Umowa powierzenia przetwarzania danych

w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679

ZAŁĄCZNIK 

STANDARDOWE KLAUZULE UMOWNE 

SEKCJA I 

Klauzula 1

Cel i zakres

(a) Celem niniejszych standardowych klauzul umownych („klauzule”) jest zapewnienie przestrzegania [należy wybrać odpowiednią opcję: OPCJA 1: art. 28 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)] / [OPCJA 2: art. 29 ust. 3 i 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE].

(b) Administratorzy i podmioty przetwarzające wymienieni w załączniku I uzgodnili niniejsze klauzule w celu zapewnienia przestrzegania art. 28 ust. 3 i 4 rozporządzenia (UE) 2016/679 lub art. 29 ust. 3 i 4 rozporządzenia (UE) 2018/1725.

(c) Niniejsze klauzule mają zastosowanie do przetwarzania danych osobowych określonego w załączniku II.

(d) Załączniki I–IV stanowią integralną część klauzul.

(e) Niniejsze klauzule pozostają bez uszczerbku dla obowiązków, którym podlega administrator danych na mocy rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

(f) Niniejsze klauzule same w sobie nie zapewniają wypełnienia obowiązków związanych z międzynarodowym przekazywaniem danych zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

Klauzula 2 

Niezmienność klauzul 

(a) Strony udziela się niewyłącznej, nieprzenoszalnej, ograniczonej licencji na dostęp do Usługi i korzystanie z niej.

(b) Postanowienie to nie uniemożliwia stronom umieszczania standardowych klauzul umownych określonych w niniejszych klauzulach w treści umowy o szerszym zakresie ani dodawania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem że nie będą one bezpośrednio lub pośrednio sprzeczne z klauzulami umownymi ani nie będą naruszały podstawowych praw lub wolności osób, których dane dotyczą.

Klauzula 3

Wykładnia

(a) Jeżeli w niniejszych klauzulach użyto terminów zdefiniowanych odpowiednio w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725, terminy te mają takie samo znaczenie jak w tych rozporządzeniach.

(b) Niniejsze klauzule odczytuje się i interpretuje w świetle odpowiednio przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

(c) Niniejszych klauzul nie interpretuje się w sposób sprzeczny z prawami i obowiązkami przewidzianymi w rozporządzeniu (UE) 2016/679 lub rozporządzeniu (UE) 2018/1725 ani w sposób naruszający podstawowe prawa lub wolności osób, których dane dotyczą.

W razie sprzeczności między niniejszymi klauzulami a postanowieniami powiązanych umów między stronami istniejących w chwili uzgadniania niniejszych klauzul lub zawartych po ich uzgodnieniu, pierwszeństwo mają niniejsze klauzule.

Klauzula 5 – fakultatywna

Klauzula przystąpienia

(a) Każdy podmiot niebędący stroną niniejszych klauzul może za zgodą wszystkich stron przystąpić do niniejszych klauzul jako administrator lub podmiot przetwarzający w dowolnym czasie, wypełniając załączniki i podpisując załącznik I.

(b) Po wypełnieniu i podpisaniu załączników wymienionych w lit. a) podmiot przystępujący jest traktowany jako strona niniejszych klauzul i ma prawa i obowiązki administratora lub podmiotu przetwarzającego, zgodnie z rolą nadaną mu w załączniku I.

(c) Przed przystąpieniem do niniejszych klauzul jako ich strona podmiot przystępujący nie ma żadnych praw ani obowiązków wynikających z niniejszych klauzul.

SEKCJA II

OBOWIĄZKI STRON

Klauzula 6

Opis przetwarzania

Szczegóły dotyczące operacji przetwarzania, w szczególności kategorie danych osobowych i cele, dla których dane osobowe są przetwarzane w imieniu administratora, określono w załączniku II.

Klauzula 7

Obowiązki stron

7.1. Polecenia

(a) Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo nie zabrania udzielenia takiej informacji z uwagi na ważny interes publiczny. Administrator może wydawać kolejne polecenia przez cały okres przetwarzania danych osobowych. Polecenia te są zawsze dokumentowane.

(b) Podmiot przetwarzający bezzwłocznie powiadamia administratora, jeżeli w opinii podmiotu przetwarzającego polecenie wydane przez administratora narusza rozporządzenie (UE) 2016/679 lub rozporządzenie (UE) 2018/1725 lub obowiązujące przepisy Unii lub państwa członkowskiego o ochronie danych.

7.2. Ograniczenie celu

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w konkretnym celu lub celach przetwarzania, określonych w załączniku II, chyba że otrzyma dalsze polecenia od administratora.

7.3. Czas trwania przetwarzania danych osobowych

Przetwarzanie przez podmiot przetwarzający odbywa się wyłącznie przez okres określony w załączniku II.

7.4. Bezpieczeństwo przetwarzania

(a) W celu zapewnienia bezpieczeństwa danych osobowych podmiot przetwarzający wdraża co najmniej środki techniczne i organizacyjne określone w załączniku III. Zapewnienie bezpieczeństwa danych obejmuje ochronę danych przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych (naruszenie ochrony danych osobowych). Oceniając odpowiedni poziom bezpieczeństwa, strony należycie uwzględniają stan wiedzy technicznej, koszty wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz związane z tym ryzyko dla osób, których dane dotyczą.

(b) Podmiot przetwarzający udziela członkom swojego personelu dostępu do danych osobowych podlegających przetwarzaniu jedynie w zakresie bezwzględnie niezbędnym do wykonania umowy, zarządzania nią i jej monitorowania. Podmiot przetwarzający zapewnia, by osoby upoważnione do przetwarzania otrzymanych danych osobowych zobowiązały się do zachowania poufności lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania poufności.

7.5. Dane wrażliwe

Jeżeli przetwarzanie obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne lub dane biometryczne do celów jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby, bądź dane dotyczące wyroków skazujących i czynów zabronionych („dane wrażliwe”), podmiot przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia.

7.6. Dokumentacja i zgodność

(a) Strony są w stanie wykazać zgodność z niniejszymi klauzulami.

(b) Podmiot przetwarzający niezwłocznie i odpowiednio rozpatruje zapytania administratora dotyczące przetwarzania danych zgodnie z niniejszymi klauzulami.

(c) Podmiot przetwarzający udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków, które są określone w niniejszych klauzulach i wynikają bezpośrednio z rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725. Na wniosek administratora podmiot przetwarzający zezwala również na audyty czynności przetwarzania objętych niniejszymi klauzulami i uczestniczy w tych audytach. Audyty te przeprowadza się w rozsądnych odstępach czasu lub jeżeli istnieją przesłanki wskazujące na niezgodność. Podejmując decyzję w sprawie przeglądu lub audytu, administrator może wziąć pod uwagę odpowiednie certyfikaty, jakie ma podmiot przetwarzający.

(d) Administrator może przeprowadzić audyt samodzielnie lub upoważnić do jego przeprowadzenia niezależnego audytora. Audyty mogą również obejmować inspekcje w pomieszczeniach lub obiektach fizycznych podmiotu przetwarzającego. Audyty te przeprowadza się, informując o nich, w stosownych przypadkach, z odpowiednim wyprzedzeniem.

(e) Na wniosek właściwego(-ych) organu(-ów) nadzorczego(-ych) strony udostępniają mu (im) informacje, o których mowa w niniejszej klauzuli, w tym wyniki wszelkich audytów.

7.7. Korzystanie z usług podmiotów podprzetwarzających

(a) OPCJA 1: UPRZEDNIA SZCZEGÓŁOWA ZGODA: Podmiot przetwarzający nie może podzlecać żadnych operacji przetwarzania dokonywanych w imieniu administratora zgodnie z niniejszymi klauzulami podmiotowi podprzetwarzającemu bez uprzedniej szczegółowej pisemnej zgody administratora. Podmiot przetwarzający składa wniosek o udzielenie szczegółowej zgody co najmniej [NALEŻY PODAĆ TERMIN] przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego wraz z informacjami niezbędnymi do tego, by administrator mógł podjąć decyzję w sprawie zgody. Załącznik IV zawiera wykaz podmiotów podprzetwarzających upoważnionych przez administratora. Strony są obowiązane do aktualizacji załącznika IV. OPCJA 2: OGÓLNA PISEMNA ZGODA: Podmiot przetwarzający ma ogólną zgodę administratora na korzystanie z usług podmiotów podprzetwarzających wpisanych do uzgodnionego wykazu. Podmiot przetwarzający informuje administratora na piśmie o wszelkich zamierzonych zmianach w tym wykazie polegających na dodaniu lub zastąpieniu podmiotów podprzetwarzających z wyprzedzeniem co najmniej [NALEŻY PODAĆ TERMIN], dając tym samym administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed rozpoczęciem korzystania z usług danego podmiotu podprzetwarzającego (podmiotów podprzetwarzających). Podmiot przetwarzający przekazuje administratorowi niezbędne informacje umożliwiające mu skorzystanie z prawa sprzeciwu.

(b) Jeżeli podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), dokonuje tego w drodze umowy, która nakłada na podmiot podprzetwarzający zasadniczo takie same obowiązki w zakresie ochrony danych jak obowiązki nałożone na podmiot przetwarzający dane zgodnie z niniejszymi klauzulami. Podmiot przetwarzający zapewnia, aby podmiot podprzetwarzający wypełniał obowiązki, którym podlega podmiot przetwarzający na mocy niniejszych klauzul oraz rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

(c) Na wniosek administratora podmiot przetwarzający przekazuje administratorowi kopię umowy, jaką zawarł z podmiotem podprzetwarzającym, a w razie wprowadzenia zmian przekazuje administratorowi jej zaktualizowaną wersję. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, podmiot przetwarzający może utajnić tekst umowy przed jej udostępnieniem.

(d) Podmiot przetwarzający pozostaje w pełni odpowiedzialny przed administratorem za wykonanie obowiązków podmiotu podprzetwarzającego zgodnie z jego umową z podmiotem przetwarzającym. Podmiot przetwarzający powiadamia administratora o każdym przypadku niewywiązania się przez podmiot podprzetwarzający z jego zobowiązań umownych.

(e) Podmiot przetwarzający uzgadnia z podmiotem podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą – jeżeli podmiot przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny – administrator ma prawo rozwiązać umowę z podmiotem podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.

7.8. Międzynarodowe przekazywanie danych

(a) Wszelkie przekazywanie danych do państwa trzeciego lub organizacji międzynarodowej przez podmiot przetwarzający odbywa się wyłącznie na udokumentowane polecenie administratora lub w celu spełnienia szczególnego wymogu na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający, i odbywa się zgodnie z rozdziałem V rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725.

(b) Jeżeli zgodnie z klauzulą 7.7 podmiot przetwarzający korzysta z usług podmiotu podprzetwarzającego w celu przeprowadzenia określonych czynności przetwarzania (w imieniu administratora), które wiążą się z przekazywaniem danych osobowych w rozumieniu rozdziału V rozporządzenia (UE) 2016/679, administrator wyraża zgodę na to, by podmioty te mogły zapewnić zgodność z rozdziałem V rozporządzenia (UE) 2016/679 za pomocą standardowych klauzul umownych przyjętych przez Komisję zgodnie z art. 46 ust. 2 rozporządzenia (UE) 2016/679, pod warunkiem że spełnione są warunki stosowania tych standardowych klauzul umownych.

Klauzula 8

Pomoc dla administratora

(a) Podmiot przetwarzający niezwłocznie zawiadamia administratora o każdym wniosku otrzymanym od osoby, której dane dotyczą. Podmiot przetwarzający nie odpowiada na taki wniosek samodzielnie, chyba że administrator wyraził na to zgodę.

(b) Podmiot przetwarzający pomaga administratorowi w wypełnianiu jego obowiązków dotyczących udzielania odpowiedzi na wnioski osób, których dane dotyczą, o skorzystanie z przysługujących im praw, z uwzględnieniem charakteru przetwarzania. Wypełniając swoje obowiązki zgodnie z lit. a) i b), podmiot przetwarzający stosuje się do poleceń administratora.

(c) Oprócz spoczywającego na podmiocie przetwarzającym obowiązku pomagania administratorowi zgodnie z klauzulą 8 lit. b) podmiot przetwarzający pomaga mu ponadto w zapewnieniu wypełniania następujących obowiązków, z uwzględnieniem charakteru przetwarzania danych oraz informacji, którymi dysponuje podmiot przetwarzający: obowiązku dokonania oceny skutków dla ochrony danych; obowiązku konsultacji z organami nadzorczymi przed rozpoczęciem przetwarzania, jeżeli ocena skutków dla ochrony danych wskazuje na wysokie ryzyko w przypadku braku działań administratora mających na celu łagodzenie ryzyka; obowiązku zapewnienia przestrzegania bezpieczeństwa przetwarzania oraz obowiązku zgłoszenia naruszenia ochrony danych osobowych lub zawiadomienia o nim.

(d) Strony określają w załączniku III odpowiednie środki techniczne i organizacyjne, za pomocą których podmiot przetwarzający jest zobowiązany pomagać administratorowi w stosowaniu niniejszej klauzuli, jak również zakres wymaganej pomocy.

Klauzula 9

Zgłaszanie naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający współpracuje z administratorem i pomaga mu w wypełnianiu jego obowiązków wynikających z art. 33 i 34 rozporządzenia (UE) 2016/679 lub, w stosownych przypadkach, z art. 34 i 35 rozporządzenia (UE) 2018/1725, z uwzględnieniem charakteru przetwarzania i informacji, którymi dysponuje podmiot przetwarzający.

9.1. Naruszenie ochrony danych dotyczące danych przetwarzanych przez administratora

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez administratora podmiot przetwarzający wspomaga administratora:

(a) przy zgłaszaniu naruszenia ochrony danych osobowych właściwemu(-ym) organowi(-om) nadzorczemu(-ym) niezwłocznie po tym, jak administrator dowiedział się o naruszeniu, w stosownych przypadkach/(chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych);

(b) przy uzyskiwaniu następujących informacji, które zgodnie z [OPCJA 1] art. 33 ust. 3 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 34 ust. 3 rozporządzenia (UE) 2018/1725 powinny być zawarte w zgłoszeniu administratora i obejmować co najmniej: opis charakteru naruszenia ochrony danych osobowych; imię i nazwisko lub nazwę oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, gdzie można uzyskać więcej informacji; opis prawdopodobnych konsekwencji naruszenia ochrony danych osobowych; opis środków, które zostały lub mają zostać wprowadzone przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków. Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki;

(c) przy wypełnianiu – zgodnie z [OPCJA 1] art. 34 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 35 rozporządzenia (UE) 2018/1725 – obowiązku zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

9.2. Naruszenie ochrony danych dotyczące danych przetwarzanych przez podmiot przetwarzający

W przypadku naruszenia ochrony danych osobowych dotyczącego danych przetwarzanych przez podmiot przetwarzający podmiot przetwarzający zgłasza naruszenie administratorowi niezwłocznie po tym, jak dowiedział się o naruszeniu. Zgłoszenie to powinno zawierać co najmniej:

(a) opis charakteru naruszenia (w tym, w miarę możliwości, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz wpisów danych, których dotyczy naruszenie);

(b) dane punktu kontaktowego, w którym można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych;

(c) wskazanie prawdopodobnych konsekwencji naruszenia oraz środków, które zostały lub mają zostać wprowadzone w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli przekazanie wszystkich tych informacji równocześnie nie jest możliwe, pierwotne zgłoszenie zawiera informacje dostępne w danej chwili, a po uzyskaniu dostępu do dalszych informacji przekazuje się je bez zbędnej zwłoki.

Strony określają w załączniku III wszystkie inne elementy, które ma przedstawić podmiot przetwarzający, wspomagając administratora w wypełnianiu jego obowiązków określonych w [OPCJA 1] art. 33 i 34 rozporządzenia (UE) 2016/679 / [OPCJA 2] art. 34 i 35 rozporządzenia (UE) 2018/1725.

SEKCJA III 

POSTANOWIENIA KOŃCOWE 

Klauzula 10 

Naruszenie klauzul i rozwiązanie umowy 

(a) Bez uszczerbku dla przepisów rozporządzenia (UE) 2016/679 lub rozporządzenia (UE) 2018/1725, w przypadku gdy podmiot przetwarzający narusza swoje obowiązki wynikające z niniejszych klauzul, administrator może polecić mu, by zawiesił przetwarzanie danych osobowych do czasu, gdy podmiot przetwarzający zapewni zgodność z niniejszymi klauzulami, lub umowa ulega rozwiązaniu. Podmiot przetwarzający niezwłocznie zawiadamia administratora, jeżeli z jakiegokolwiek powodu nie jest w stanie zastosować się do niniejszych klauzul.

(b) Administrator jest uprawniony do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli: podmiot przetwarzający naruszył niniejsze klauzule; podmiot przetwarzający nie jest w stanie wypełnić swoich obowiązków wynikających z niniejszych klauzul; podmiot przetwarzający znacząco lub uporczywie nie stosuje się do poleceń administratora.

(c) Podmiot przetwarzający ma prawo rozwiązać umowę w zakresie, w jakim dotyczy ona przetwarzania danych osobowych zgodnie z niniejszymi klauzulami, jeżeli po zawiadomieniu administratora o tym, że jego polecenie narusza obowiązujące wymogi prawne zgodnie z klauzulą 7.1 lit. b), administrator nalega na wypełnienie polecenia.

(d) Po rozwiązaniu umowy podmiot przetwarzający, zależnie od decyzji administratora, usuwa wszystkie dane osobowe przetwarzane w imieniu administratora i poświadcza administratorowi, że tego dokonał, lub zwraca administratorowi wszystkie dane osobowe i usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Podmiot przetwarzający zapewnia przestrzeganie niniejszych klauzul do czasu usunięcia lub zwrotu danych.

ZAŁĄCZNIK I

Wykaz stron

(1) Administrator (administratorzy):

• Imię i nazwisko lub nazwa: …
• Adres: …
• Imię i nazwisko, stanowisko i dane kontaktowe osoby wyznaczonej do kontaktów: …
• Podpis i data przystąpienia: …

(2) Podmiot przetwarzający (podmioty przetwarzające):

• Imię i nazwisko lub nazwa: Amberlo Limited
• Adres: Ground Floor, 71 Lower Baggot St. Dublin, D02 P593 – Ireland
• E-Mail: office@amberlo.io
• Podpis i data przystąpienia: …

ZAŁĄCZNIK II 

Opis przetwarzania 

Kategorie osób, których dane osobowe są przetwarzane

• 1. Klienci 
• 2. Mandanten
• 3. Osoby zainteresowane
• 4. Pracownicy
• 5. Dostawcy

Kategorie przetwarzanych danych osobowych

• 1. Dane osobowe
• 2. Numery identyfikacyjne
• 3. Dane kontaktowe (np. numer telefonu, adres e-mail)
• 4. Dane bankowe
• 5. Dane online (np. adresy IP, używana przeglądarka)
• 6. Dostęp użytkowników i adresy IP w dzienniku chmury 
• 7. Dane podstawowe umowy (stosunek umowny, zainteresowanie produktem lub umową)
• 8. Historia klienta
• 9. Dane dotyczące rozliczeń umownych i płatności
• 10. Przynależność związkowa klientów
• 11. Dane dotyczące zdrowia klientów
• 12. Pochodzenie rasowe i etniczne klientów
• 13. Dane dotyczące mandatu i postępowania
• 14. Informacje o wierzycielach i dane bankowe

Przetwarzane dane wrażliwe (jeśli dotyczy) oraz stosowane ograniczenia lub gwarancje, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, np. ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla pracowników, którzy przeszli specjalne szkolenie), rejestry dostępu do danych, ograniczenia dotyczące dalszego przekazywania lub dodatkowe środki bezpieczeństwa

————————————-

Rodzaj przetwarzania

wyłącznie przetwarzanie elektroniczne

Cel(e), dla którego(których) dane osobowe są przetwarzane na zlecenie administratora danych

Wykonanie świadczenia należnego zgodnie z umową przez podmiot przetwarzający dane wobec administratora danych.

Czas trwania przetwarzania

Czas trwania przetwarzania danych zależy od stosunku umownego między administratorem danych a podmiotem przetwarzającym dane.

————————————

Czas przetwarzania przez podwykonawców zależy od warunków umowy między administratorem a danym podmiotem przetwarzającym. 

ZAŁĄCZNIK III

Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych

UWAGA WYJAŚNIAJĄCA:

Środki techniczne i organizacyjne należy opisać szczegółowo, a nie w sposób ogólny.

Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot przetwarzający (podmioty przetwarzające) (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych. Przykłady możliwych środków:

Środki pseudonimizacji i szyfrowania danych osobowych

Nośniki danych używane zewnętrznie są szyfrowane (patrz „Kontrola dostępu”). Dane są zapisywane w różnych miejscach struktury programu, aby wszystkie informacje były wyświetlane wyłącznie za pośrednictwem programu i zapisanych praw dostępu.

Środki mające na celu zapewnienie ciągłej poufności, integralności, dostępności i odporności systemów i usług związanych z przetwarzaniem danych

Wszystkie komputery są wyposażone w aktualne oprogramowanie antywirusowe. Sieć wewnętrzna jest chroniona przed dostępem zewnętrznym za pomocą zapory sieciowej. W razie potrzeby codziennie wykonywana jest pełna kopia zapasowa danych, o ile nie może tego zrobić osoba odpowiedzialna za system. Dane są usuwane po zakończeniu zlecenia.

Środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku awarii fizycznej lub technicznej:

Istnieje plan awaryjny oraz zdecentralizowane nośniki danych, z których w razie potrzeby można skorzystać w krótkim czasie.

Wszystkie komputery są wyposażone w aktualne oprogramowanie antywirusowe. Sieć wewnętrzna jest chroniona przed dostępem zewnętrznym za pomocą zapory sieciowej. W razie potrzeby codziennie wykonywana jest pełna kopia zapasowa danych, o ile nie może tego zrobić osoba odpowiedzialna za system. Po zakończeniu zlecenia dane są usuwane.

Procedura regularnego sprawdzania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych

Regularna ocena i ewaluacja skuteczności środków techniczno-organizacyjnych.

Środki służące identyfikacji i autoryzacji użytkowników

Dostęp do pomieszczeń podmiotu przetwarzającego dane bez specjalnego nadzoru mają wyłącznie zarejestrowani posiadacze kluczy lub posiadacze kart dostępu.

Dostęp do serwerowni mają wyłącznie członkowie zarządu i administratorzy.

Środki ochrony danych podczas transmisji

Sposoby indywidualnego przekazywania danych należy zasadniczo uzgodnić z osobą odpowiedzialną.

Środki ochrony danych podczas przechowywania

Wszystkie komputery są wyposażone w aktualne oprogramowanie antywirusowe. Sieć wewnętrzna jest chroniona przed dostępem zewnętrznym za pomocą zapory sieciowej. W razie potrzeby codziennie wykonywana jest pełna kopia zapasowa danych, o ile nie może tego zrobić osoba odpowiedzialna za system. Dane są usuwane po zakończeniu zlecenia.

Środki zapewniające fizyczne bezpieczeństwo miejsc, w których przetwarzane są dane osobowe

Dostęp do klimatyzowanej serwerowni mają wyłącznie członkowie zarządu i administratorzy.

Wszystkie drzwi wejściowe do pomieszczeń podmiotu przetwarzającego dane są wyposażone w system kart dostępu lub kluczy. Wydanie karty dostępu lub klucza jest dokumentowane przez dział kadr wraz z podaniem liczby i rodzaju kart dostępu, nazwiska pracownika, daty oraz podpisu pracownika.

Osoby spoza firmy mają dostęp do pomieszczeń podmiotu przetwarzającego dane wyłącznie pod nadzorem pracownika podmiotu przetwarzającego dane w pomieszczeniach podmiotu przetwarzającego dane.

Środki zapewniające rejestrowanie zdarzeń

Procesy ochrony danych i bezpieczeństwa informacji są dostępne

Środki zapewniające konfigurację systemu, w tym konfigurację standardową

Procesy bezpieczeństwa informacji, domyślna ochrona prywatności

Środki dotyczące wewnętrznego zarządzania i administrowania IT oraz bezpieczeństwa IT

Procesy bezpieczeństwa informacji dostępne

Środki służące certyfikacji/zapewnieniu jakości procesów i produktów

Certyfikat ISO9001

Środki zapewniające minimalizację danych

Privacy by Default, Privacy by Design, uwrażliwianie pracowników, koncepcja usuwania danych

Środki zapewniające jakość danych

Zarządzanie danymi jest realizowane przez osobę odpowiedzialną.

Środki mające na celu zapewnienie ograniczonego przechowywania danych

Prywatność domyślna, prywatność w fazie projektowania, koncepcja usuwania danych

Środki zapewniające rozliczalność

Procesy ochrony danych i bezpieczeństwa informacji, zobowiązanie pracowników do zachowania poufności i dyskrecji

Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie

Przenoszenie danych jako funkcja programu lub na żądanie podmiotu przetwarzającego dane. Usunięcie danych następuje przez administratora danych lub po wygaśnięciu umowy zgodnie z koncepcją usuwania danych.

W przypadku przekazywania danych do podmiotów przetwarzających dane (podwykonawców) należy również opisać konkretne środki techniczne i organizacyjne, które podmiot przetwarzający dane (podwykonawca) musi podjąć w celu wsparcia administratora danych.

Zobacz TOM podwykonawców. W razie potrzeby można zwrócić się do podmiotu przetwarzającego dane o udostępnienie tych TOM.

Opis konkretnych środków technicznych i organizacyjnych, które podmiot przetwarzający dane musi podjąć w celu wsparcia administratora danych.

Poziom ochrony danych przez podwykonawcę nie jest niższy od poziomu ochrony zapewnianego przez zleceniobiorcę.

ZAŁĄCZNIK IV

Wykaz podmiotów podprzetwarzających 

Osoba odpowiedzialna może sprawdzić, z jakich podwykonawców przetwarzających dane korzysta administrator danych, w zakładce „Załącznik IV Standardowe klauzule umowne UE (AVV)” na stronie internetowej 

https://www.stp.one/vertragsanlagen

zatwierdzono.