Umowa o przetwarzanie danych

pomiędzy

Klient zgodnie z OWU jako Administrator (zwany dalej "Kontrolerem"),

i

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland jako podmiot przetwarzający dane (zwany dalej "podmiotem przetwarzającym dane", a administrator i podmiot przetwarzający dane łącznie "stronami").

Preambuła

Administrator zlecił Podmiotowi Przetwarzającemu Dane w OWU (zwanej dalej "Umową Główną") usługi w niej określone. Częścią realizacji umowy jest przetwarzanie danych osobowych. W szczególności art. 28 RODO nakłada szczególne wymogi na takie zlecone przetwarzanie. Aby spełnić te wymogi, Strony zawierają następującą Umowę o Przetwarzaniu Danych (zwaną dalej "Umową"), której wykonanie nie podlega odrębnemu wynagrodzeniu, chyba że zostanie to wyraźnie uzgodnione.

§ 1 Definicje

(1) Zgodnie z Art. 4 (7) RODO, Administrator jest podmiotem, który samodzielnie lub wspólnie z innymi Administratorami określa cele i sposoby przetwarzania danych osobowych.

(2) Zgodnie z Art. 4 (8) RODO, Podmiot przetwarzający dane to osoba fizyczna lub prawna, organ, instytucja lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora.

(3) Zgodnie z Art. 4 (1) RODO dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zwanej dalej "osobą, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

(4) Dane osobowe wymagające szczególnej ochrony to dane osobowe, o których mowa w art. 9 RODO, ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe albo przynależność do związków zawodowych. 9 RODO ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne albo przynależność związkową Podmiotów Danych, dane osobowe zgodnie z art. 10 RODO dotyczące wyroków skazujących i naruszeń prawa lub powiązanych środków bezpieczeństwa, a także dane genetyczne zgodnie z art. 10 RODO. 10 RODO dotyczące wyroków skazujących i przestępstw lub powiązanych środków bezpieczeństwa, a także dane genetyczne zgodnie z art. 4 (13) RODO, dane biologiczne zgodnie z art. 4 (13) RODO. 4 (13) RODO, dane biometryczne zgodnie z Art. 4 (14) RODO, dane dotyczące zdrowia zgodnie z art. 4 (15) RODO oraz dane biometryczne zgodnie z art. 4 (16) RODO. 4 (15) RODO oraz dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej.

(5) Zgodnie z art. 4 ust. 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, archiwizowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

(6) Zgodnie z art. 4 ust. 21 RODO organ nadzorczy jest niezależnym organem państwowym ustanowionym przez państwo członkowskie zgodnie z art. 51 RODO.

§ 2 Przedmiot umowy

(1) Podmiot przetwarzający dane świadczy na rzecz Administratora usługi określone w Umowie głównej. W ten sposób Przetwarzający Dane uzyskuje dostęp do danych osobowych, które przetwarza dla Administratora Danych wyłącznie w imieniu i zgodnie z instrukcjami Administratora Danych. Zakres i cel przetwarzania danych przez Podmiot Przetwarzający Dane są określone w Umowie Głównej i wszelkich powiązanych opisach usług. Administrator jest odpowiedzialny za ocenę dopuszczalności przetwarzania danych.

(2) Strony zawierają niniejszą Umowę w celu określenia wzajemnych praw i obowiązków wynikających z przepisów o ochronie danych osobowych. W razie wątpliwości postanowienia niniejszej Umowy mają pierwszeństwo przed postanowieniami Kontraktu Głównego.

(3) Postanowienia niniejszej umowy mają zastosowanie do wszystkich czynności związanych z Umową główną, w ramach których Przetwarzający dane i jego pracownicy lub osoby upoważnione przez Przetwarzającego dane mają kontakt z danymi osobowymi pochodzącymi od Administratora danych lub zebranymi dla Administratora danych.

(4) Okres obowiązywania niniejszej Umowy podlega okresowi obowiązywania Kontraktu Głównego, chyba że z poniższych postanowień wynikają dalsze zobowiązania lub prawa do rozwiązania Umowy.

§ 3 Prawo do instrukcji

(1) Podmiot przetwarzający dane może gromadzić, przetwarzać lub wykorzystywać dane wyłącznie w ramach Umowy głównej i zgodnie z instrukcjami Administratora danych. Jeśli Przetwarzający dane jest zobowiązany do dalszego przetwarzania danych na mocy prawa Unii Europejskiej lub państw członkowskich, którym podlega, powiadomi Administratora danych o tych wymogach prawnych przed rozpoczęciem przetwarzania.

(2) Instrukcje Administratora są początkowo określone w niniejszej Umowie. Następnie mogą być one zmieniane, uzupełniane lub zastępowane przez Administratora w formie pisemnej lub tekstowej za pomocą indywidualnych instrukcji (Indywidualne instrukcje). Administrator jest uprawniony do wydawania takich instrukcji w dowolnym momencie. Obejmuje to instrukcje dotyczące poprawiania, usuwania i blokowania danych.

(3) Wszystkie wydane polecenia będą dokumentowane przez Kontrolera. Polecenia wykraczające poza usługi uzgodnione w Kontrakcie Głównym będą traktowane jako wniosek o zmianę usługi.

(4) Jeżeli Przetwarzający dane uważa, że instrukcja Administratora danych narusza przepisy o ochronie danych, bez zbędnej zwłoki powiadomi o tym Administratora danych. Przetwarzający dane ma prawo zawiesić wykonanie danego polecenia do czasu jego potwierdzenia lub zmiany przez Administratora. Przetwarzający dane może odmówić wykonania oczywiście niezgodnego z prawem polecenia.

§ 4 Rodzaje przetwarzanych danych, grupa osób, których dane dotyczą, państwo trzecie

(1) W ramach realizacji Umowy Głównej Podmiot Przetwarzający Dane będzie miał dostęp do danych osobowych określonych bardziej szczegółowo w Załączniku 1.

(2) Grupa Podmiotów Danych, których dotyczy przetwarzanie danych, jest wymieniona w Załączniku 1.

(3) Przekazanie danych osobowych do państwa trzeciego może nastąpić na warunkach określonych w art. 44 i nast. 44 i nast. RODO.

§ 5 Środki ochronne podmiotu przetwarzającego dane

(1) Przetwarzający dane jest zobowiązany do przestrzegania ustawowych przepisów o ochronie danych i nieujawniania informacji uzyskanych z domeny Administratora danych osobom trzecim ani nie narażania ich na dostęp. Dokumenty i dane powinny być zabezpieczone przed ujawnieniem osobom nieupoważnionym, z uwzględnieniem aktualnego stanu wiedzy.

(2) Podmiot przetwarzający dane zorganizuje wewnętrzną organizację w zakresie swojej odpowiedzialności w taki sposób, aby spełniała ona szczególne wymogi ochrony danych. Podejmie środki techniczne i organizacyjne określone w Załączniku 2 w celu odpowiedniej ochrony danych Administratora zgodnie z art. 32 RODO. 32 RODO, które Administrator uznaje za odpowiednie. Przetwarzający dane zastrzega sobie prawo do zmiany podjętych środków bezpieczeństwa przy jednoczesnym zapewnieniu, że uzgodniony w umowie poziom ochrony nie zostanie obniżony.

(3) Osobom zatrudnionym przy przetwarzaniu danych przez Przetwarzającego dane zabrania się gromadzenia, przetwarzania lub wykorzystywania danych osobowych bez upoważnienia. Przetwarzający dane zobowiązuje wszystkie osoby, którym powierzył przetwarzanie i wykonanie niniejszej umowy (zwane dalej "Pracownikami") do zachowania poufności (obowiązek zachowania poufności, art. 28 ust. 3 lit. b RODO) i zapewnienia przestrzegania tego obowiązku z należytą starannością. 28 (3) lit. b RODO) i zapewni przestrzeganie tego obowiązku z należytą starannością.

(4) Przetwarzający dane wyznaczył inspektora ochrony danych. Inspektorem ochrony danych podmiotu przetwarzającego dane jest heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Obowiązki informacyjne Przetwarzającego dane

(1) W przypadku zakłóceń, podejrzenia naruszenia ochrony danych lub naruszenia zobowiązań umownych Przetwarzającego dane, podejrzenia incydentów związanych z bezpieczeństwem lub innych nieprawidłowości w przetwarzaniu danych osobowych przez Przetwarzającego dane, przez osoby zatrudnione przez niego w ramach umowy lub przez osoby trzecie, Przetwarzający dane bez zbędnej zwłoki poinformuje Administratora danych. To samo dotyczy audytów Przetwarzającego dane przeprowadzanych przez organ nadzorczy ds. ochrony danych. Zawiadomienie o naruszeniu ochrony danych osobowych powinno zawierać co najmniej następujące informacje:

(a) opis charakteru naruszenia ochrony danych osobowych, w tym, w miarę możliwości, kategorie i liczbę Podmiotów Danych, których naruszenie dotyczy, kategorie, których naruszenie dotyczy oraz liczbę rekordów danych osobowych, których naruszenie dotyczy;

(b) opis środków podjętych lub proponowanych przez Podmiot przetwarzający dane w celu zaradzenia naruszeniu oraz, w stosownych przypadkach, środków mających na celu złagodzenie jego ewentualnych negatywnych skutków;

(c) opis prawdopodobnych konsekwencji naruszenia ochrony danych osobowych.

(2) Podmiot przetwarzający dane niezwłocznie podejmie niezbędne środki w celu zabezpieczenia danych i złagodzenia ewentualnych negatywnych konsekwencji dla osób, których dane dotyczą, poinformuje o tym Administratora danych i zwróci się o dalsze instrukcje.

(3) Ponadto Przetwarzający dane jest zobowiązany do przekazania Administratorowi danych informacji w dowolnym momencie, o ile dane Administratora danych są dotknięte naruszeniem zgodnie z ust. 1.

(4) Przetwarzający dane poinformuje Administratora o wszelkich istotnych zmianach w środkach bezpieczeństwa zgodnie z art. 5 (2).

§ 7 Uprawnienia kontrolne Administratora

(1) Administrator może sprawdzić środki techniczne i organizacyjne Podmiotu Przetwarzającego Dane przed rozpoczęciem przetwarzania danych, a następnie regularnie co roku. W tym celu Administrator może na przykład uzyskać informacje od Przetwarzającego dane, uzyskać istniejące certyfikaty od ekspertów, certyfikaty lub audyty wewnętrzne lub, po terminowej koordynacji, osobiście sprawdzić środki techniczne i organizacyjne Przetwarzającego dane w normalnych godzinach pracy lub zlecić ich sprawdzenie kompetentnej stronie trzeciej, pod warunkiem, że strona trzecia nie jest w stosunku konkurencyjnym z Przetwarzającym dane. Administrator przeprowadza kontrole wyłącznie w niezbędnym zakresie i nie zakłóca w sposób nieproporcjonalny działalności Przetwarzającego dane.

(2) Przetwarzający dane zobowiązuje się dostarczyć Administratorowi danych, na jego ustne lub pisemne żądanie i w rozsądnym terminie, wszelkie informacje i dowody wymagane do przeprowadzenia kontroli środków technicznych i organizacyjnych Przetwarzającego dane.

(3) Administrator dokumentuje wyniki kontroli i powiadamia o nich Przetwarzającego dane. W przypadku błędów lub nieprawidłowości, które Administrator wykryje, w szczególności podczas kontroli wyników kontroli, Administrator bez zbędnej zwłoki poinformuje o tym Przetwarzającego dane. W przypadku stwierdzenia podczas kontroli faktów, których uniknięcie w przyszłości wymaga wprowadzenia zmian do zleconej procedury, Administrator bezzwłocznie powiadomi Przetwarzającego dane o koniecznych zmianach proceduralnych.

§ 8 Korzystanie z usług dostawców

(1) Usługi uzgodnione w umowie będą wykonywane przy udziale usługodawców wymienionych w Załączniku 3 (zwanych dalej "Podmiotami Przetwarzającymi"). Administrator udziela Przetwarzającemu dane ogólnego upoważnienia w rozumieniu art. 28 (2) s. 1 RODO do angażowania dodatkowych Podprzetwarzających w zakresie swoich zobowiązań umownych lub do zastępowania już zaangażowanych Podprzetwarzających.

(2) Przetwarzający dane poinformuje Administratora przed każdą zamierzoną zmianą dotyczącą zaangażowania lub zastąpienia Podprzetwarzającego. Administrator może sprzeciwić się planowanemu zaangażowaniu lub zastąpieniu Podprzetwarzającego z ważnego powodu wynikającego z przepisów o ochronie danych.

(3) Sprzeciw wobec planowanego zaangażowania lub zastąpienia Podprzetwarzającego należy zgłosić w ciągu 2 tygodni od otrzymania informacji o zmianie. Jeśli sprzeciw nie zostanie zgłoszony, zaangażowanie lub zastąpienie uznaje się za zatwierdzone. Jeśli istnieje ważny powód wynikający z przepisów o ochronie danych, a polubowne rozwiązanie między Administratorem a Podmiotem przetwarzającym nie jest możliwe, Administrator ma specjalne prawo do rozwiązania umowy na koniec miesiąca następującego po zgłoszeniu sprzeciwu.

(4) Angażując Podprzetwarzających, Przetwarzający dane zobowiąże ich zgodnie z postanowieniami niniejszej Umowy.

(5) Relacja podprzetwarzającego w rozumieniu niniejszych przepisów nie istnieje, jeśli Przetwarzający dane zleca stronom trzecim usługi, które są uważane za usługi czysto pomocnicze. Należą do nich na przykład usługi pocztowe, transportowe i spedycyjne, usługi sprzątania, usługi telekomunikacyjne bez konkretnego odniesienia do usług świadczonych przez Podmiot Przetwarzający Dane na rzecz Administratora Danych oraz usługi ochroniarskie. Usługi konserwacji i testowania stanowią relacje podprzetwarzania wymagające zgody, o ile są świadczone dla systemów informatycznych, które są również wykorzystywane w związku ze świadczeniem usług na rzecz Administratora.

§ 9 Wnioski i prawa osób, których dane dotyczą

(1) Przetwarzający dane wspiera Administratora odpowiednimi środkami technicznymi i organizacyjnymi w wypełnianiu obowiązków Administratora zgodnie z art. 12-22 i 32-36 RODO.

(2) Jeżeli Podmiot Danych dochodzi swoich praw, takich jak prawo dostępu, sprostowania lub usunięcia swoich danych, bezpośrednio wobec Podmiotu Przetwarzającego Dane, ten ostatni nie reaguje samodzielnie, lecz kieruje Podmiot Danych do Administratora i oczekuje na jego instrukcje.

§ 10 Odpowiedzialność

(1) W stosunkach wewnętrznych z podmiotem przetwarzającym dane administrator ponosi odpowiedzialność wobec podmiotu danych za odszkodowanie za szkody poniesione przez podmiot danych w wyniku niedopuszczalnego lub nieprawidłowego przetwarzania danych zgodnie z przepisami o ochronie danych lub wykorzystania w ramach zleconego przetwarzania.

(2) Przetwarzający dane ponosi nieograniczoną odpowiedzialność za szkody, o ile przyczyną szkody jest umyślne lub rażąco niedbałe naruszenie obowiązków przez Przetwarzającego dane, jego przedstawiciela prawnego lub zastępcę.

(3) Przetwarzający dane ponosi odpowiedzialność za zaniedbanie wyłącznie w przypadku naruszenia obowiązku, którego spełnienie jest warunkiem wstępnym prawidłowego wykonania umowy i na którego przestrzeganiu Administrator danych regularnie polega i może polegać, ale w zakresie ograniczonym do średniej szkody typowej dla umowy. We wszystkich innych aspektach odpowiedzialność Przetwarzającego - w tym jego zastępców - jest wykluczona.

(4) Ograniczenie odpowiedzialności zgodnie z § 10.3 nie ma zastosowania do roszczeń odszkodowawczych wynikających z uszczerbku na życiu, ciele, zdrowiu lub z przejęcia gwarancji.

§ 11 Rozwiązanie Kontraktu Głównego

(1) Po rozwiązaniu Umowy Głównej Przetwarzający Dane zwróci Administratorowi Danych wszystkie przekazane mu dokumenty, dane i nośniki danych lub - na żądanie Administratora Danych, chyba że istnieje obowiązek przechowywania danych osobowych na mocy prawa Unii lub prawa Republiki Federalnej Niemiec - usunie je. Dotyczy to również wszelkich kopii zapasowych danych u Przetwarzającego dane. Na żądanie Przetwarzający dane dostarczy udokumentowany dowód prawidłowego usunięcia wszelkich danych.

(2) Administrator danych ma prawo do kontroli pełnego i zgodnego z umową zwrotu lub usunięcia danych przez podmiot przetwarzający dane w odpowiedni sposób.

(3) Przetwarzający dane jest zobowiązany do zachowania poufności danych, o których dowiedział się w związku z Umową główną, nawet po wygaśnięciu Umowy głównej. Niniejsza Umowa pozostaje ważna po wygaśnięciu Umowy Głównej tak długo, jak Przetwarzający Dane dysponuje danymi osobowymi, które zostały mu przekazane przez Administratora Danych lub które zebrał dla Administratora Danych.

§ 12 Postanowienia końcowe

(1) W zakresie, w jakim Podmiot przetwarzający dane nie wykonuje wyraźnie działań wspierających w ramach niniejszej Umowy bezpłatnie, może obciążyć Administratora danych uzasadnioną opłatą z tego tytułu, chyba że własne działania lub zaniechania Podmiotu przetwarzającego dane spowodowały, że takie wsparcie stało się bezpośrednio konieczne.

(2) Zmiany i uzupełnienia niniejszej Umowy wymagają formy pisemnej. Dotyczy to również wszelkich odstępstw od tego wymogu formalnego. Pierwszeństwo poszczególnych porozumień umownych pozostaje nienaruszone.

(3) Jeżeli poszczególne postanowienia niniejszej Umowy są lub staną się całkowicie lub częściowo nieważne lub niewykonalne, nie będzie to miało wpływu na ważność pozostałych postanowień.

(4) Niniejsza umowa podlega prawu niemieckiemu.

Załącznik 2 - Środki techniczne i organizacyjne podmiotu przetwarzającego dane

1. Wprowadzenie

Niniejszy dokument podsumowuje środki techniczne i organizacyjne podjęte przez Podmiot przetwarzający w rozumieniu art. 32 ust. 1 lit. a) RODO. 32 par. 1 RODO. Są to środki podjęte przez Podmiot przetwarzający w celu ochrony danych osobowych. Celem dokumentu jest wsparcie Administratora w wypełnianiu jego obowiązków w zakresie rozliczalności wynikających z art. 5 ust. 2 RODO. 5 ust. 2 RODO.

2. Poufność (art. 32 ust. 1 lit. b RODO)

2.1 Kontrola wejścia

Następujące wdrożone środki zapobiegają uzyskaniu dostępu do systemów przetwarzania danych przez osoby nieupoważnione:

• Praca z domu: osoby nieupoważnione nie mają dostępu do domów pracowników.

• Praca w biurze domowym: poinstruuj pracowników, aby w miarę możliwości pracowali w oddzielnym biurze od swoich salonów.

2.2 Kontrola dostępu

Następujące wdrożone środki zapobiegają uzyskaniu dostępu do systemów przetwarzania danych przez osoby nieupoważnione:

• Uwierzytelnianie za pomocą użytkownika i hasła

• Korzystanie z zapór sieciowych

• Korzystanie z zarządzania urządzeniami mobilnymi

• Szyfrowanie nośników danych

• Automatyczna blokada pulpitu

• Zarządzanie uprawnieniami użytkowników

• Tworzenie profili użytkowników

• Zasady dotyczące haseł centralnych

• Korzystanie z uwierzytelniania dwuskładnikowego

• Polityka firmy dotycząca bezpiecznych haseł

• Ogólna instrukcja ręcznego blokowania pulpitu po opuszczeniu stacji roboczej

2.3 Kontrola dostępu

Poniższe wdrożone środki zapewniają, że osoby nieupoważnione nie mają dostępu do danych osobowych:

• Rejestrowanie dostępu do aplikacji (w szczególności podczas wprowadzania, zmiany i usuwania danych)

• Liczba administratorów jest jak najmniejsza.

• Zarządzanie uprawnieniami użytkowników przez administratorów systemu

• Poinformuj pracowników, że dane będą usuwane wyłącznie po konsultacji.

2.4 Kontrola separacji

Poniższe środki zapewniają, że dane osobowe gromadzone w różnych celach są przetwarzane oddzielnie:

• Fizycznie oddzielna pamięć masowa na oddzielnych systemach lub nośnikach danych

• Oddzielenie systemu produkcyjnego od testowego

• Logiczna separacja klientów (po stronie oprogramowania)

• Definicja praw do bazy danych

• Wewnętrzna instrukcja anonimizacji/pseudonimizacji danych osobowych w przypadku ujawnienia lub po upływie ustawowego okresu usuwania, jeśli to możliwe.

3. Integralność (art. 32 ust. 1 lit. b RODO)

3.1 Kontrola transferu

Zapewnia się, że dane osobowe nie mogą być odczytywane, kopiowane, zmieniane lub usuwane bez upoważnienia podczas transmisji lub przechowywania na nośnikach danych oraz że możliwe jest sprawdzenie, które osoby lub organy otrzymały dane osobowe. Aby to zapewnić, wdrożono następujące środki:

• Szyfrowanie WLAN (WPA2 z silnym hasłem)

• Rejestrowanie dostępu i pobierania

• Dostarczanie danych za pośrednictwem szyfrowanych połączeń, takich jak SFTP lub HTTPS.

• Zakaz przesyłania danych firmowych na zewnętrzne serwery

3.2 Kontrola wejścia

Poniższe środki zapewniają możliwość sprawdzenia, kto i kiedy przetwarzał dane osobowe w systemach przetwarzania danych:

• Rejestrowanie wprowadzania, modyfikowania i usuwania danych

• Ręczna lub automatyczna kontrola dzienników

• Identyfikowalność wprowadzania, modyfikacji i usuwania danych poprzez indywidualne nazwy użytkowników (nie grupy użytkowników).

• Jasny zakres odpowiedzialności za usuwanie danych

legal.dpa.latest.annexes.2.3.2.text.6

4. Dostępność i odporność (art. 32 ust. 1 lit. b RODO)

Poniższe środki zapewniają, że dane osobowe są chronione przed przypadkowym zniszczeniem lub utratą i są zawsze dostępne dla klienta:

• Gaśnice w serwerowniach

• Urządzenia do monitorowania temperatury i wilgotności w serwerowniach

• Klimatyzacja w serwerowniach

• Listwy ochronne w serwerowniach

• Zasilacz bezprzerwowy (UPS)

• Nadzór wideo w serwerowniach

• Komunikat alarmowy o nieautoryzowanym dostępie do serwerowni

• Regularne tworzenie kopii zapasowych

• Sprawdzanie procesu tworzenia kopii zapasowej

• Przechowywanie kopii zapasowych danych w bezpiecznej lokalizacji poza siedzibą firmy.

• Regularne testy odzyskiwania danych i rejestrowanie wyników

• Brak urządzeń sanitarnych w serwerowni lub nad nią

• Hosting (przynajmniej najważniejszych danych) u profesjonalnego hostera

5. Procedury regularnego przeglądu, oceny i ewaluacji (art. 32 ust. 1 lit. d RODO; art. 25 ust. 1 RODO)

5.1 Zarządzanie ochroną danych

Poniższe środki mają na celu zapewnienie, że organizacja spełnia podstawowe wymogi prawa o ochronie danych:

• Wykorzystanie platformy heyData do zarządzania ochroną danych

• Powołanie inspektora ochrony danych heyData

• Obowiązek zachowania tajemnicy danych przez pracowników

• Regularne szkolenia z zakresu ochrony danych dla pracowników

• Prowadzenie przeglądu czynności przetwarzania (art. 30 RODO)

5.2 Zarządzanie reagowaniem na incydenty

Poniższe środki mają na celu zapewnienie uruchomienia procesów raportowania w przypadku naruszenia ochrony danych:

• Proces zgłaszania naruszeń ochrony danych zgodnie z art. 4 nr 12 RODO do organów nadzorczych (art. 33 RODO). 4 nr 12 RODO organom nadzorczym (art. 33 RODO)

• Proces powiadamiania o naruszeniach ochrony danych zgodnie z art. 4 ust. 12 RODO. 4 nr 12 RODO osobom, których dane dotyczą (art. 34 RODO)

• Zaangażowanie inspektora ochrony danych w incydenty bezpieczeństwa i naruszenia danych

• Korzystanie z zapór sieciowych

5.3 Ustawienia domyślne sprzyjające ochronie danych (art. 25 ust. 2 RODO)

Poniższe środki mają na celu zapewnienie uruchomienia procesów raportowania w przypadku naruszenia ochrony danych:

• Proces zgłaszania naruszeń ochrony danych zgodnie z art. 4 nr 12 RODO do organów nadzorczych (art. 33 RODO). 4 nr 12 RODO organom nadzorczym (art. 33 RODO)

• Proces powiadamiania o naruszeniach ochrony danych zgodnie z art. 4 ust. 12 RODO. 4 nr 12 RODO osobom, których dane dotyczą (art. 34 RODO)

5.4 Kontrola zamówień

Poniższe środki zapewniają, że dane osobowe mogą być przetwarzane wyłącznie zgodnie z instrukcjami:

• Pisemne instrukcje dla wykonawcy lub instrukcje w formie tekstowej (np. poprzez umowę o przetwarzaniu danych)

• Zapewnienie zniszczenia danych po zakończeniu zamówienia, np. poprzez żądanie odpowiednich potwierdzeń.

• Potwierdzenie od kontrahentów, że zobowiązują swoich pracowników do zachowania tajemnicy danych (zazwyczaj w umowie o przetwarzanie danych).

• Staranny dobór wykonawców (zwłaszcza w odniesieniu do bezpieczeństwa danych)

• Bieżący przegląd wykonawców i ich działań

• Zapewnienie zniszczenia danych po zakończeniu zamówienia, np. poprzez żądanie odpowiednich potwierdzeń.

Wersja 1.3, obowiązująca od 17 grudnia 2024 r.