane Osobowe dotyczą. Uprawnienia Dalszych Podmiotów Przetwarzających nie będą szersze niż uprawnienia Usługodawcy określone w Umowie Powierzenia.
7. Usługodawca ponosi odpowiedzialność za działania i zaniechania Dalszych Podmiotów Przetwarzających zgodnie z zasadami odpowiedzialności określonymi w § 11 Umowy Powierzenia.
§ 6 Przekazywanie Danych Osobowych do Państw Trzecich
1. W przypadku zamiaru skorzystania z usług innych Dalszych Podmiotów Przetwarzających niż określone w Załączniku nr 3 do Umowy Powierzenia lub zmiany miejsca przetwarzania Danych Osobowych przez Dalszy Podmiot Przetwarzający określony w Załączniku nr 3, które będzie się wiązało z koniecznością Przekazywania Danych Osobowych do Państw Trzecich, znajdują odpowiednie zastosowanie postanowienia § 5 Umowy Powierzenia, z zastrzeżeniem, że Informacja o Dalszym Podmiocie Przetwarzającym będzie zawierała dodatkowo informację o podstawach prawnych Przekazywania Danych Osobowych do Państw Trzecich, w szczególności w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 RODO, w tym informacje o Standardowych Klauzulach Umownych, jeżeli dotyczy.
2. Jeżeli skorzystanie z usług Dalszego Podmiotu Przetwarzającego będzie się wiązało z koniecznością zawarcia Standardowych Klauzul Umownych w celu zapewnienia odpowiednich zabezpieczeń zgodnie z art. 46 RODO, a nie zostaną przyjęte przez Komisję Europejską Standardowe Klauzule Umowne dla celów przekazywania danych osobowych pomiędzy podmiotem przetwarzającym a dalszym podmiotem przetwarzającym, Usługodawca zawrze Standardowe Klauzule Umowne z Dalszym Podmiotem Przetwarzającym w imieniu i na rzecz Klienta, chyba że Klient zgłosił Sprzeciw wobec Dalszego Podmiotu Przetwarzającego na zasadach określonych w § 5 ust. 4-5 Umowy Powierzenia. Zawierając Umowę o świadczenie Usług Klient upoważnia Usługodawcę do zawarcia w imieniu Klienta Standardowych Klauzul Umownych.
3. W przypadku zgłoszenia przez Klienta Sprzeciwu wobec Dalszego Podmiotu Przetwarzającego, Usługodawca nie jest uprawniony do przekazania Danych Osobowych do Państw Trzecich, w szczególności do zawarcia w imieniu i na rzecz Klienta Standardowych Klauzul Umownych.
§ 7 Pomoc dla Klienta
Uwzględniając charakter wykonywanych Czynności Przetwarzania Danych Osobowych oraz dostępne informacje w związku ze świadczeniem Usług, Usługodawca zapewni Klientowi pomoc w wywiązaniu się z następujących obowiązków:
a) zapewnienia odpowiednich środków technicznych i organizacyjnych przetwarzania Danych Osobowych, poprzez zastosowanie środków technicznych i organizacyjnych określonych w §3 Umowy Powierzenia;
b) przeprowadzenia Oceny Skutków dla Ochrony Danych poprzez udzielanie Klientowi niezbędnych informacji odnośnie przetwarzania Danych Osobowych w Systemach Usługodawcy potrzebnych do przeprowadzenia przez Klienta Oceny Skutków dla Ochrony Danych;
c) udzielania odpowiedzi na żądania osób, których Dane Osobowe dotyczą, w zakresie określonym w art. 15-22 RODO, poprzez zapewnienie Klientowi, na jego żądanie zgłoszone na adres: xxxxxx@xxxxxx.xx, następujących możliwości: (i) eksportu Danych Osobowych, (ii) usunięcia i ograniczenia przetwarzania Danych Osobowych oraz (iii) sprostowania Danych Osobowych. W przypadku zgłoszenia przez osobę, której Dane Osobowe dotyczą, żądania bezpośrednio do Usługodawcy jako Podmiotu
Przetwarzającego Dane Osobowe, Usługodawca poinformuje Klienta niezwłocznie o zgłoszonym żądaniu i ustali z nim sposób postępowania w stosunku do zgłoszonego żądania;
d) zgłoszenia Naruszenia Ochrony Danych Osobowych Organowi Nadzorczemu oraz z obowiązku zawiadomienia osób, których Dane Osobowe dotyczą, o Naruszeniu Ochrony Danych Osobowych zgodnie z art. 33-34 RODO.
§ 8 Naruszenie Ochrony Danych Osobowych
1. W przypadku stwierdzenia przez Usługodawcę Naruszenia Ochrony Danych Osobowych, zgodnie z przyjętą u Usługodawcy procedurą, Usługodawca zgłosi takie naruszenie Klientowi niezwłocznie, jednak nie później niż w terminie 36 godzin od stwierdzenia Naruszenia Ochrony Danych Osobowych. Zgłoszenie będzie zawierało:
a) opis okoliczności zdarzenia stanowiącego Naruszenie Ochrony Danych Osobowych oraz jego ustalonych lub podejrzewanych przyczyn;
b) opis charakteru Naruszenia Ochrony Danych Osobowych, w tym w miarę możliwości wskaże kategorie i przybliżoną liczbę osób, których Dane Osobowe dotyczą oraz kategorie i przybliżoną liczbę wpisów Danych Osobowych, których dotyczy Naruszenie Ochrony Danych Osobowych;
c) opis możliwych konsekwencji Naruszenia Ochrony Danych Osobowych;
d) opis zastosowanych przez Usługodawcę środków zaradczych w celu zminimalizowania ewentualnych negatywnych skutków Naruszenia Ochrony Danych Osobowych.
2. Informacja o Naruszeniu Ochrony Danych Osobowych zostanie przekazana przez Usługodawcę na Adres E-Mail Klienta.
3. W przypadku stwierdzenia Naruszenia Ochrony Danych Osobowych Usługodawca podejmuje niezwłocznie wszystkie niezbędne środki techniczne i organizacyjne w celu zaradzenia Naruszeniu Ochrony Danych Osobowych i zminimalizowania jego ewentualnych negatywnych konsekwencji.
§ 9 Informowanie Klienta
1. Usługodawca niezwłocznie, jednak nie później niż w terminie 5 Dni Roboczych, poinformuje Klienta o:
a) wszelkich postępowaniach, w szczególności administracyjnych lub sądowych, dotyczących przetwarzania Danych Osobowych, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu sądowym dotyczących Danych Osobowych, skierowanych do Usługodawcy, a także o wszelkich planowanych postępowaniach lub o realizowanych kontrolach i inspekcjach dotyczących przetwarzania Danych Osobowych;
b) poleceniach wydanych przez Klienta Usługodawcy dotyczących przetwarzania Danych Osobowych, które zdaniem Usługodawcy stanowią naruszenie przepisów RODO lub innych przepisów prawa o ochronie danych osobowych.
2. Na żądanie Klienta Usługodawca udostępni Klientowi niezwłocznie wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO.
3. Informacje zostaną przekazane na Adres E-Mail Klienta.
§ 10 Kontrola Przetwarzania
1. Klient jest uprawniony do przeprowadzenia Kontroli Przetwarzania w każdym czasie.
2. Klient jest uprawniony do przeprowadzenia Kontroli Przetwarzania bez ponoszenia jakichkolwiek opłat z tego tytułu na rzecz Usługodawcy w następujących przypadkach: (i) obowiązek przeprowadzenia Kontroli Przetwarzania został nałożony przez Organ Nadzorczy lub (ii) przeprowadzenie Kontroli Przetwarzania jest konieczne dla wyjaśnienia Naruszenia Ochrony Danych Osobowych.
3. W innych przypadkach przeprowadzania Kontroli Przetwarzania przez Klienta niż określone w ust. 2 niniejszego paragrafu, Usługodawca jest uprawniony do pobrania od Klienta opłaty w celu pokrycia uzasadnionych kosztów obsługi Kontroli Przetwarzania, według cennika stanowiącego Załącznik nr 4 do Umowy Powierzenia. Opłata powiększona o podatek o towarów i usług będzie płatna przelewem na podstawie faktury wystawionej przez Usługodawcę w terminie do 15. dnia miesiąca następującego po miesiącu, w którym Klient oraz Usługodawca podpisali protokół z Kontroli Przetwarzania zgodnie z ust. 7 niniejszego paragrafu.
4. Klient jest zobowiązany zawiadomić Usługodawcę o zamiarze przeprowadzenia Kontroli Przetwarzania co najmniej na 7 Dni Roboczych przed planowaną datą rozpoczęcia Kontroli Przetwarzania, z wyłączeniem przypadków określonych w ust. 2 niniejszego paragrafu. W tych przypadkach Strony uzgodnią odrębnie termin przeprowadzenia Kontroli Przetwarzania. Zawiadomienie powinno wskazywać dokładny zakres, termin oraz osoby upoważnione przez Klienta do przeprowadzenia Kontroli Przetwarzania i zostać przekazane na Adres E- Mail Usługodawcy.
5. Jeżeli zgodnie z Harmonogramem Kontroli przeprowadzenie Kontroli Przetwarzania nie będzie możliwe w terminie wskazanym przez Klienta w zawiadomieniu, o którym mowa w ust. 4 niniejszego paragrafu, w szczególności z uwagi na liczbę Kontroli Przetwarzania zgłoszonych przez innych klientów, Usługodawca poinformuje Klienta o pierwszym możliwym terminie przeprowadzenia Kontroli Przetwarzania. To postanowienie nie ma zastosowania do przypadków przeprowadzenia Kontroli Przetwarzania określonych w ust. 2 niniejszego paragrafu. Informacja zostanie przekazana na Adres E-Mail Klienta.
6. Kontrola Przetwarzania, w zakresie dotyczącym obszarów przetwarzania Danych Osobowych (np. pomieszczeń i systemów informatycznych Usługodawcy), nie może trwać dłużej niż 3 Dni Robocze, chyba że okaże się to niezbędne do prawidłowego przeprowadzenia Kontroli Przetwarzania. W takim przypadku Usługodawca i Klient uzgodnią maksymalny czas trwania Kontroli Przetwarzania.
7. Kontrola Przetwarzania zostanie zakończona podpisaniem przez obie Strony protokołu z Kontroli Przetwarzania. Protokół będzie zawierał wnioski z Kontroli Przetwarzania, uzgodniony przez obie Strony zakres ewentualnych zmian w zakresie przetwarzania Danych Osobowych przez Usługodawcę oraz wysokość opłaty określonej w ust. 3 niniejszego paragrafu, jeżeli dotyczy.
8. Przed rozpoczęciem Kontroli Przetwarzania Usługodawca jest uprawniony do żądania od Klienta zawarcia umowy o zachowaniu poufności odnośnie informacji, które mają zostać ujawnione Klientowi w ramach Kontroli Przetwarzania. Dodatkowo Klient będzie uprawniony do przeprowadzenia testów penetracyjnych Systemów Usługodawcy jedynie po uzyskaniu uprzedniej zgody Usługodawcy.
§ 11 Odpowiedzialność
1. W przypadku niewykonania lub nienależytego wykonania Umowy Powierzenia Usługodawca ponosi odpowiedzialność za szkody poniesione przez Klienta do wysokości szkody rzeczywistej, w zakresie, w jakim takie ograniczenie odpowiedzialności jest dopuszczalne w oparciu o bezwzględnie obowiązujące przepisy prawa.
2. Usługodawca ponosi odpowiedzialność za działania lub zaniechania Dalszych Podmiotów Przetwarzających jak za własne działania lub zaniechania zgodnie z zasadami odpowiedzialności określonymi w ust. 1 niniejszego paragrafu.
§ 12 Zakończenie przetwarzania Danych Osobowych
1. Usługodawca usunie Xxxx Xxxxxxx z wszelkich nośników danych, w tym z wszelkich istniejących kopii lub dokona ich anonimizacji, nie później niż w terminie 30 dni od dnia zakończenia Okresu Przechowywania lub zakończenia realizacji innych Usług związanych z przetwarzaniem Danych Osobowych w Systemach Usługodawcy (innych niż dokumenty aplikacyjne Kandydatów), chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia zawartego w formie pisemnej lub dokumentowej. W przypadku rozwiązania lub wygaśnięcia Umowy przed upływem Okresów Przechowywania, Usługodawca usunie Dane Osobowe lub dokona ich anonimizacji w terminie 30 dni od dnia rozwiązania lub wygaśnięcia Umowy o świadczenie Usług, chyba że Strony ustalą inny termin usunięcia lub anonimizacji Danych Osobowych w drodze odrębnego porozumienia zawartego w formie pisemnej lub dokumentowej. Na żądanie Klienta Usługodawca przekaże protokół usunięcia lub anonimizacji Danych Osobowych.
2. Usługodawca zapewni, że wszystkie Dalsze Podmioty Przetwarzające usuną lub zanonimizują Xxxx Xxxxxxx na zasadach określonych w niniejszym paragrafie.
3. W czasie trwania odpowiednio Okresu Przechowywania lub realizacji innych Usług związanych z przetwarzaniem Danych Osobowych w Systemach Usługodawcy (innych niż dokumenty aplikacyjne Kandydatów), Klient może żądać usunięcia Danych Osobowych przez Usługodawcę oraz dokonania eksportu (zwrotu) Danych Osobowych na uzgodniony przez Strony nośnik.
4. Na żądanie Klienta Usługodawca przekaże protokół zwrotu, usunięcia lub anonimizacji Danych Osobowych.
5. Jeżeli na mocy odpowiednich przepisów prawa Usługodawca będzie zobowiązany do przechowywania Danych Osobowych jeszcze przez jakiś czas po zakończeniu odpowiednio Okresu Przechowywania lub realizacji innych Usług związanych z przetwarzaniem Danych Osobowych w Systemach Usługodawcy (innych niż dokumenty aplikacyjne Kandydatów), Usługodawca niezwłocznie poinformuje Klienta o wystąpieniu takich okoliczności. W takiej sytuacji Usługodawca będzie przetwarzać Dane Osobowe wyłącznie w zakresie i celu wykonania obowiązków wynikających z przepisów prawa, a po ich spełnieniu niezwłocznie usunie lub dokona anonimizacji Danych Osobowych.
ZAŁĄCZNIKI:
Załącznik nr 1 | Dane Osobowe |
Załącznik nr 2 | Lista środków technicznych i organizacyjnych (zgodnie z § 3 ust. 2 Umowy Powierzenia). |
Załącznik nr 3 | Lista Dalszych Podmiotów Przetwarzających (zgodnie z § 5 ust. 2 Umowy Powierzenia). |
Załącznik nr 4 | Cennik obsługi Kontroli Przetwarzania (zgodnie z § 10 ust. 3 Umowy Powierzenia). |
Załącznik nr 1: Xxxx Xxxxxxx
Kategoria osób, których Dane Osobowe dotyczą | Rodzaj Danych Osobowych | Czynności Przetwarzania | Forma przetwarzania |
Kandydaci | Wszelkie dane przekazane przez Kandydatów za pośrednictwem Systemów Usługodawcy lub dane zawarte w wiadomościach wymienianych z Klientem za pośrednictwem Systemów Usługodawcy lub podczas spotkań online, np. dane zawarte w CV, liście motywacyjnym oraz formularzu aplikacyjnym, w szczególności: imię, nazwisko, dane kontaktowe (adres e- mail, numer telefonu, adres zamieszkania), data urodzenia, wykształcenie, doświadczenie zawodowe, kwalifikacje i umiejętności, termin rozpoczęcia pracy, oczekiwania finansowe, wizerunek, głos, treść wiadomości. | Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie. | Elektroniczna |
Pracownicy Klienta | Xxxx, nazwisko, adres e-mail, numer telefonu, stanowisko służbowe, miejsce zatrudnienia, wizerunek, głos lub inne dane, które Klient zamieszcza w Serwisie lub przekazuje Usługodawcy w inny sposób w związku z korzystaniem z określonych Usług, | Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie. | Elektroniczna |
x.xx. w związku z publikacją Ogłoszeń Rekrutacyjnych lub korzystaniem z Profilu Pracodawcy (Enterprise, Pro oraz Classic). | |||
Inne osoby wskazane przez Klienta | Xxxx, nazwisko, dane kontaktowe, wizerunek, głos lub inne dane, które Klient zamieszcza w Serwisie lub przekazuje Usługodawcy w inny sposób w związku z korzystaniem z określonych Usług, x.xx. w związku z publikacją Ogłoszeń Rekrutacyjnych lub korzystaniem z Profilu Pracodawcy (Enterprise, Pro oraz Classic). | Zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, przeglądanie, przekazywanie, modyfikowanie, usuwanie. | Elektroniczna |
Załącznik nr 2
I. BEZPIECZEŃSTWO DANYCH OSOBOWYCH
1. Zabezpieczenia organizacyjne:
a) Usługodawca posiada Politykę Bezpieczeństwa Informacji, która reguluje zasady ochrony danych osobowych przez Usługodawcę, w tym politykę zarządzania incydentami;
b) Usługodawca przeprowadza szkolenia wstępne i okresowe z ochrony danych osobowych i bezpieczeństwa informacji dla pracowników;
c) Usługodawca nadaje pracownikom imienne upoważnienia do przetwarzania danych osobowych. Upoważnienia są cyklicznie weryfikowane.
2. Zabezpieczenia dotyczące bezpieczeństwa fizycznego:
a) Usługodawca wydzielił obszary bezpieczne, w których przetwarzane są Dane Osobowe;
b) Usługodawca zastosował odpowiednie środki bezpieczeństwa tj. kontrolę dostępu, ochronę fizyczną, monitoring CCTV.
3. Zabezpieczenia dotyczące kontroli dostępu:
a) każdy pracownik Usługodawcy posiada odrębne, unikalne konto dostępowe do systemów informatycznych, w których przetwarzane są Dane Osobowe;
b) Usługodawca stosuje politykę silnych haseł, zmiany haseł i blokowania kont;
c) Usługodawca wprowadził szyfrowanie urządzeń mobilnych przetwarzających Dane Osobowe;
d) dostęp zdalny do Danych Osobowych jest centralnie zarządzany i kontrolowany.
4. Zabezpieczenia dotyczące bezpieczeństwa operacyjnego:
a) systemy informatyczne i aplikacje Usługodawcy służące do przetwarzania Danych Osobowych są regularnie aktualizowane, weryfikowane pod kątem podatności oraz zabezpieczone przez systemy antywirusowe;
b) Usługodawca stosuje ochronę przed nieuprawnionym dostępem do systemów i sieci przez zaporę ogniową (firewall);
c) zastosowano filtrowanie dostępów do stron internetowych. Zostały wdrożone systemy monitorujące ruch sieciowy, wykryte anomalie są logowane i raportowane.
II. BEZPIECZEŃSTWO APLIKACJI
Zabezpieczenia Systemów Usługodawcy zostały wyselekcjonowane w oparciu o standard OWASP ASVS oraz najlepsze praktyki bezpieczeństwa aplikacji.
W Systemach Usługodawcy stosowane są następujące zabezpieczenia:
1. Zabezpieczenia dotyczące architektury:
a) architektura aplikacji gwarantuje wielowarstwowość aplikacji;
b) aplikacja jest cyklicznie testowana przy pomocy testów penetracyjnych;
c) komponenty architektury aplikacji są monitorowane pod kątem podatności;
d) stosowane są zabezpieczenia sieciowe na styku z siecią Internet.
2. Zabezpieczenia dotyczące uwierzytelniania: jest stosowana weryfikacja tożsamości nadawcy w trakcie komunikacji zapewniająca, że tylko upoważnione podmioty mogą być uwierzytelnione, a dane uwierzytelniające są przechowywane i transportowane w sposób bezpieczny.
3. Zabezpieczenia dotyczące zarządzania sesją: zostały wdrożone mechanizmy zarządzania sesją, przy pomocy których interakcja aplikacji z użytkownikiem jest nadzorowana i bezpieczna. Sesje są unikalne dla każdego użytkownika i nie mogą zostać odgadnięte lub współdzielone.
4. Zabezpieczenia dotyczące kontroli dostępu: jest zapewniony dostęp jedynie do tych zasobów, na które wyrażono zgodę. Osoby uzyskujące dostęp posiadają ważne dane uwierzytelniające, a użytkownicy są powiązani ze zdefiniowanymi zestawami ról i uprawnień.
5. Zabezpieczenia dotyczące obsługi złośliwych danych wejściowych: jest stosowana walidacja danych wejściowych zapewniająca poprawność i dostosowanie do zamierzonych celów.
6. Zabezpieczenia dotyczące nieaktywnych mechanizmów kryptograficznych: jest zapewnione, że wszystkie moduły kryptograficzne kończące pracę niepowodzeniem robią to w sposób bezpieczny. Dostęp do kluczy jest zarządzany w bezpieczny sposób.
7. Zabezpieczenia dotyczące obsługi i logowania błędów: stosowane są mechanizmy logowania zdarzeń bezpieczeństwa, a wszystkie logowane informacje są obsługiwane i przechowywane w sposób bezpieczny.
8. Zabezpieczenia dotyczące mechanizmów ochrony danych: jest zapewniona ochrona danych przed nieautoryzowanym podglądem lub ujawnieniem, zarówno podczas transmisji jak i podczas przechowywania. Dane chronione są przed złośliwym tworzeniem, zmianą lub usuwaniem przez nieupoważnione osoby oraz dostępne są tylko dla autoryzowanych użytkowników, gdy tylko są potrzebne.
9. Zabezpieczenia dotyczące komunikacji:
a) stosowane jest bezpieczne połączenie we wszystkich połączeniach (zewnętrznych i wewnętrznych), które są uwierzytelniane lub związane są z wrażliwymi danymi lub funkcjami;
b) zapewnione są mechanizmy uniemożliwiające pogorszenie parametrów bezpieczeństwa połączenia;
c) stosowany jest najsilniejszy dostępny algorytm szyfrowania.
10. Zabezpieczenia dotyczące konfiguracji http: są zapewnione bezpieczne zestawy znaków w nagłówkach oraz nie są ujawniane informacje o wersjach komponentu systemów.
11. Zabezpieczenia dotyczące bezpieczeństwa plików i zasobów: jest zapewnione, że niezaufane dane z plików obsługiwane są w sposób bezpieczny, a pliki źródłowe otrzymane z niezaufanych źródeł są przechowywane poza katalogiem głównym aplikacji z ograniczonymi uprawnieniami.
12. Zabezpieczenia dotyczące bezpieczeństwa webservice’ów: jest zapewniona walidacja wszystkich parametrów wejściowych, które są transmitowane z mniej do bardziej zaufanych warstw.
13. Zabezpieczenia dotyczące bezpieczeństwa procesu konfiguracji: jest zapewnione bezpieczeństwo podczas zmian w oprogramowaniu i wykorzystywanie aktualnych bibliotek i platform, a komunikacja pomiędzy komponentami jest szyfrowana i uwierzytelniana.
Załącznik nr 3 (Dalsze Podmioty Przetwarzające – DPP)
Lp. | Nazwa DPP | Adres DPP | Miejsce przetwarzania przez DPP | Cel dalszego powierzenia DPP |
1. | Oktawave sp. z o.o. | xx. Xxxxxxxxxxx 00x, 00-000 Xxxxxxxx, Xxxxxx | Xxxxxx, Warszawa | Hosting w postaci chmury obliczeniowej |
2. | Microsoft Ireland Operations Limited | Xxxxx X, Xxxxxx Xxxxxxxx, Xxxxxxxxx Xxxxxxxxxx Xxxxxx, Xxxxxxxxxx Xx, Xxxxxx 00, Xxxxxxxx | EOG (główne centra danych: Holandia) | Hosting w postaci chmury obliczeniowej (Microsoft Azure) |
3. | Google Ireland Limited | Xxxxxx Xxxxx Xxxxxx Xxxxxx Xxxxxx 0 Xxxxxxxx | EOG (główne centra danych: Xxxxxxxx, Xxxxxx, Xxxxxx, Xxxxxxxxx, Xxxxxxxx) | Hosting w postaci chmury obliczeniowej (Google Cloud) |
4. | RTCLab sp. z o.o. | Xx. Xxxxxxxxxxx 000, 00-000 Xxxxxx, Xxxxxx | EOG (główne centrum danych: Niemcy) | Spotkania online w Strefie Xxxxxx.xx, w tym prezentacja i wymiana treści online |
Załącznik nr 4
Cennik obsługi Kontroli Przetwarzania
*wszystkie koszty zostały podane w kwotach netto.
Lp. | Koszt* | Opis kosztu |
1. | 130 zł | Godzina pracy osoby zaangażowanej w Kontrolę Przetwarzania w zakresie audytu środków technicznych i organizacyjnych, za pomocą których Usługodawca przetwarza Dane Osobowe, w szczególności takich jak oprogramowanie, aplikacje, serwery, sprzęt komputerowy, zabezpieczenia systemowe. |
2. | 160 zł | Godzina pracy inspektora ochrony danych. |
3. | 50 zł | Godzina pracy osoby zaangażowanej w Kontrolę Przetwarzania w zakresie audytu dokumentacji prawnej/administracyjnej. |