Klauzule dotyczące powierzenia danych osobowych do przetwarzania:

1) Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej również „RODO”, Bank jako administrator danych powierza Wykonawcy - jako podmiotowi przetwarzającemu w rozumieniu RODO przetwarzanie danych osobowych klientów Banku/pracowników Banku⁷ (tj.: imię, nazwisko, nr dokumentu tożsamości, nr NIP, PESEL, adres, dane dotyczące sytuacji rodzinno-majątkowej, zawodowej, finansowej, dane dotyczące czynności dokonywanych z Bankiem⁸) w celu umożliwienia Wykonawcy należytego wykonania Umowy i w zakresie niezbędnym dla realizacji tego celu. Wykonawca będzie przetwarzał ww. dane wyłącznie w celu i w zakresie wskazanym w niniejszej Umowie, niezbędnym do należytego jej wykonania, w okresie obowiązywania niniejszej Umowy. Wykonawca będzie przetwarzał dane osobowe powierzone przez Bank zgodnie z postanowieniami niniejszej Umowy oraz zgodnie z przepisami RODO.

2) Wykonawca oświadcza i zapewnia, że posiada i stosuje środki techniczne i organizacyjne odpowiadające wymogom RODO, w szczególności wymogom bezpieczeństwa przetwarzania danych osobowych. Wykonawca oświadcza, że stosowanie środków technicznych i organizacyjnych, o których wyżej mowa, zapewnia przetwarzanie przez Wykonawcę danych osobowych powierzonych przez Bank zgodnie z wymogami RODO, w sposób zapewniający ochronę praw osób, których te dane dotyczą. Wykonawca oświadcza, że stosuje kodeks postępowania dotyczący stosowania RODO przez podmioty z branży ……….⁹, zatwierdzony przez organ nadzorczy/Wykonawca oświadcza, że stosuje zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42 RODO¹⁰. W przypadku cofnięcia certyfikacji Wykonawca niezwłocznie powiadomi o tym Bank.

3) Wykonawca może przetwarzać powierzone mu dane osobowe poprzez wykonywanie czynności niezbędnych w celu realizacji Umowy.

4) Wykonawca będzie przetwarzał powierzone dane osobowe na terytorium Rzeczypospolitej Polskiej/wyłącznie na terytorium Europejskiego Obszaru Gospodarczego¹¹.

5) Wykonawca oświadcza, iż dysponuje doświadczeniem, wiedzą i wykwalifikowanym personelem, co umożliwia mu prawidłowe i rzetelne wykonanie Umowy, w szczególności w zakresie ochrony powierzonych danych osobowych.

6) Wykonawca oświadcza i zapewnia, że dysponuje środkami wymaganymi na mocy art.

32 RODO. Wykonawca oświadcza i zapewnia, że przy przetwarzaniu danych osobowych powierzonych przez Bank podejmuje wszelkie środki wymagane na mocy art. 32 RODO, tj. stosuje odpowiednie środki techniczne i organizacyjne, aby zapewnić

7 Należy wybrać właściwe, przy czym w odniesieniu do danych pracowników należy szczegółowo zweryfikować, czy w celu wykonania umowy koniecznym jest powierzenie przetwarzania danych osobowych, czy też zachodzi potrzeba udostepnienia danych osobowych pracowników Banku kontrahentowi Banku.

8 Należy wymienić dane adekwatne do danej umowy, tj. dane, które będą przetwarzane w oparciu o daną umowę.

9 Należy podać branżę, w której działa kontrahent Banku.

10 Należy wybrać jedno z dwóch ostatnich oświadczeń w przypadku, w którym kontrahent Banku stosuje zatwierdzony kodeks powstępowania dla danej branży lub zatwierdzony mechanizm certyfikacji. Jeżeli w danej branży nie został przyjęty kodeks postepowania lub kontrahent Banku go nie stosuje ani nie stosuje zatwierdzonego mechanizmu certyfikacji, to postanowienia te podlegają usunięciu.

11 Należy wybrać właściwy zakres terytorialny. Jeśli przetwarzanie powierzonych danych będzie miało miejsce wyłącznie na terytorium RP, to zasadnym jest wybranie pierwszego rozwiązania, jeśli zaś dane będą przetwarzane poza terytorium RP (lub istnieje prawdopodobieństwo przetwarzania danych poza terytorium RP), to należy wybrać drugą z przedstawionych propozycji.

29 stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

7) Wykonawca oświadcza i zapewnia, że powierzone mu dane osobowe będą przetwarzane wyłącznie przez osoby upoważnione do przetwarzania danych osobowych, które zobowiązały się do zachowania tajemnicy lub zostały poinformowane o ustawowym obowiązku zachowania tajemnicy i zostały zapoznane z zasadami ich ochrony.

8) Wykonawca zapewnia, aby osoby mające dostęp do przetwarzania danych osobowych zachowały je oraz sposoby zabezpieczeń w tajemnicy, przy czym obowiązek zachowania tajemnicy istnieje również po ustaniu zatrudnienia u Wykonawcy.

9) Wykonawca zobowiązany jest, jako podmiot przetwarzający dane osobowe, do prowadzenia rejestru wszystkich kategorii czynności przetwarzania¹² dokonywanych w imieniu Banku jako administratora danych osobowych. Rejestr, o którym mowa, będzie zawierał informacje wymienione w art. 30 ust. 2 RODO.

10) Rejestr kategorii czynności przetwarzania prowadzony będzie w formie pisemnej, przy czym pod tym pojęciem rozumie się również formę elektroniczną.

11) Wykonawca zobowiązany jest współpracować z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Na żądanie organu nadzorczego Wykonawca zobowiązany jest udostępnić organowi nadzoru rejestr wszystkich kategorii czynności przetwarzania danych dokonywanych w imieniu Banku jako administratora.

12) Wykonawca przetwarza powierzone dane wyłącznie na polecenie Banku - jako administratora, zawarte w niniejszej Umowie. Wykonawca zobowiązuje się do podejmowania działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia podmiotu przetwarzającego, która ma dostęp do powierzonych danych osobowych, przetwarzała je wyłącznie na polecenie Banku jako administratora danych osobowych.

13) Wykonawca zobowiązuje się do przestrzegania przepisów prawa, w tym przepisów RODO. Niezależnie od obowiązków wymienionych powyżej Wykonawca jest zobowiązany w szczególności:

a) wdrożyć odpowiednie środki techniczne i organizacyjne, w miarę możliwości umożliwiające Bankowi jako administratorowi wywiązywanie się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w Rozdziale III RODO;

b) pomagać Bankowi w wywiązywaniu się z obowiązków, o których mowa w art. 32-36 RODO,

c) nie korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Banku,

12 Obowiązek ten nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. Postanowienie to należy zatem uwzględniać w umowach z podmiotami, które zgodnie z RODO zobowiązane są, jako podmioty przetwarzające, do prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Z uwagi jednak na to, że w zdecydowanej większości (o ile nie wszyscy) kontrahenci Banku przetwarzają powierzone dane w sposób stały, a nie sporadyczny, przyjąć należy, że obowiązek ten będzie spoczywał na wszystkich podmiotach, którym Bank powierza przetwarzanie danych osobowych.

d) poinformować Bank o wyznaczeniu inspektora ochrony danych¹³ oraz o miejscu publikacji danych kontaktowych inspektora ochrony danych – niezwłocznie po wyznaczeniu inspektora ochrony danych,

e) udostępniać Bankowi wszelkie informacje niezbędne do wykazania spełnienia przez administratora obowiązków związanych z ochroną danych osobowych,

f) każdorazowo niezwłocznie, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, informować Bank na adres email: iod@bosbank.pl o każdym przypadku naruszenia ochrony powierzonych danych osobowych, podając informacje wymagane na podstawie art. 33 ust. 3 RODO, a w przypadku, gdy stwierdzone naruszenia mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – uczestniczyć, w zakresie określonym przez Bank, w zawiadomieniu osób, których dane dotyczą o takim naruszeniu,

g) uczestniczyć, na wniosek Banku, w przeprowadzeniu oceny skutków dla ochrony danych osobowych jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych oraz realizacji ewentualnych zaleceń organu nadzorczego, h) udostępniać Bankowi wszelkie informacje niezbędne do wykazania spełnienia przez Wykonawcę obowiązków określonych w Umowie oraz obowiązków, o których mowa w art. 28 RODO,

i) umożliwiać Bankowi lub upoważnionemu przez Bank przedstawicielowi lub audytorowi przeprowadzanie audytów i inspekcji, w tym w miejscach prowadzenia działalności przez Wykonawcę, udostępniać, w razie potrzeby, informacje niezbędne do przeprowadzenia audytu lub inspekcji oraz przyczyniać się do tych inspekcji.

Bank powiadomi Wykonawcę o zamiarze przeprowadzania ww. czynności z wyprzedzeniem, nie krótszym niż 7 dni, a Wykonawca zobowiązany jest umożliwić Bankowi przeprowadzenie przedmiotowych czynności, w szczególności poprzez udzielanie niezbędnych wyjaśnień i udostępnienie w niezbędnym zakresie dokumentacji dotyczącej realizacji niniejszych postanowień.

14) W związku z obowiązkami określonymi w pkt 13 ppkt h) i i), Wykonawca obowiązany jest niezwłocznie poinformować Bank, jeżeli zdaniem Wykonawcy wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub przepisów prawa obowiązujących w Polsce dotyczących ochrony danych osobowych.

15) Wykonawca zobowiązuje się do niezwłocznego usunięcia wszelkich nieprawidłowości stwierdzonych podczas audytów i inspekcji, o których mowa w punkcie 13 ppkt i), jednak nie później niż w terminie 14 dni od otrzymania przez Wykonawcę informacji o nieprawidłowościach.

16) Wykonawca zobowiązany jest niezwłocznie poinformować Bank o podjęciu przez organ ochrony danych osobowych wobec Wykonawcy jakichkolwiek działań w zakresie kontroli przetwarzania danych osobowych w zakresie, w jakim może ona dotyczyć przetwarzania danych powierzonych przez Bank, w szczególności informacji o rozpoczęciu kontroli przez organ ochrony danych osobowych, a także zobowiązany jest na żądanie Banku do przekazania do Banku wszelkich informacji dotyczących zakresu, wyników oraz działań podjętych przez uprawniony organ w wyniku przeprowadzonej kontroli.

17) W przypadku wyrażenia przez Bank zgody na korzystanie przez Wykonawcę, w ramach realizacji niniejszej Umowy z usług innego podmiotu przetwarzającego,

13 Postanowienie dotyczy tych podmiotów, w których w momencie zawierania z Bankiem umowy nie jest powołany inspektor ochrony danych. Należy dążyć do sytuacji, w której u każdego podmiotu będącego stroną umowy z Bankiem (któremu Bank powierza przetwarzanie danych osobowych) będzie powołany inspektor ochrony danych.

31 Wykonawca zapewnia przestrzeganie przez dalszy podmiot przetwarzający warunków i wymogów związanych z przetwarzaniem danych wskazanych w niniejszym artykule, w szczególności warunków wskazanych w ust. 1-8. W przypadku korzystania przez Wykonawcę z usług innego podmiotu przetwarzającego Wykonawca zobowiązuje się zawrzeć z tym podmiotem umowę, na mocy której na podmiot przetwarzający nałożone zostaną te same obowiązki ochrony danych jakie zostały nałożone na Wykonawcę w niniejszej Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO.

18) Jeżeli w przypadku, o którym mowa w pkt 17, inny podmiot przetwarzający dane na podstawie umowy pomiędzy Wykonawcą a tym podmiotem przetwarzającym nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, na Wykonawcy spoczywa pełna odpowiedzialność wobec Banku – jako administratora, za wypełnienie obowiązków tego podmiotu przetwarzającego, z którym Wykonawca zawarł umowę.

19) W przypadku rozwiązania bądź wygaśnięcia Umowy Wykonawca zobowiązany jest do natychmiastowego zwrotu lub całkowitego i trwałego usunięcia (zgodnie z decyzją Banku przekazaną Wykonawcy) danych osobowych powierzonych Wykonawcy do przetwarzania oraz do usunięcia wszelkich istniejących kopii tych danych, chyba że obowiązek dalszego przechowywania danych osobowych przez Wykonawcę będzie wynikał z przepisów prawa.

20) Na żądanie Banku Wykonawca jest zobowiązany, również w trakcie trwania Umowy, do natychmiastowego zwrotu lub całkowitego, trwałego usunięcia (zgodnie z decyzją Banku przekazaną Wykonawcy), w określonym przez Bank zakresie, danych osobowych powierzonych Wykonawcy do przetwarzania oraz do usunięcia wszelkich istniejących kopii tych danych, chyba że obowiązek dalszego przechowywania danych osobowych przez Wykonawcę będzie wynikał z przepisów prawa.

21) Każdorazowy zwrot lub usunięcie powierzonych danych osobowych zostanie potwierdzone protokołem podpisanym przez należycie umocowanych przedstawicieli Stron. W żadnym wypadku Wykonawca nie może żądać jakiegokolwiek dodatkowego wynagrodzenia z tytułu przetwarzania, zwrotu lub usunięcia powierzonych danych osobowych.

22) Wykonawca oświadcza, ze wyznaczył inspektora ochrony danych, o czym powiadomił organ nadzoru. Dane inspektora ochrony danych opublikowane są na stronie internetowej Wykonawcy.¹⁴

23) W przypadku naruszenia przez Wykonawcę któregokolwiek z zobowiązań wynikających z niniejszych postanowień dotyczących przetwarzania przez Wykonawcę danych osobowych powierzonych przez Bank, Wykonawca zobowiązany będzie do zapłaty na rzecz Banku kary umownej w wysokości [__]

złotych (słownie: ……….złotych) za każde naruszenie.

24) W sytuacji, w której wysokość szkody poniesionej przez Bank wskutek naruszenia ww. postanowień przez Wykonawcę przeniesie wysokość zastrzeżonej powyżej kary umownej, Bank uprawniony będzie do dochodzenia od Wykonawcy odszkodowania uzupełniającego na zasadach ogólnych.

14 Postanowienie to jest aktualne, o ile Wykonawca wyznaczył inspektora (w momencie zawierania umowy inspektor jest wyznaczony). Jeżeli Wykonawca nie wyznaczył inspektora, to aktualne jest postanowienie pkt 13) ppkt d).

25) Kary umowne płatne będą każdorazowo na podstawie noty wystawionej przez Bank, przelewem na rachunek Banku wskazany w nocie, w terminie [__] dni od dnia doręczenia noty Wykonawcy.

26) W razie niezapłacenia przez Wykonawcę kary umownej w terminie wskazanym w pkt 25, Bank będzie uprawniony do potrącenia wierzytelności przysługującej Bankowi z tytułu kary umownej z wymagalną wierzytelnością przysługującą Wykonawcy z tytułu wynagrodzenia należnego na mocy niniejszej Umowy¹⁵.