Dla klientów indywidualnych

Standardowe klauzule umowne

Do celów art. 28 ust. 3 rozporządzenia 2016/679 (RODO) 

Pomiędzy Użytkownikiem (administratorem danych)

FIRMA
NAZWA
ZNACZNIK CZASU
ADRES IP UŻYTKOWNIKA
EMAIL

oraz

Data & More ApS
Flæsketorvet 68
DK-1711 København V
CVR-nr: 38185659 (podmiot przetwarzający dane)

każda z nich jest "stroną"; razem "stronami

uzgodniły następujące klauzule umowne ("Klauzule") w celu spełnienia wymogów RODO i zapewnienia ochrony praw osób, których dane dotyczą.

Spis treści

1. Preambuła 3
2. Prawa i obowiązki administratora danych 3
3. Podmiot przetwarzający dane działa zgodnie z instrukcjami 3
4. Poufność 4
5. Bezpieczeństwo przetwarzania 4
6. Korzystanie z podprzetwarzających 5
7. Przekazywanie danych do państw trzecich lub organizacji międzynarodowych 6
8. Pomoc dla administratora danych 6
9. Powiadomienie o naruszeniu ochrony danych osobowych 7
10. Usuwanie i zwracanie danych 8
11. Audyt i inspekcja 8
12. Porozumienie stron w sprawie innych warunków 8
13. Rozpoczęcie i zakończenie 8
14. Osoby kontaktowe/punkty kontaktowe administratora danych i podmiotu przetwarzającego dane 9

Załącznik A Informacje o przetwarzaniu 10

1. Celem przetwarzania danych osobowych przez Podmiot przetwarzający w imieniu Administratora jest: 10
2. Przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora dotyczy głównie (charakter przetwarzania): 10
3. Przetwarzanie obejmuje następujące rodzaje danych osobowych osób, których dane dotyczą: 11
4. Przetwarzanie obejmuje następujące kategorie osób, których dane dotyczą 11
5. Przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora może mieć miejsce z chwilą rozpoczęcia obowiązywania Klauzul. Przetwarzanie trwa przez następujący okres: 11

Dodatek B Upoważnieni podwykonawcy przetwarzania 13

1. Zatwierdzeni podwykonawcy przetwarzania 13

Załącznik C Instrukcja dotycząca wykorzystywania danych osobowych 14

1. Przedmiot przetwarzania/instrukcja przetwarzania 14
2. Bezpieczeństwo przetwarzania 14

Bezpieczeństwo organizacyjne 14

Bezpieczeństwo fizyczne 14

Bezpieczeństwo techniczne: Dostęp do systemów informatycznych i ich ochrona 15

Bezpieczeństwo techniczne: Dostęp do danych osobowych 15

Bezpieczeństwo techniczne: Szyfrowanie 16

Bezpieczeństwo techniczne: Ochrona danych osobowych podczas transmisji 16

Bezpieczeństwo techniczne: Dostępność i odporność 16

3. Pomoc dla kontrolera 16
4. Okres przechowywania/procedury pomiaru 17
5. Miejsce przetwarzania 17
6. Instrukcja przekazywania danych osobowych do państw trzecich 17
7. Procedury przeprowadzania przez Administratora audytów, w tym inspekcji, przetwarzania danych osobowych przez Podmiot przetwarzający 17
8. Procedury audytów, w tym inspekcji, przetwarzania danych osobowych przez podwykonawców przetwarzania. 18
9. Dodatek D Warunki porozumienia Stron w innych kwestiach 20
10. Inne sprawy 20
11. Umowa powierzenia przetwarzania danych nie reguluje innych kwestii. 20

• Preambuła

 

1. Niniejsze klauzule umowne ("Klauzule") określają prawa i obowiązki administratora danych i podmiotu przetwarzającego dane podczas przetwarzania danych osobowych w imieniu administratora danych.

 

1. Klauzule zostały opracowane w celu zapewnienia compliance stron z art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

 

1. W kontekście świadczenia usługi Data & More Compliance Server podmiot przetwarzający dane będzie przetwarzał dane osobowe w imieniu administratora danych zgodnie z niniejszymi klauzulami.

 

1. Klauzule mają pierwszeństwo przed wszelkimi podobnymi postanowieniami zawartymi w innych umowach między stronami.

 

1. Do Klauzul dołączone są cztery załączniki, które stanowią ich integralną część.

 

1. Załącznik A zawiera szczegółowe informacje na temat przetwarzania danych osobowych, w tym cel i charakter przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, oraz czas trwania przetwarzania.

 

1. Załącznik B zawiera warunki administratora danych dotyczące korzystania przez podmiot przetwarzający dane z podprzetwarzających oraz wykaz podprzetwarzających upoważnionych przez administratora danych.

 

1. Załącznik C zawiera instrukcje administratora danych dotyczące przetwarzania danych osobowych, minimalnych środków bezpieczeństwa, które mają zostać wdrożone przez podmiot przetwarzający dane, oraz sposobu przeprowadzania audytów podmiotu przetwarzającego dane i wszelkich podwykonawców przetwarzania.

 

1. Załącznik D zawiera postanowienia dotyczące innych działań, które nie są objęte klauzulami. 

 

1. Klauzule wraz z załącznikami będą przechowywane w formie pisemnej, w tym elektronicznej, przez obie strony.

 

1. Klauzule nie zwalniają podmiotu przetwarzającego dane z obowiązków, którym podlega zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) lub innymi przepisami.

• Prawa i obowiązki administratora danych

 

1. Administrator danych jest odpowiedzialny za zapewnienie, że przetwarzanie danych osobowych odbywa się compliance z RODO (zob. art. 24 RODO), obowiązującymi przepisami UE lub państwa członkowskiego o ochronie danych oraz Klauzulami. przepisami UE lub państwa członkowskiego dotyczącymi ochrony danych oraz niniejszymi klauzulami.

 

1. Administrator danych ma prawo i obowiązek podejmowania decyzji o celach i środkach przetwarzania danych osobowych.

 

1. Administrator danych jest odpowiedzialny, między innymi, za zapewnienie, że przetwarzanie danych osobowych, które podmiot przetwarzający dane ma wykonać, ma podstawę prawną. 

• Procesor danych działa zgodnie z instrukcjami

 

1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. Takie instrukcje są określone w załącznikach A i C. Administrator danych może również wydawać późniejsze instrukcje przez cały okres przetwarzania danych osobowych, ale takie instrukcje muszą być zawsze udokumentowane i przechowywane w formie pisemnej, w tym elektronicznej, w związku z klauzulami. 

 

1. Podmiot przetwarzający dane niezwłocznie informuje administratora danych, jeśli instrukcje wydane przez administratora danych, w opinii podmiotu przetwarzającego dane, naruszają RODO lub obowiązujące przepisy UE lub państwa członkowskiego dotyczące ochrony danych.

 

1. Ponadto Przetwarzający będzie pomagał Administratorowi w zapewnieniu compliance obowiązków Administratora wynikających z art. 32 RODO, między innymi poprzez przekazywanie Administratorowi informacji dotyczących środków technicznych i organizacyjnych już wdrożonych przez Przetwarzającego zgodnie z art. 32 RODO, a także wszelkich innych informacji niezbędnych Administratorowi do wywiązania się z obowiązku wynikającego z art. 32 RODO.
2. Jeżeli następnie - w ocenie Administratora - złagodzenie zidentyfikowanych ryzyk wymaga wdrożenia przez Przetwarzającego dalszych środków niż te, które zostały już wdrożone przez Przetwarzającego zgodnie z art. 32 RODO, Administrator określi te dodatkowe środki, które mają zostać wdrożone w Załączniku C.

• Poufność

 

1. Podmiot przetwarzający dane udziela dostępu do danych osobowych przetwarzanych w imieniu administratora danych wyłącznie osobom podlegającym podmiotowi przetwarzającemu dane, które zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności, i wyłącznie na zasadzie ograniczonego dostępu. Lista osób, którym przyznano dostęp, podlega okresowemu przeglądowi. Na podstawie tego przeglądu taki dostęp do danych osobowych może zostać wycofany, jeśli dostęp nie jest już konieczny, a dane osobowe nie będą już dostępne dla tych osób.

 

1. Na żądanie administratora danych podmiot przetwarzający dane wykazuje, że zainteresowane osoby podlegające podmiotowi przetwarzającemu dane podlegają wyżej wymienionym zasadom poufności.

• Bezpieczeństwo przetwarzania 

 

1. Art. 32 RODO stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator danych i podmiot przetwarzający dane wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

 

Administrator danych ocenia ryzyko dla praw i wolności osób fizycznych nieodłącznie związane z przetwarzaniem i wdraża środki w celu ograniczenia tego ryzyka. W zależności od ich znaczenia, środki te mogą obejmować następujące elementy:

1. Pseudonimizacja i szyfrowanie danych osobowych;

 

1. zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

 

1. zdolność do przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego;

 

1. proces regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania.

 

1. Zgodnie z art. 32 RODO podmiot przetwarzający - niezależnie od administratora danych - ocenia również ryzyko naruszenia praw lub wolności osób fizycznych związane z przetwarzaniem i wdraża środki ograniczające to ryzyko. W tym celu administrator danych dostarcza podmiotowi przetwarzającemu wszelkie informacje niezbędne do zidentyfikowania i oceny takiego ryzyka.

 

1. Ponadto podmiot przetwarzający dane pomaga administratorowi danych w zapewnieniu compliance z obowiązkami administratora danych wynikającymi z art. 32 RODO poprzez między innymi dostarczanie administratorowi danych informacji o środkach technicznych i organizacyjnych już wdrożonych przez podmiot przetwarzający dane zgodnie z art. 32 RODO wraz z wszelkimi innymi informacjami niezbędnymi administratorowi danych do wypełnienia obowiązku administratora danych wynikającego z art. 32 RODO.

 

Jeżeli następnie - w ocenie administratora danych - ograniczenie zidentyfikowanego ryzyka wymaga wdrożenia przez podmiot przetwarzający dane środków innych niż te, które zostały już wdrożone przez podmiot przetwarzający dane zgodnie z art. 32 RODO, administrator danych określa te dodatkowe środki, które mają zostać wdrożone w dodatku C.

• Korzystanie z podprzetwarzających

 

1. Podmiot przetwarzający dane musi spełniać wymogi określone w art. 28 ust. 2 i 4 RODO w celu zaangażowania innego podmiotu przetwarzającego (podprzetwarzającego).

 

1. W związku z tym podmiot przetwarzający dane nie może angażować innego podmiotu przetwarzającego (podprzetwarzającego) do wypełnienia Klauzul bez uprzedniego uprzedniej pisemnej zgody administratora danych.

 

1. Podmiot przetwarzający dane angażuje podwykonawców przetwarzania wyłącznie za uprzednią zgodą administratora danych. Podmiot przetwarzający dane składa wniosek o specjalne upoważnienie co najmniej 30 dni przed zaangażowaniem danego podprzetwarzającego. Lista podprzetwarzających już upoważnionych przez administratora danych znajduje się w Załączniku B.

 

1. W przypadku gdy podmiot przetwarzający dane angażuje podwykonawcę przetwarzania do wykonywania określonych czynności przetwarzania w imieniu administratora danych, na podwykonawcę przetwarzania nakłada się takie same obowiązki w zakresie ochrony danych, jak określone w Klauzulach, w drodze umowy lub innego aktu prawnego na mocy prawa UE lub prawa państwa członkowskiego, w szczególności zapewniając wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie spełniało wymogi Klauzul i RODO.

 

Podmiot przetwarzający dane jest zatem odpowiedzialny za wymaganie, aby podwykonawca przetwarzania co najmniej spełniał obowiązki, którym podlega podmiot przetwarzający dane zgodnie z Klauzulami i RODO.

 

1. Kopia takiej umowy z podwykonawcą przetwarzania oraz jej późniejsze zmiany są - na żądanie administratora danych - przekazywane administratorowi danych, co daje administratorowi danych możliwość zapewnienia, że na podwykonawcę przetwarzania nałożone są takie same obowiązki w zakresie ochrony danych, jak określone w niniejszych klauzulach. Klauzule dotyczące kwestii biznesowych, które nie mają wpływu na prawną treść umowy podpowierzenia w zakresie ochrony danych, nie wymagają przedłożenia administratorowi danych.  

 

1. Podmiot przetwarzający uzgadnia z podprzetwarzającym klauzulę beneficjenta będącego osobą trzecią, zgodnie z którą - w przypadku faktycznego zniknięcia podmiotu przetwarzającego, ustania jego bytu prawnego lub jego niewypłacalności - administrator ma prawo rozwiązać umowę z podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.

 

1. Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych, podmiot przetwarzający dane pozostaje w pełni odpowiedzialny wobec administratora danych w zakresie wypełnienia obowiązków podwykonawcy przetwarzania. Nie ma to wpływu na prawa osób, których dane dotyczą, wynikające z RODO - w szczególności te przewidziane w art. 79 i 82 RODO - wobec administratora danych i podmiotu przetwarzającego dane, w tym podprzetwarzającego.

• Przekazywanie danych do państw trzecich lub organizacji międzynarodowych

 

1. Wszelkie przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych przez podmiot przetwarzający dane odbywa się wyłącznie na podstawie udokumentowanych instrukcji administratora danych i zawsze odbywa się compliance z rozdziałem V RODO. 

 

1. W przypadku, gdy przekazywanie danych do państw trzecich lub organizacji międzynarodowych, którego podmiot przetwarzający dane nie zlecił administratorowi danych, jest wymagane na mocy prawa UE lub prawa państwa członkowskiego, któremu podlega podmiot przetwarzający dane, podmiot przetwarzający dane informuje administratora danych o tym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że prawo to zabrania przekazywania takich informacji z uwagi na ważny interes publiczny.

 

1. Bez udokumentowanych instrukcji administratora danych podmiot przetwarzający dane nie może zatem działać w ramach klauzul:

 

1. przekazywanie danych osobowych administratorowi danych lub podmiotowi przetwarzającemu dane w państwie trzecim lub organizacji międzynarodowej

 

1. przekazanie przetwarzania danych osobowych podwykonawcy przetwarzania w państwie trzecim 

 

1. przetwarzanie danych osobowych przez podmiot przetwarzający dane w państwie trzecim

 

1. Instrukcje administratora danych dotyczące przekazywania danych osobowych do państwa trzeciego, w tym, w stosownych przypadkach, narzędzia przekazywania zgodnie z rozdziałem V RODO, na których się opierają, są określone w dodatku C.6.

 

1. Klauzul nie należy mylić ze standardowymi klauzulami ochrony danych w rozumieniu art. 46 ust. 2 lit. c) i d) RODO, a strony nie mogą polegać na Klauzulach jako narzędziu transferu zgodnie z rozdziałem V RODO.

• Pomoc dla administratora danych

 

1. Biorąc pod uwagę charakter przetwarzania, podmiot przetwarzający dane pomaga administratorowi danych za pomocą odpowiednich środków technicznych i organizacyjnych, o ile jest to możliwe, w wypełnianiu obowiązków administratora danych w zakresie odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.

Oznacza to, że podmiot przetwarzający dane powinien, o ile jest to możliwe, pomagać administratorowi danych w compliance przez niego następujących praw osób, których dane dotyczą:

 

1. prawo do uzyskania informacji podczas gromadzenia danych osobowych od osoby, której dane dotyczą
2. prawo do informacji, gdy dane osobowe nie zostały uzyskane od osoby, której dane dotyczą
3. prawo dostępu przysługujące osobie, której dane dotyczą
4. prawo do sprostowania
5. prawo do usunięcia danych ("prawo do bycia zapomnianym")
6. prawo do ograniczenia przetwarzania
7. obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu ich przetwarzania
8. prawo do przenoszenia danych
9. prawo do sprzeciwu 
10. prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu

 

1. Oprócz obowiązku podmiotu przetwarzającego dane do udzielania pomocy administratorowi danych zgodnie z klauzulą 8.1, podmiot przetwarzający dane powinien ponadto, biorąc pod uwagę charakter przetwarzania i informacje dostępne podmiotowi przetwarzającemu dane, pomagać administratorowi danych w zapewnieniu compliance z przepisami:

 

1. Obowiązkiem administratora danych jest zgłoszenie naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu bez zbędnej zwłoki i, w miarę możliwości, nie później niż w ciągu 72 godzin od powzięcia wiadomości o naruszeniu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

 

1. obowiązek administratora danych do bezzwłocznego zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;

 

1. obowiązek administratora danych do przeprowadzenia oceny wpływu planowanych operacji przetwarzania na ochronę danych osobowych (ocena skutków dla ochrony danych);

 

1. obowiązek administratora danych do skonsultowania się z właściwym organem nadzorczym, Właściwa krajowa Agencja Ochrony Danych zostanie powiadomiona - w Danii, Duńska Agencja Ochrony Danych - przed przetwarzaniem, jeżeli ocena wpływu na ochronę danych wskazuje, że przetwarzanie spowodowałoby wysokie ryzyko w przypadku braku środków podjętych przez administratora danych w celu ograniczenia ryzyka.

 

1. Strony określą w Załączniku C odpowiednie środki techniczne i organizacyjne, za pomocą których podmiot przetwarzający dane jest zobowiązany wspierać administratora danych, a także zakres i zasięg wymaganej pomocy. Dotyczy to obowiązków przewidzianych w punktach 9.1. i 9.2.

 

• Powiadomienie o naruszeniu ochrony danych osobowych

 

1. W przypadku naruszenia ochrony danych osobowych podmiot przetwarzający dane bez zbędnej zwłoki po powzięciu wiadomości o takim naruszeniu zawiadamia administratora danych o naruszeniu ochrony danych osobowych.

 

1. Zawiadomienie administratora danych przez podmiot przetwarzający dane powinno w miarę możliwości nastąpić w ciągu 24 dni od powzięcia przez podmiot przetwarzający dane wiadomości o naruszeniu ochrony danych osobowych, aby umożliwić administratorowi danych wywiązanie się z obowiązku zawiadomienia właściwego organu nadzorczego o naruszeniu ochrony danych osobowych, por. art. 33 RODO.

 

1. Zgodnie z klauzulą 9(2) podmiot przetwarzający dane pomaga administratorowi danych w zgłoszeniu naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu, co oznacza, że podmiot przetwarzający dane jest zobowiązany do pomocy w uzyskaniu wymienionych poniżej informacji, które zgodnie z art. 33(3) RODO należy podać w zgłoszeniu administratora danych do właściwego organu nadzorczego:  

 

1. Charakter danych osobowych, w tym, w miarę możliwości, kategorie i przybliżona liczba osób, których dane dotyczą, oraz kategorie i przybliżona liczba rekordów danych osobowych, których dane dotyczą; 

 

1. prawdopodobne konsekwencje naruszenia ochrony danych osobowych;

 

1. środki podjęte lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie jego ewentualnych negatywnych skutków. 

 

1. Strony zdefiniują w Dodatku C wszystkie elementy, które podmiot przetwarzający dane musi dostarczyć, pomagając administratorowi danych w zawiadomieniu właściwego organu nadzorczego o naruszeniu ochrony danych osobowych.

 

• Usuwanie i zwracanie danych

 

1. Po zakończeniu świadczenia usług przetwarzania danych osobowych podmiot przetwarzający dane jest zobowiązany do usunąć wszystkie dane osobowe przetwarzane w imieniu administratora danych i zaświadczyć administratorowi danych, że to zrobił.

 

• Audyt i inspekcja

 

1. Podmiot przetwarzający udostępnia administratorowi danych wszelkie informacje niezbędne do wykazania compliance z obowiązkami określonymi w art. 28 i klauzulach oraz umożliwia administratorowi danych lub innemu audytorowi upoważnionemu przez administratora danych przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

 

1. Procedury mające zastosowanie do audytów administratora danych, w tym inspekcji, podmiotu przetwarzającego dane i podprzetwarzających dane są określone w załącznikach C.7. i C.8.    

 

1. Podmiot przetwarzający dane jest zobowiązany do zapewnienia organom nadzorczym, które zgodnie z obowiązującymi przepisami mają dostęp do obiektów administratora danych i podmiotu przetwarzającego dane, lub przedstawicielom działającym w imieniu takich organów nadzorczych, dostępu do fizycznych obiektów podmiotu przetwarzającego dane po okazaniu odpowiedniego dokumentu tożsamości i zgodnie z prawem proceduralnym Unii lub państwa członkowskiego. 

• Porozumienie stron w sprawie innych warunków 

 

1. Strony mogą uzgodnić inne klauzule dotyczące świadczenia usługi przetwarzania danych osobowych, określające np. odpowiedzialność, o ile nie są one sprzeczne bezpośrednio lub pośrednio z Klauzulami lub nie naruszają podstawowych praw lub wolności osoby, której dane dotyczą, oraz ochrony zapewnianej przez RODO.

• Rozpoczęcie i zakończenie

 

1. Klauzule wchodzą w życie z dniem podpisania przez obie strony.

 

1. Obie strony będą uprawnione do żądania renegocjacji Klauzul, jeżeli zmiany w prawie lub niecelowość Klauzul spowodują taką renegocjację. 

 

1. Klauzule obowiązują przez okres świadczenia usług przetwarzania danych osobowych. W okresie świadczenia usług przetwarzania danych osobowych niniejsze klauzule nie mogą zostać wypowiedziane, chyba że strony uzgodniły inne klauzule regulujące świadczenie usług przetwarzania danych osobowych.

 

• Jeśli świadczenie usług przetwarzania danych osobowych zostanie zakończone, a dane osobowe zostaną usunięte lub zwrócone administratorowi danych zgodnie z klauzulą 11.1 i załącznikiem C.4, klauzule mogą zostać rozwiązane za pisemnym wypowiedzeniem przez każdą ze stron.

• Podpis

 

W imieniu podmiotu przetwarzającego dane

 

Imię i nazwisko: Kristian Boe Helweg Hansen

Tytuł: Customer Success & Compliance Manager

Telefon komórkowy: +45 60843418

E-mail: kbhh@dataandmore.com

 

Signature Date: {{rawTimestamp}}

 

W imieniu Użytkownika (administratora danych)

 

FIRMA

NAZWA

ZNACZNIK CZASU
IP UŻYTKOWNIKA
EMAIL

• Osoby kontaktowe/punkty kontaktowe administratora danych i podmiotu przetwarzającego dane

 

1. Strony mogą kontaktować się ze sobą przy użyciu następujących kontaktów/punktów kontaktowych:

 

1. Strony są zobowiązane do ciągłego wzajemnego informowania się o zmianach osób kontaktowych/punktów kontaktowych.

 

Imię i nazwisko: Kristian Boe Helweg Hansen

Tytuł: Customer Success & Compliance Manager

Telefon komórkowy: +45 60843418

E-mail: kbhh@dataandmore.com

 

Aby uzyskać wsparcie w sprawach technicznych, skontaktuj się z 

 

E-mail: support@dataandmore.com

 

Dodatek A Informacje o przetwarzaniu

 

1. Celem przetwarzania danych osobowych przez Podmiot przetwarzający w imieniu Administratora jest:

   1. Następujące cele stanowią podstawę przetwarzania danych osobowych przez Podmiot przetwarzający w imieniu Administratora: Przetwarzanie danych osobowych odbywa się w celu oczyszczenia i pomocy w uzyskaniu wizualnego przeglądu danych zawierających informacje umożliwiające identyfikację osoby (dane PII), które są niepotrzebne lub nieaktualne, w celu usunięcia danych. Podmiot przetwarzający zapewnia wsparcie oraz konserwację i serwisowanie serwera Data & More Compliance Server znajdującego się w zakładzie Podmiotu przetwarzającego. 
      1. Ponadto przetwarzanie danych osobowych odbywa się w celu realizacji następujących celów: Podmiot przetwarzający świadczy usługi doradcze wspierające utrzymanie i serwisowanie serwera Data & More Compliance Server znajdującego się w obiekcie Podmiotu przetwarzającego lub w obiekcie Administratora danych. 

2. Przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora danych dotyczy głównie (charakter przetwarzania):

 

1. Przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora będzie dotyczyć głównie (charakter przetwarzania): pobierania i strukturyzowania różnych kategorii wrażliwych danych osobowych zebranych w związku ze świadczeniem usługi. Takie pobieranie będzie podejmowane zgodnie z instrukcjami Administratora Danych i będzie dotyczyć głównie nieustrukturyzowanych zbiorów danych, w tym między innymi kont e-mail, dysków do udostępniania plików lub równoważnych systemów. 
2. Gdy podmiot przetwarzający świadczy usługi doradcze, przetwarzanie danych osobowych zazwyczaj obejmuje ograniczone i konkretne działania niezbędne do wypełnienia zobowiązań umownych uzgodnionych z administratorem. Działania te mogą obejmować: Podmiot przetwarzający zapewnia wsparcie oraz utrzymanie i serwisowanie serwera Data & More Compliance Server znajdującego się w placówce Podmiotu przetwarzającego. 
3. Uzyskiwanie dostępu do danych w razie potrzeby: Podmiot przetwarzający może uzyskiwać dostęp do danych osobowych w celu analizowania, diagnozowania lub rozwiązywania problemów związanych z systemami lub usługami, które utrzymuje lub ulepsza, zawsze zgodnie z instrukcjami administratora. 
4. Wykonywanie wsparcia technicznego: Usługi doradcze mogą wymagać od podmiotu przetwarzającego interakcji z systemami przechowującymi lub przetwarzającymi dane osobowe w celu zapewnienia wskazówek, wdrożenia zmian lub zapewnienia funkcjonalności. Przetwarzanie to jest ograniczone do tego, co jest ściśle wymagane do świadczenia usługi. 
5. Compliance z instrukcjami: Rolą podmiotu przetwarzającego jest wyłącznie działanie zgodnie z udokumentowanymi instrukcjami administratora. Podmiot przetwarzający nie określa celu ani sposobów przetwarzania, ale zapewnia, że świadczone usługi są zgodne z instrukcjami administratora i niniejszą Umową. 
6. Wdrażanie zabezpieczeń: Dane osobowe przetwarzane w ramach usług doradczych są przetwarzane w sposób bezpieczny, z zastosowaniem środków mających na celu ochronę ich poufności, integralności i dostępności. Obejmuje to bezpieczną kontrolę dostępu, szyfrowanie i inne środki techniczne i organizacyjne wymagane przez RODO i postanowienia niniejszej Umowy. 
7. Tymczasowa interakcja z danymi: Przetwarzanie może mieć charakter tymczasowy lub incydentalny, np. podczas rozwiązywania problemów lub zadań konfiguracyjnych. Podmiot przetwarzający zapewnia, że żadne dane nie są przechowywane poza zakresem usługi, chyba że zostało to wyraźnie uzgodnione z administratorem. 
8. Ogólnie rzecz biorąc, usługi doradcze podmiotu przetwarzającego obejmują ściśle niezbędne i kontrolowane przetwarzanie danych osobowych w celu realizacji celów określonych przez administratora, w pełnej compliance z zasadami RODO i umowami. 

1. Przetwarzanie obejmuje następujące rodzaje danych osobowych osób, których dane dotyczą:

   1. adres, dane bankowe (dane karty lub informacje o koncie), dokumenty rozliczeniowe i księgowe, data urodzenia, adres e-mail, informacje o używanym urządzeniu użytkownika, adres IP, imię i nazwisko, hasło do jednego lub kilku systemów, numer telefonu, numer ubezpieczenia społecznego, nazwa użytkownika dla jednego lub kilku systemów, różne dane osobowe w systemach klientów, do których udzielono dostępu, różne dane osobowe dostarczone lub zarejestrowane przez klienta lub klientów klienta bez aktywnego przetwarzania i identyfikacji przez organizację, różne dane osobowe, które są rejestrowane w związku ze świadczeniem usługi i nie mogą być precyzyjnie określone.
   2. numer ubezpieczenia społecznego, data urodzenia, dane bankowe (dane karty lub informacje o koncie), dokumenty rozliczeniowe i księgowe, hasło do jednego lub kilku systemów, nazwa użytkownika do jednego lub kilku systemów, adres e-mail, adres, numer telefonu, imię i nazwisko, adres IP, informacje o używanym urządzeniu użytkownika, różne dane osobowe dostarczone lub zarejestrowane przez klienta lub klientów klienta bez aktywnego przetwarzania i identyfikacji przez organizację, różne dane osobowe w systemach klientów, do których udzielono dostępu, różne dane osobowe, które są rejestrowane w związku ze świadczeniem usługi i nie mogą być precyzyjnie zdefiniowane. 
   3. Różne wrażliwe dane osobowe, które są rejestrowane w związku ze świadczeniem usługi i nie mogą być precyzyjnie zdefiniowane. Różne dane osobowe związane z wynagrodzeniem i płatnościami, które są rejestrowane w związku ze świadczeniem usługi i nie mogą być precyzyjnie zdefiniowane.

2. Przetwarzanie obejmuje następujące kategorie osób, których dane dotyczą

   1. Obecni pracownicy, byli pracownicy, kandydaci lub potencjalni uczestnicy rekrutacji i zatrudnienia, klienci będący konsumentami lub prowadzący jednoosobową działalność gospodarczą, pracownicy i partnerzy klientów.
   2. (gdy klientami są firmy), klienci klientów i ich pracownicy (na przykład dla dostawców CRM), dostawcy będący osobami fizycznymi lub jednoosobowymi firmami, pracownicy dostawców (gdy dostawcami są firmy), podmioty powiązane będące osobami fizycznymi lub jednoosobowymi firmami, pracownicy podmiotów powiązanych (gdy podmiotami powiązanymi są firmy), różne kategorie, których nie można wcześniej zidentyfikować

3. Przetwarzanie danych osobowych przez Podmiot przetwarzający w imieniu Administratora może mieć miejsce z chwilą rozpoczęcia obowiązywania Klauzul. Przetwarzanie trwa przez następujący okres:

   1. Przetwarzanie danych osobowych odbywa się do momentu zakończenia świadczenia usług przez Podmiot przetwarzający, po czym dane osobowe są usuwane zgodnie z punktem 10.1. Przetwarzanie danych osobowych przez Podmiot przetwarzający odbywa się tak długo, jak długo obowiązuje podstawowa umowa handlowa (umowy handlowe).

Dodatek B Upoważnieni podwykonawcy przetwarzania

1. Zatwierdzeni podwykonawcy przetwarzania

 

1.1 Z chwilą wejścia w życie niniejszych klauzul Administrator zezwala na zaangażowanie następujących podwykonawców przetwarzania:

Hetzner Online GmbH

DE812871812 Industriestr. 25,

91710 Gunzenhausen,

Niemcy

Centrum zapasowe / hostingowe Jest partnerem hostingowym dla Data & More ApS

 

1.2 Na początku obowiązywania niniejszych klauzul Administrator upoważni wyżej wymienionych podwykonawców przetwarzania do przetwarzania opisanego dla tej Strony. Przetwarzający nie jest uprawniony - bez wyraźnego pisemnego upoważnienia Administratora - do angażowania podprzetwarzającego do "innego" przetwarzania niż to, które zostało uzgodnione, ani do zlecania innemu podprzetwarzającemu wykonania opisanego przetwarzania.

Załącznik C Instrukcja dotycząca wykorzystywania danych osobowych

 

• Przedmiot przetwarzania/instrukcja przetwarzania

 

1. Podmiot Przetwarzający przetwarza dane osobowe jako konsultant w imieniu Administratora w celu ułatwienia Administratorowi korzystania z systemu informatycznego Data & More Compliance Server, który jest zarządzany przez Podmiot Przetwarzający. Na mocy niniejszej Umowy Przetwarzania Danych Przetwarzający jest upoważniony do dostępu do SerweraCompliance Data & More More w celu wykonywania zadań związanych z konserwacją, konfiguracją i zapewnieniem jakości (QA), które mogą wymagać przetwarzania danych osobowych związanych z pracownikami, klientami i partnerami Administratora, wyłącznie w celu realizacji tych zadań.

 

• Bezpieczeństwo przetwarzania

 

1. Poziom bezpieczeństwa powinien uwzględniać

1. Biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, a także ryzyko dla praw i wolności osób fizycznych, Podmiot przetwarzający musi wdrożyć odpowiedni poziom bezpieczeństwa.
2. Podmiot przetwarzający jest uprawniony i zobowiązany do podejmowania decyzji dotyczących technicznych i organizacyjnych środków bezpieczeństwa, które mają być stosowane w celu zapewnienia niezbędnego (i uzgodnionego) poziomu bezpieczeństwa danych.
3. Podmiot przetwarzający wdroży jednak - w każdym przypadku i co najmniej - następujące środki, które zostały uzgodnione z Administratorem:

 

Bezpieczeństwo organizacyjne 

Podmiot przetwarzający wdroży następujące organizacyjne środki bezpieczeństwa: 

1. Wszyscy pracownicy Podmiotu przetwarzającego podlegają obowiązkowi zachowania poufności, który ma zastosowanie do wszystkich procesów przetwarzania danych osobowych. 
2. Pracownicy mający dostęp do wrażliwych danych osobowych lub krytycznych systemów informatycznych przeszli poświadczenie bezpieczeństwa przed zatrudnieniem. 
3. Dostęp pracowników do danych osobowych jest ograniczony, tak aby tylko odpowiedni pracownicy mieli dostęp do niezbędnych danych osobowych. 
4. Pracownicy Podmiotu Przetwarzającego, którzy mają dostęp do "wrażliwych" danych osobowych lub krytycznych systemów informatycznych, przeszli poświadczenie bezpieczeństwa przed zatrudnieniem. 
5. Przetwarzanie danych osobowych przez pracowników Podmiotu przetwarzającego jest rejestrowane i może być sprawdzane w razie potrzeby. 
6. Procesor posiada politykę bezpieczeństwa IT. 
7. Podmiot przetwarzający posiada udokumentowane opisy procesów dotyczących naruszeń bezpieczeństwa danych osobowych, które są poddawane przeglądowi co najmniej raz w roku. 
8. Podmiot przetwarzający ustanowił procedury, które zapewniają prawidłowe usunięcie lub ciągłą poufność, gdy sprzęt jest naprawiany, serwisowany lub usuwany. i) Podmiot przetwarzający ma możliwość reagowania na naruszenia przez pracowników bezpieczeństwa danych podmiotu przetwarzającego lub naruszenia instrukcji dotyczących przetwarzania danych osobowych zgodnie z prawem pracy. 
9. Pracownicy Podmiotu przetwarzającego regularnie dokumentują i zgłaszają naruszenia bezpieczeństwa danych osobowych lub zagrożenia z nimi związane. 

 

Bezpieczeństwo fizyczne

Podmiot przetwarzający wdroży następujące środki bezpieczeństwa fizycznego:

1. Przestrzeń biurowa procesora może być zablokowana.
2. Procesor wykorzystuje systemy alarmowe do wykrywania i zapobiegania włamaniom.
3. Procesor wykorzystuje alarmy przeciwpożarowe i czujniki dymu do wykrywania pożarów i zapobiegania im.
4. Procesor przetestował plan awaryjny i ewakuacyjny na wypadek sytuacji awaryjnych.
5. Urządzenia procesora (w tym komputery PC, serwery itp.) są zabezpieczone za zamkniętymi drzwiami.
6. Procesor, goście itp. są identyfikowani za pomocą kart identyfikacyjnych.
7. Pomieszczenia i obiekty podmiotu przetwarzającego lub drogi dostępu podlegają monitorowaniu wideo lub obrazu.
8. Procesor wykorzystuje proces weryfikacji lub system weryfikacji do kontrolowania tożsamości odwiedzających.
9. Procesor stosuje zarządzanie kluczami, tj. dostarcza klucze odpowiednim i niezbędnym pracownikom itp.
10. Recepcja jest obsługiwana 24 godziny na dobę, 7 dni w tygodniu, a poza godzinami pracy dostępna jest firma ochroniarska.
11. Budynek (budynki) procesora są podzielone na strefy dostępu, po czym wymagane są karty dostępu w celu uzyskania dostępu do stref.
12. Prowadzony jest protokół osób odwiedzających procesor.
13. Pracownicy procesora są zobowiązani do posiadania przy sobie dowodów tożsamości.

Poziom bezpieczeństwa musi uwzględniać dużą skalę przetwarzanych danych osobowych

a także wysoki poziom poufności przetwarzanych informacji i dlatego wymagają wysokiego poziomu bezpieczeństwa.

Bezpieczeństwo techniczne: Dostęp do systemów informatycznych i ich ochrona

Podmiot przetwarzający wdroży następujące techniczne środki bezpieczeństwa w zakresie dostępu do swoich systemów i ich ochrony:

1. Procesor wykorzystuje logiczną kontrolę dostępu z nazwą użytkownika i hasłem lub inną unikalną autoryzacją.
2. Procesor korzysta z programów antywirusowych, które są regularnie aktualizowane.
3. Procesor rejestruje i kontroluje nieautoryzowane lub powtarzające się nieudane próby logowania.
4. Procesor wymaga od pracowników używania indywidualnych haseł.
5. Komputery procesora mają automatyczną ochronę dostępu podczas braku aktywności, tj.

zablokowany wygaszacz ekranu.

1. Procesor ma zasady dotyczące składu hasła, w tym minimalne wymagania.
2. Istnieją procedury cofania uprawnień, gdy pracownik kończy pracę lub zmienia dział.
3. Istnieją procedury przyznawania uprawnień do systemów informatycznych przy zatrudnianiu nowych pracowników.

Poziom bezpieczeństwa uwzględnia dużą skalę przetwarzanych danych osobowych, a także wysoki poziom poufności przetwarzanych informacji, a zatem wymaga wysokiego poziomu bezpieczeństwa.

Bezpieczeństwo techniczne: Dostęp do danych osobowych

Podmiot przetwarzający wdroży następujące techniczne środki bezpieczeństwa dotyczące dostępu do danych osobowych:

1. Procesor regularnie dokonuje przeglądu kontroli systemu.
2. Podmiot przetwarzający udziela osobom lub grupom użytkowników upoważnień do dostępu, zmiany i usuwania przetwarzanych danych osobowych.
3. Procesor posiada procedury przywracania danych z kopii zapasowej.
4. Procesor regularnie przegląda i weryfikuje uprawnienia użytkowników do określonych systemów.
5. Procesor rejestruje i kontroluje nieautoryzowane lub powtarzające się nieudane próby usunięcia danych.
6. Procesor rejestruje i kontroluje nieautoryzowane lub powtarzające się nieudane próby uzyskania dostępu do danych.
7. Podmiot przetwarzający ma możliwość śledzenia dostępu, modyfikacji i usuwania danych przez poszczególnych użytkowników.

Poziom bezpieczeństwa uwzględnia dużą skalę przetwarzanych danych osobowych, a także wysoki poziom poufności przetwarzanych informacji, a zatem wymaga wysokiego poziomu bezpieczeństwa.

Bezpieczeństwo techniczne: Szyfrowanie

Podmiot przetwarzający wdroży następujące techniczne środki bezpieczeństwa dotyczące szyfrowania:

1. Hasła przechowywane na komputerach procesora itp. są szyfrowane.
2. Zawartość zewnętrznych dysków twardych, kluczy USB itp. jest szyfrowana, jeśli nośniki te zawierają dane osobowe lub poufne dane osobowe.
3. Sieć jest szyfrowana.
4. Komputery procesora mają zaszyfrowane dyski twarde.
5. Procesor szyfruje dane osobowe w systemach i/lub na urządzeniach.
6. Procesor szyfruje wrażliwe dane osobowe w systemach i/lub na urządzeniach.
7. Strony internetowe i formularze internetowe Procesora wykorzystują certyfikaty SSL / HTTPS (Hyper Text Transfer Protocol Secure).

Zobacz dodatkowy dokument dotyczący polityki bezpieczeństwa sieci DAM.

Bezpieczeństwo techniczne: Ochrona danych osobowych podczas transmisji

Podmiot przetwarzający wdroży następujące techniczne środki bezpieczeństwa dotyczące ochrony danych osobowych podczas transmisji:

1. Procesor wykorzystuje i posiada wytyczne dotyczące bezpiecznej poczty elektronicznej.
2. Wychodzące wiadomości e-mail zawierające wrażliwe dane osobowe lub informacje o czysto prywatnych sprawach są szyfrowane.
3. Procesor ma wytyczne dotyczące korzystania ze służbowych wiadomości e-mail, w tym do użytku prywatnego, właściwego użytkowania, szyfrowania, bezpiecznego użytkowania itp.

Bezpieczeństwo techniczne: Dostępność i odporność

Podmiot przetwarzający wdroży następujące techniczne środki bezpieczeństwa dotyczące dostępności i niezawodności:

1. Dostępność i niezawodność systemów i serwerów podmiotu przetwarzającego są zabezpieczone przez stronę trzecią, z którą podmiot przetwarzający zawarł umowę.
2. Tylko autoryzowani pracownicy mają dostęp do serwerów procesora.
3. Serwerownie są wyposażone w czujniki dymu i gaśnice.
4. Serwerownia posiada system klimatyzacji.
5. Istnieją zasady i wytyczne dotyczące tworzenia kopii zapasowych danych.
6. Istnieją zasady i wytyczne dotyczące przywracania danych z kopii zapasowej.
7. Kopie zapasowe są tworzone regularnie (we własnym zakresie lub u dostawcy).
8. Aktywne alarmowanie przez nieautoryzowane próby dostępu do serwerowni i/lub systemów przetwarzania i danych.
9. Używany jest zasilacz bezprzerwowy (UPS).
10. Monitorowanie temperatury i wilgotności w serwerowniach.
11. Podmiot przetwarzający posiada opisy procedur dotyczących naruszeń bezpieczeństwa danych osobowych, które są poddawane przeglądowi co najmniej raz w roku.

1. Pomoc dla kontrolera

 

3.1 Przetwarzający, o ile jest to możliwe - w zakresie i zasięgu pomocy określonej poniżej - wspiera Administratora zgodnie z punktem 8.1, 9.1 i 9.2 poprzez wdrożenie następujących środków technicznych i organizacyjnych:

 

1. Jeśli Administrator otrzyma wniosek o wykonanie jednego z praw osób, których dane dotyczą, zgodnie z obowiązującymi przepisami o ochronie danych, a właściwa odpowiedź na wniosek wymaga pomocy ze strony Podmiotu przetwarzającego, Podmiot przetwarzający udzieli Administratorowi niezbędnych i odpowiednich informacji i dokumentacji, a także odpowiednich technicznych i organizacyjnych środków bezpieczeństwa.
2. Jeżeli Administrator potrzebuje pomocy Podmiotu Przetwarzającego w celu udzielenia odpowiedzi na wniosek osoby, której dane dotyczą, Administrator musi przesłać Podmiotowi Przetwarzającemu pisemny wniosek o pomoc, a Podmiot Przetwarzający w odpowiedzi zapewni niezbędną pomoc lub dokumentację tak szybko, jak to możliwe i nie później niż 7 dni kalendarzowych po otrzymaniu wniosku.
3. Jeżeli Podmiot przetwarzający otrzyma wniosek o skorzystanie z praw przysługujących na mocy obowiązujących przepisów o ochronie danych osobowych od osób innych niż Administrator, a wniosek dotyczy danych osobowych przetwarzanych w imieniu Administratora, Podmiot przetwarzający bez zbędnej zwłoki przekaże wniosek Administratorowi.

 

4. Okres przechowywania/procedury pomiaru

4.1 Po zakończeniu świadczenia usług przetwarzania danych osobowych Podmiot przetwarzający usunie dane osobowe zgodnie z punktem 10.1, chyba że Administrator - po podpisaniu umowy - zmodyfikował pierwotny wybór Administratora. Taka modyfikacja powinna być udokumentowana i przechowywana w formie pisemnej, w tym elektronicznej, w związku z Klauzulami.

5. Miejsce przetwarzania

5.1 Przetwarzanie danych osobowych na podstawie niniejszych klauzul nie może odbywać się w innych lokalizacjach niż wymienione poniżej bez uprzedniej pisemnej zgody Administratora:

Hetzner Online GmbH,

VAT Reg. Nr: DE812871812 Industriestr. 25

91710 Gunzenhausen w Niemczech

6. Instrukcja przekazywania danych osobowych do państw trzecich

6.1 Dane osobowe są przetwarzane przez Podmiot Przetwarzający wyłącznie w lokalizacjach określonych w Klauzuli C.5. Podmiot przetwarzający nie przekazuje danych osobowych do państw trzecich ani organizacji międzynarodowych.

6.2 Jeśli Administrator nie przekaże udokumentowanych instrukcji w niniejszych klauzulach lub później w odniesieniu do przekazywania danych osobowych do państwa trzeciego, Podmiot przetwarzający nie jest uprawniony do dokonywania takich transferów w zakresie niniejszych klauzul.

6.3 Przekazywanie danych osobowych może we wszystkich przypadkach odbywać się wyłącznie zgodnie z niniejszymi klauzulami, na polecenie Administratora i w zakresie dozwolonym przez obowiązujące przepisy o ochronie danych.

6.4 W przypadku, gdy zgodnie z niniejszymi klauzulami Podmiot przetwarzający przekazuje dane osobowe podprzetwarzającym dane w państwach trzecich poza UE/EOG, Podmiot przetwarzający musi niezależnie zapewnić podstawę prawną do przekazania danych zgodnie z rozdziałem 5 RODO.

7. Procedury przeprowadzania przez Administratora audytów, w tym inspekcji, przetwarzania danych osobowych przez Podmiot przetwarzający.

7.1 Przetwarzający, na pisemne żądanie Administratora, udokumentuje Administratorowi, że Przetwarzający

7.1.1 przestrzega swoich zobowiązań wynikających z niniejszych klauzul i Instrukcji, oraz

7.1.2 z odpowiednimi artykułami RODO w odniesieniu do danych osobowych przetwarzanych w imieniu Administratora.

 

7.2 Zgodnie z klauzulą C.7.1 Dokumentacja Podmiotu Przetwarzającego zostanie przesłana Administratorowi w rozsądnym terminie po otrzymaniu żądania.

 

7.3 Podmiot przetwarzający musi dostarczyć administratorowi dokumentację ciągłej compliance z przepisami. Te raporty z autokontroli muszą być przygotowywane co najmniej raz w roku i muszą być zgodne z zasadami i celami kontroli standardu audytu ISAE 3000, określonymi przez Common Strategic Framework (CSF) - duńskich audytorów i Duńską Agencję Ochrony Danych oraz ISAE 3402 (i/lub alternatywnie uznanymi międzynarodowymi standardami, takimi jak ISO/IEC 27701:2019). Raporty z samokontroli mogą być przeprowadzane w ramach gromadzenia informacji przez administratora danych i muszą być podpisane przez kierownictwo podmiotu przetwarzającego. W celu zaspokojenia potrzeb Administratora Danych w zakresie wglądu i zapewnienia bezpiecznego przetwarzania danych osobowych przez Podmiot Przetwarzający Dane, Podmiot Przetwarzający Dane musi co 12 miesięcy przeprowadzać audyt compliance Podmiotu Przetwarzającego Dane z Klauzulami, w tym z określonymi wdrożonymi środkami bezpieczeństwa, przez zewnętrzną niezależną stronę trzecią i przesyłać pełną dokumentację Administratorowi Danych.

 

7.4 Niezależnie od klauzuli C.7.3Podmiot Przetwarzający będzie ponadto zapewniać i uczestniczyć w audytach i inspekcjach przeprowadzanych przez audytorów wyznaczonych przez Administratora, organy publiczne we właściwej jurysdykcji, w zakresie niezbędnym do weryfikacji compliance Podmiotu Przetwarzającego z niniejszymi klauzulami i obowiązującymi przepisami o ochronie danych. Audytor, o którym mowa, musi podlegać poufności na mocy prawa lub umowy. Administrator musi powiadomić o audytach na piśmie w ciągu 14 dni kalendarzowych.

8. Procedury audytów, w tym inspekcji, przetwarzania danych osobowych przez podwykonawców przetwarzania.

 

8.1 Przetwarzający zobowiązany jest co najmniej raz na 12 miesięcy przeprowadzać na własny koszt audyt podprzetwarzających Przetwarzającego i przedkładać Administratorowi dokumentację z tego audytu.

8.2 Strony uzgadniają, że w tym celu można zastosować raport niezależnego biegłego rewidenta ISAE 3000.

 

C.8. [JEŻELI DOTYCZY] Procedury audytów, w tym inspekcji, przetwarzania danych osobowych przez podwykonawców przetwarzania.

Podmiot przetwarzający dane co roku na koszt PODMIOTU przetwarzającego dane uzyskuje od niezależnej strony trzeciej [RAPORT AUDYTORA/RAPORT Z KONTROLI] dotyczący compliance podprzetwarzającego z RODO, obowiązującymi przepisami UE lub państwa członkowskiego o ochronie danych oraz niniejszymi klauzulami.

Strony uzgodniły, że następujące rodzaje [RAPORTU AUDYTORA/RAPORTU Z INSPEKCJI] mogą być stosowane compliance z Klauzulami:

• Raport z audytu Hetzner TUEV 
• Zaktualizowane certyfikaty ISO/IEC 27001:2013
• compliance z art. 28 i 32 dokumentacji Hetzner_GDPR

SPRAWOZDANIE AUDYTORA jest bez zbędnej zwłoki przekazywane administratorowi danych w celach informacyjnych. Administrator danych może zakwestionować zakres i/lub metodologię raportu i może w takich przypadkach zażądać nowego audytu/inspekcji w zmienionym zakresie i/lub innej metodologii.

Na podstawie wyników takiego audytu/kontroli administrator danych może zażądać podjęcia dalszych środków w celu zapewnienia compliance z RODO, obowiązującymi przepisami UE lub państwa członkowskiego o ochronie danych oraz niniejszymi klauzulami.

Podmiot przetwarzający dane lub przedstawiciel podmiotu przetwarzającego dane ma ponadto dostęp do kontroli, w tym kontroli fizycznej, miejsc, w których podprzetwarzający przetwarza dane osobowe, w tym obiektów fizycznych oraz systemów wykorzystywanych do przetwarzania i związanych z przetwarzaniem. Taka inspekcja zostanie przeprowadzona, gdy podmiot przetwarzający dane (lub administrator danych) uzna to za wymagane.

Dokumentacja z takich kontroli zostanie niezwłocznie przekazana administratorowi danych do wiadomości. Administrator danych może zakwestionować zakres i/lub metodologię raportu i może w takich przypadkach zażądać przeprowadzenia nowej kontroli w zmienionym zakresie i/lub z zastosowaniem innej metodologii."

Administrator danych może - w razie potrzeby - zdecydować się na zainicjowanie i udział w fizycznej kontroli podprzetwarzającego. Może to mieć zastosowanie, jeśli administrator danych uzna, że nadzór podmiotu przetwarzającego dane nad podwykonawcą przetwarzania nie zapewnił administratorowi danych wystarczającej dokumentacji, aby stwierdzić, że przetwarzanie przez podwykonawcę przetwarzania odbywa się zgodnie z klauzulami.

Udział administratora danych w inspekcji podwykonawcy przetwarzania nie zmienia faktu, że podmiot przetwarzający dane nadal ponosi pełną odpowiedzialność za compliance podwykonawcy przetwarzania z RODO, obowiązującymi przepisami UE lub państwa członkowskiego o ochronie danych oraz niniejszymi klauzulami".

Koszty podmiotu przetwarzającego i podprzetwarzającego związane z fizycznym nadzorem/kontrolą w obiektach podprzetwarzającego nie dotyczą administratora danych - niezależnie od tego, czy administrator danych zainicjował i uczestniczył w takiej kontroli.    

• Umowa powierzenia przetwarzania danych nie reguluje innych kwestii.