UMOWA PRZETWARZANIA DANYCH OSOBOWYCH W IMIENIU ADMINISTRATORA

(1)

innogy Stoen Operator Sp. z o.o.

adres do korespondencji:

ul. Nieświeska 52 03-867 Warszawa T +48 22 821 31 31 F +48 22 821 31 32 E operator@innogy.com I www.innogystoenoperator.pl I e-bok.innogystoenoperator.pl

d o t y c z y : n r w arunkó w techn icznych …… …… ……… …… …… ……… … ……… …… …… ……… … …….

z a w a r t a w Wa r s z a w i e w d n i u . . . r . ⁽w y p e ł n i a i n n o g y S t o e n O p e r a t o r S p . z o . o )

pomiędzy:

innogy Stoen Operator Sp. z o. o. z siedzibą w Warszawie przy ul. Pięknej 46, kod pocztowy 00-672 Warszawa, wpisaną do Krajowego Rejestru Sądowego pod nr 0000270640, Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy, z kapitałem zakładowym w wysokości 2 628 938 750 zł, NIP 525-238-60-94, zwaną dalej innogy Stoen Operator, zwanym dalej „Administratorem”, reprezentowanym przez:

1 .. ...

2 ...

a Projektantem:

(imę i nazwisko )……….,

pełny adres zamieszkania : ...,

podającym następujące dane: NIP..., PESEL ……….……….,

nr dowodu osobistego ………..………

zwaną/zwanym dalej „Podmiotem Przetwarzającym”,

o następującej treści:

Adres do korespondencji: ………

(adres na który ma zostać odesłany 1 egz. umowy)

§ 1 DEFINICJE

Strony niniejszej Umowy Powierzenia zgodnie postanawiają nadać poniższym pojęciom następujące znaczenie:

1. Umowa Główna – umowa o przyłączenie nr ……… zawarta przez Strony/warunki nr………;

2. Umowa Powierzenia – niniejsza Umowa przetwarzania danych osobowych w imieniu Administratora;

3. Dane Osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przetwarzane przez Podmiot Przetwarzający na podstawie Umowy Powierzenia;

4. Przetwarzanie Danych Osobowych - operacja lub zestaw operacji wykonywanych na Danych Osobowych

lub zestawach Danych Osobowych w sposób zautomatyzowany

lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie

(2)

poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

5. Naruszenie ochrony Danych Osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

6. Podprocesor – podmiot, z którego usług Podmiot Przetwarzający korzysta do wykonania w imieniu Administratora konkretnych czynności przetwarzania Danych Osobowych;

7. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

8. EOG – Europejski Obszar Gospodarczy.

§ 2

PRZEDMIOT UMOWY

1. Na podstawie niniejszej Umowy Powierzenia Administrator powierza Podmiotowi Przetwarzającemu Dane Osobowe.

2. Strony zgodnie określają następujące kategorie osób, których dotyczą Dane Osobowe:

właściciele/współwłaściciel/zarządcy/spadkobiercy nieruchomości.

3. Strony zgodnie określają następujące rodzaje Danych Osobowych, którego podlegają powierzeniu na podstawie Umowy Powierzenia:

a) imię i nazwisko, b) data urodzenia,

c) adres zamieszkania: ulica, nr domu, lokalu, kod pocztowy, miejscowość, d) adres korespondencyjny: ulica, nr domu, lokalu, kod pocztowy, miejscowość, e) adres zameldowania: ulica, nr domu, lokalu, kod pocztowy, miejscowość, f) numer telefonu/ numery telefonów,

g) adresy e-mail, h) nr PESEL, i) NIP, j) REGON,

k) wpis do ewidencji działalności gospodarczej CEIDG, l) rodzaj dowodu tożsamości,

m) seria i nr dowodu tożsamości,

n) paszport/ karta pobytu/ dokument tożsamości (w przypadku obcokrajowca), o) nr rachunku bankowego,

p) imię i nazwisko właściciela rachunku bankowego,

q) inne: _________________________________________________________

4. Dane Osobowe podlegają procesom przetwarzania określonym w Umowie Głównej.

5. Na powierzonych Danych Osobowych mogą być realizowane następujące operacje przetwarzania:

a) zbieranie, b) utrwalanie, c) organizowanie, d) porządkowanie, e) przechowywanie, f) adaptowanie, g) modyfikowanie, h) pobieranie, i) przeglądanie, j) wykorzystywanie, k) dopasowywanie, l) łączenie,

m) ograniczanie, n) usuwanie, o) niszczenie,

(3)

p) inne: _________________________________________________________

6. Dane Osobowe mogą być przetwarzanie przez czas obowiązywania Umowy Powierzenia i Umowy Głównej.

§ 3

OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO Na podstawie niniejszej Umowy Powierzenia Podmiot Przetwarzający zobowiązuje się:

1. przetwarzać Dane Osobowe zgodnie z RODO, innymi obowiązującymi przepisami prawa i postanowieniami Umowy Powierzenia;

2. przetwarzać Dane Osobowe, a w szczególności przechowywać Dane Osobowe tylko tak długo, jak to określił Administrator, tylko w takim celu i granicach, jaki wynika wprost z realizacji Umowy Głównej, a także poprawiać, anonimizować, blokować lub usunąć wskazane Dane Osobowe wyłącznie na polecenie Administratora i zgodnie z wytycznymi Administratora, w tym w granicach polecenia i wytycznych;

3. udzielić dostępu do Danych Osobowych wyłącznie pracownikom i współpracownikom Podmiotu Przetwarzającego lub Podprocesora, którzy są przeszkoleni w zakresie ochrony danych osobowych zgodnie z RODO i innymi obowiązującymi przepisami prawa, posiadają upoważnienie do przetwarzania Danych Osobowych, są zobowiązani do zachowania tajemnicy, a udzielenie dostępu na ich rzecz może nastąpić wyłącznie w celu i granicach wykonywania obowiązków wynikających z Umowy Powierzenia;

4. prowadzić wstępne oraz cykliczne (tak częste, aby zapewnić odpowiedni poziom wiedzy) szkolenia z zakresu ochrony danych osobowych w stosunku do pracowników i współpracowników Podmiotu Przetwarzającego, na rzecz których udzielony jest dostęp do Danych Osobowych;

5. biorąc pod uwagę charakter przetwarzania Danych Osobowych, wspierać Administratora w zapewnianiu odpowiednich środków technicznych i organizacyjnych zabezpieczenia Danych Osobowych oraz, o ile to możliwe, w celu spełnienia obowiązków ciążących na Administratorze, pomagać Administratorowi w realizacji praw osób, których dotyczą Dane osobowe, w szczególności w zakresie realizacji praw wynikających z rozdziału III RODO;

6. wspierać Administratora oraz współpracować z Administratorem w wykonywaniu zadań Administratora, w szczególności na żądanie organu nadzorczego. Zobowiązanie Podmiotu Przetwarzającego do współpracy z Administratorem i udzielenia wsparcia Administratorowi w szczególności dotyczy sytuacji, w której w związku z przetwarzaniem Danych Osobowych powierzonych na podstawie niniejszej Umowy Powierzenia Administrator podlega kontroli prowadzonej przez organ nadzorczy lub wobec Administratora

zostało wszczęte postępowanie

w sprawie o wykroczenie lub postępowanie karne lub osoba, której dane dotyczą lub osoba trzecia dochodzi przeciwko Administratorowi jakiegokolwiek roszczenia, w tym roszczenia cywilnego.

§ 4

ŚRODKI TECHNICZNE I ORGANIZACYJNE

1. Podmiot Przetwarzający oświadcza, że wdrożył i stosuje środki techniczne i organizacyjne co najmniej w takim zakresie, w jakim zostało to określone w § 12 Umowy Powierzenia i zawsze w stopniu nie mniejszym niż wymagany na mocy art. 32 RODO.

2. Podmiot Przetwarzający, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osoby, której dane dotyczą, a także wszelkie dostępne środki, w celu zapewnienia zgodności przetwarzania Danych Osobowych z przepisami wskazanymi w art. 32 do 36 RODO, zobowiązany jest pomagać Administratorowi w wypełnianiu obowiązków Administratora.

3. Podmiot Przetwarzający zapewnia, że środki techniczne i organizacyjne wskazane w ust. 1 powyżej, stosowane przez Podmiot Przetwarzający w ramach Umowy Powierzenia, są:

a) odpowiednie dla zapewnienia bezpieczeństwa Danych Osobowych, biorąc pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych;

b) wdrożone i stosowane w sposób wskazany przez Administratora, nie wyłączając przy tym wdrożenia i stosowania środków, wynikającego z obowiązków Podmiotu Przetwarzającego, w celu zapewniania zgodności z właściwymi przepisami prawa.

4. Administrator ma prawo wydawać Podmiotowi Przetwarzającemu, na podstawie bezpośrednio lub pośrednio wynikającej z RODO lub innych obowiązujących przepisów prawa, instrukcje dotyczące sposobu lub

środków zabezpieczenia Danych Osobowych oraz przetwarzania

(4)

Danych Osobowych. Podmiot Przetwarzający jest zobowiązany do wdrożenia środków według instrukcji, o których mowa w zdaniu poprzednim w terminie wyznaczonym przez Administratora pod rygorem uprawnienia Administratora do rozwiązania Umowy ze skutkiem natychmiastowym. Administrator, wyznaczając termin, o którym mowa w zdaniu poprzednim, uwzględni stopień skomplikowania wdrożenia środków będących przedmiotem instrukcji.

5. Podmiot Przetwarzający jest zobowiązany do monitorowania aktualności środków techniczno-organizacyjnych stosowanych w ramach Umowy Powierzenia oraz informowania Administratora o pojawieniu się udoskonalonych rozwiązań dla zapewnienia bezpieczeństwa Danych Osobowych. Po otrzymaniu pisemnego potwierdzenia od Administratora dla wprowadzenia aktualizacji, Podmiot Przetwarzający jest zobowiązany do ich niezwłocznego wdrożenia i stosowania dla zabezpieczenia Danych Osobowych.

6. Podmiot Przetwarzający przyjmuje do wiadomości, że wykazanie przez Podmiot Przetwarzający stosowania odpowiednich środków technicznych i organizacyjnych może nastąpić przez: stosowanie zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO lub certyfikację zgodnie z zatwierdzonym mechanizmem certyfikacji na podstawie art. 42 RODO.

§ 5

KORZYSTANIE PRZEZ PODMIOT PRZETWARZAJĄCY Z USŁUG PODPROCESORA

1. Podmiot Przetwarzający nie jest uprawniony do korzystania przy wykonaniu Umowy Powierzenia z usług Podprocesora, chyba że:

a) Podmiot Przetwarzający otrzymał uprzednią pisemną, pod rygorem nieważności, zgodę od Administratora na korzystanie z usług Podprocesora oraz

b) do umowy zawartej między Podmiotem Przetwarzającym a Podprocesorem wprowadzono postanowienia, zgodnie z którymi na Podprocesorze spoczywają te same obowiązki, które ciążą na Podmiocie Przetwarzającym zgodnie z Umową Powierzenia.

2. Zgoda, o której mowa ust. 1 lit. a) powyżej może być wydana przez Administratora także z zastrzeżeniem i pod warunkiem spełnienia przez Podmiot Przetwarzający lub Podprocesora dodatkowych wymogów wskazanych przez Administratora.

3. Uzyskanie przez Podmiot Przetwarzający zgody Administratora, o której mowa w ust. 1 lit. a) powyżej nie zwalnia Podmiotu Przetwarzającego w całości ani w części z odpowiedzialności przed Administratorem za przetwarzanie Danych Osobowych przez Podmiot Przetwarzający lub przez Podprocesora w sposób zgodny z Umową Powierzenia, RODO i innymi obowiązującymi przepisami prawa.

4. Podmiot Przetwarzający gwarantuje Administratorowi, że w razie korzystania przez z usług Podprocesora (niezależnie od obowiązku uzyskania zgody Administratora, o której mowa powyżej), Podmiot Przetwarzający będzie dawał gwarancję przetwarzania Danych Osobowych w sposób zgodny z Umową Powierzenia, RODO i innymi obowiązującymi przepisami prawa, w szczególności stosował będzie środki techniczne i organizacyjne w zakresie wiążącym Podmiot Przetwarzający, a przetwarzanie Danych Osobowych przez Podprocesora nie spowoduje Naruszenia ochrony danych. Podmiot Przetwarzający gwarantuje Administratorowi zachowanie poufności przez Podprocesora co do Danych Osobowych.

5. Korzystanie przez Podmiot Przetwarzający z usług Podprocesora przy wykonywaniu czynności przetwarzania Danych Osobowych, dokonane przez Podmiot Przetwarzający z naruszeniem Umowy Powierzenia uprawnia Administratora do rozwiązania Umowy Powierzenia ze skutkiem natychmiastowym.

§ 6

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB DO ORGANIZACJI MIĘDZYNARODOWYCH

1. Podmiot Przetwarzający zobowiązuje się wobec Administratora że Dane Osobowe nie będą przekazywane poza EOG lub do organizacji międzynarodowej w rozumieniu RODO. Przetwarzanie danych osobowych odbywać się będzie wyłącznie w granicach EOG, w tym z wykorzystaniem urządzeń znajdujących się wyłącznie w granicach EOG.

2. Naruszenie przez Podmiot Przetwarzający ust. 1 powyżej uprawnia Administratora do rozwiązania Umowy powierzenia ze skutkiem natychmiastowym.

(5)

§ 7 AUDYTY

1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania przez Podmiot Przetwarzający Danych Osobowych na mocy Umowy Powierzenia, ze szczególnym uwzględnieniem audytu zgodności środków technicznych i organizacyjnych zabezpieczających przetwarzanie Danych Osobowych. Podmiot Przetwarzający zapewnia Administratorowi w każdym czasie możliwość weryfikacji przez Administratora wykonywania przez Podmiot Przetwarzający obowiązków

wynikających z obowiązujących przepisów prawa,

w tym art. 28 RODO.

2. Podmiot Przetwarzający jest zobowiązany do współpracy z Administratorem i upoważnionymi przez niego audytorami w najszerszym możliwym zakresie, w szczególności przez zapewnienie dostępu do pomieszczeń w ramach każdego audytu prowadzonego przez Administratora.

3. Administrator jest uprawniony do przeprowadzania audytu w zakresie prawidłowości przetwarzania Danych Osobowych przez Podmiot Przetwarzający w granicach wynikających z Umowy Głównej i Umowy Powierzenia oraz żądania składania przez Podmiot Przetwarzający pisemnych wyjaśnień w tym zakresie.

Przeprowadzenie audytu będzie poprzedzone zawiadomieniem Podmiotu Przetwarzającego o zamiarze przeprowadzenia audytu ze wskazaniem daty i godziny planowanego audytu, skierowanym co najmniej 7 dni przed planowanym terminem audytu. W przypadku powzięcia informacji przez Administratora o nieprawidłowościach

w zakresie przetwarzania Danych Osobowych w ramach Umowy Głównej lub Umowy Powierzenia, audyt

może zostać przeprowadzony po zawiadomieniu przesłanym

przez Administratora na 3 dni przed planowanym terminem audytu. Zawiadomienie o audycie przesyłane będzie za pośrednictwem poczty elektronicznej na następujący adres:

...<wypełnia Klient>. Podmiot Przetwarzający jest zobowiązany do informowania Administratora na piśmie o zmianie adresu, o którym mowa w zdaniu poprzednim. Wysłanie przez Administratora zawiadomienia o audycie na ostatni adres podany przez Podmiot Przetwarzający zgodnie z Umową Powierzenia, Strony uznają za skuteczne doręczenie zawiadomienia. Skutek wymieniony

w zdaniu poprzednim następuje nawet,

jeśli w odpowiedzi na tak wysłane zawiadomienie o audycie, Administrator otrzyma automatyczną informację o nieskutecznym doręczeniu wiadomości zawierającej zawiadomienie o audycie.

4. Naruszenie przez Podmiot Przetwarzający postanowień niniejszego paragrafu uprawnia Administratora do rozwiązania Umowy Powierzenia ze skutkiem natychmiastowym.

§ 8 POUFNOŚĆ

1. Podmiot Przetwarzający jest zobowiązany do zachowania w poufności wszelkich Danych Osobowych i zapewnienia, że przed jakimkolwiek ich ujawnieniem pracownikom lub współpracownikom Podmiotu Przetwarzającego, osoby te zostaną zobowiązane do zachowania Danych Osobowych w poufności i otrzymają upoważnienie do ich przetwarzania.

2. Zobowiązanie do zachowania poufności nie wygasa po zakończeniu obowiązywania Umowy Powierzenia i ma charakter bezterminowy.

§ 9

OBOWIĄZEK ZGŁASZANIA NARUSZEŃ OCHRONY DANYCH OSOBOWYCH

1. Podmiot Przetwarzający jest zobowiązany do wdrożenia, stosowania i utrzymywania aktualności procedur służących wykrywaniu Naruszeń ochrony Danych Osobowych oraz wdrażania właściwych środków zapobiegawczych i naprawczych.

2. Podmiot Przetwarzający niezwłocznie, nie później jednak niż w terminie 24 godzin po stwierdzeniu Naruszenia ochrony Danych Osobowych, powiadamia o nim Administratora.

Powiadomienie, o którym mowa w zdaniu poprzedzającym, zawiera informacje o:

a) dacie początkowej i końcowej naruszenia oraz jego lokalizacji;

b) charakterze i skali naruszenia;

c) systemie, w którym wystąpiło naruszenie;

(6)

d) czasie potrzebnym do naprawienia szkody spowodowanej naruszeniem;

e) charakterze i zakresie Danych Osobowych objętych naruszeniem;

f) kategoriach osób, których dane dotyczą i przybliżonej liczbie osób, których dotyczy naruszenie;

g) możliwych konsekwencjach naruszenia, uwzględniając konsekwencje dla osób fizycznych, których dane dotyczą oraz proponowanych działaniach zapobiegawczych;

h) środkach podjętych w celu zminimalizowania konsekwencji naruszenia;

i) danych kontaktowych inspektora ochrony danych lub innej osoby odpowiedzialnej za obszar ochrony danych osobowych Podmiotu Przetwarzającego.

3. Powiadomienie o Naruszeniu ochrony Danych Osobowych uważa się za skutecznie dokonane, jeżeli w terminie określonym w ust. 2 powyżej, na adres poczty elektronicznej Administratora:

iod_operator@innogy.com zostanie wysłana wiadomość o treści przewidzianej w ust. 2 powyżej. O zmianie danych kontaktowych Administratora, o których mowa w niniejszym ustępie, Administrator poinformuje Podmiot Przetwarzający na piśmie lub pocztą elektroniczną na adres wskazany w § 7 ust. 3 powyżej.

Zmiana przez Administratora danych, o których mowa

w niniejszym ustępie, nie stanowi zmiany Umowy Powierzenia.

4. Podmiot Przetwarzający niezwłocznie podejmuje wszelkie rozsądne działania mające na celu ograniczenie i naprawienie negatywnych skutków Naruszenia ochrony Danych Osobowych oraz zapobieżenie podobnym zdarzeniom w przyszłości.

5. Podmiot Przetwarzający niezwłocznie informuje Administratora o działaniach podjętych w celu usunięcia skutków zaistniałego Naruszenia ochrony Danych Osobowych i zapobieżenia podobnym zdarzeniom w przyszłości.

6. Podmiot Przetwarzający nie będzie z własnej inicjatywy powiadamiał: (i) osób, których dane dotyczą albo (ii) organu nadzorczego właściwego do zgłaszania naruszeń, o naruszeniu lub możliwości wystąpienia Naruszenia ochrony Danych Osobowych.

§ 10

WNIOSKI OSÓB, KTÓRYCH DANE DOTYCZĄ

1. Podmiot Przetwarzający niezwłocznie, nie później jednak niż w terminie 3 dni roboczych od wpływu wniosku, informuje Administratora o każdym wniosku osoby, której dane dotyczą, przekazując jednocześnie dane niezbędne do udzielenia odpowiedzi na rzecz wnioskodawcy.

2. Podmiot Przetwarzający nie jest uprawniony do udzielania odpowiedzi na wniosek bez uprzedniej zgody Administratora.

3. Na polecenie Administratora i w granicach polecenia Administratora, Podmiot Przetwarzający jest zobowiązany niezwłocznie wykonywać żądane przez Administratora operacje na Danych Osobowych, w tym uaktualnić, poprawić, zmienić lub usunąć Dane Osobowe.

§ 11

ODPOWIEDZIALNOŚĆ

1. Podmiot Przetwarzający jest odpowiedzialny za szkodę poniesioną przez Administratora na skutek działań lub zaniechań Podmiotu Przetwarzającego lub w związku z naruszeniem przez Podmiot Przetwarzający RODO, innych obowiązujących przepisów prawa lub postanowień Umowy Powierzenia. Postanowienie to ma zastosowanie w szczególności, gdyby w następstwie działania lub zaniechania Podmiotu Przetwarzającego lub naruszenia przez Podmiot Przetwarzający postanowień Umowy Powierzenia, na Administratora została nałożona kara pieniężna lub w sytuacji, w której Administrator byłby zobowiązany do jakiegokolwiek rodzaju świadczenia, w tym z tytułu naprawienia szkody.

2. Podmiot Przetwarzający jest zwolniony od odpowiedzialności, o której mowa w ust. 1 powyżej wyłącznie w przypadku udowodnienia, że szkoda powstała wskutek siły wyższej, wyłącznej winy Administratora lub wyłącznej winy osoby trzeciej, za którą Podmiot Przetwarzający nie ponosi odpowiedzialności. Na tej samej

zasadzie Podmiot Przetwarzający ponosi odpowiedzialność

za Podprocesorów.

(7)

§ 12

TECHNICZNE I ORGANIZACYJNE ŚRODKI BEZPIECZEŃSTWA

1. Podmiot Przetwarzający zobowiązuje się stosować co najmniej następujące techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia poufności Danych Osobowych:

1.1. Kontrola dostępu fizycznego:

a) budynki należące lub wykorzystywane jako składnik przedsiębiorstwa Podmiotu Przetwarzającego są odpowiednio zabezpieczone np. w system alarmowy;

b) drzwi wejściowe do któregokolwiek z ww. budynków są wyposażone w systemy kontroli dostępu;

c) uprawnienia dostępu w ramach ww. systemu zamykania są dokumentowane z podaniem nazwisk osób uprawnionych;

d) wejścia osób spoza przedsiębiorstwa Podmiotu Przetwarzającego, w tym gości, do któregokolwiek z ww. budynków są dokumentowane z podaniem nazwisk tych osób lub dostęp i przebywanie tych osób odbywają się wyłącznie w towarzystwie pracowników Podmiotu Przetwarzającego.

1.2. Kontrola dostępu do zasobów IT:

a) sieć Podmiotu Przetwarzającego jest chroniona od strony sieci publicznej przez wdrożone zabezpieczenia sieci IP;

b) pracownicy są zobowiązani do przestrzegania następujących zaleceń w odniesieniu do haseł:

• każdy pracownik ma indywidualne hasło do komputera i ma obowiązek utrzymywania go w tajemnicy;

• nie używa się haseł zbiorowych;

• wymuszana jest cykliczna zmiana hasła;

c) na serwerach używany jest system antywirusowy;

d) na wszystkich stacjach roboczych używany jest system antywirusowy;

e) aktualizacje oprogramowania związane z bezpieczeństwem są regularnie i automatycznie wgrywane do istniejącego oprogramowania.

1.3. Kontrola dostępu użytkowników do danych:

1. istnieje udokumentowana koncepcja ról i uprawnień;

2. proces przyznawania uprawnień jest dokumentowany z podaniem nazwisk osób uprawnionych;

3. jeśli istnieje możliwość zdalnej konserwacji/ zdalnego dostępu, to jest on realizowany w sposób bezpieczny.

1.4. Kontrola oddzielenia danych:

a) istnieje koncepcja uprawnień dla wyżej wymienionych klientów/segmentów sieci, co wyklucza możliwość odczytywania danych przez pracowników Podmiotu Przetwarzającego, którzy nie są upoważnieni do przetwarzania danych Administratora;

b) pracownicy są zobowiązani na piśmie do niewykorzystywania informacji pochodzących z baz danych Administratora w innych projektach/do innych celów.

2. Podmiot Przetwarzający zobowiązuje się stosować co najmniej następujące techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia integralności Danych Osobowych:

2.1. Kontrola przekazywania danych:

a) wykonywane jest szyfrowanie dysków lokalnych na przenośnych stacjach roboczych w celu ochrony danych Administratora;

b) nośniki kopii zapasowych są bezpiecznie przechowywane;

c) na urządzeniach przenośnych stosowane są zabezpieczenia.

2.2. Kontrola wprowadzania danych:

a) w celu rejestracji usuwania lub modyfikacji danych Administratora dla każdego pracownika Podmiotu Przetwarzającego tworzone są pliki dziennika z wykorzystaniem nazwiska lub loginu.

3. Podmiot Przetwarzający zobowiązuje się stosować co najmniej następujące techniczne i organizacyjne środki bezpieczeństwa w celu zapewnienia dostępności Danych Osobowych:

3.1. Kontrola dostępności - kopie bezpieczeństwa danych Administratora są wykonywane regularnie.

4. Podmiot Przetwarzający zobowiązuje się stosować co najmniej następujące techniczne i organizacyjne środki bezpieczeństwa w zakresie kontroli przetwarzania danych osobowych:

4.1. Kontrola zadań

a) pracownicy Podmiotu Przetwarzającego, którzy przetwarzają Dane Osobowe, których administratorem jest Administrator, w tym mają do nich dostęp, zobowiązali się na piśmie do zachowania poufności w zakresie obsługi Danych Osobowych;

(8)

b) odbywają się szkolenia pracowników Podmiotu Przetwarzającego w zakresie ochrony Danych Osobowych;

c) Podmiot Przetwarzający stosuje procedury regularnej weryfikacji, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpiecznego przetwarzania w rozumieniu art. 32 ust. 1 RODO;

d) w przedsiębiorstwie Podmiotu Przetwarzającego istnieją uregulowania w sprawie postępowania w przypadku incydentów naruszających bezpieczeństwo, w tym bezpieczeństwo Danych Osobowych.

§ 13

CZAS TRWANIA UMOWY I JEJ ROZWIĄZANIE

1. Umowa Powierzenia zostaje zawarta z chwilą podpisania jej przez obie Strony, z mocą obowiązywania nie później niż od dnia zawarcia Umowy Głównej i do dnia zakończenia obowiązywania Umowy Głównej.

Umowa Powierzenia może zostać rozwiązana wyłącznie wskutek rozwiązania Umowy Głównej, na zasadach i w trybie właściwym dla Umowy Głównej lub w przypadkach wskazanych w niniejszej Umowie Powierzenia. Rozwiązanie Umowy Głównej oznacza rozwiązanie Umowy Powierzenia, chyba że na zasadach określonych w Umowie Głównej, mimo jej rozwiązania, zamówienia lub usługi są nadal realizowane, do czasu ich wykonania lub zakończenia. W takim przypadku, Umowa Powierzenia obowiązuje do czasu zakończenia lub zrealizowania takich usług lub zamówień i w zakresie niezbędnym do ich realizacji.

2. Skorzystanie przez Administratora z prawa do rozwiązania Umowy Powierzenia jest równoznaczne z powstaniem po stronie Administratora uprawnienia do rozwiązania Umowy Głównej ze skutkiem natychmiastowym i bez prawa Podmiotu Przetwarzającego do kierowania jakichkolwiek roszczeń wobec Administratora, w sytuacji, w której Umowa Powierzenia została rozwiązana na skutek naruszenia jej postanowień przez Podmiot Przetwarzający. Rozwiązanie Umowy w innym trybie, w tym za

porozumieniem Stron, oznacza prawo Administratora

do rozwiązania Umowy Głównej ze skutkiem na dzień rozwiązania Umowy Powierzenia i bez prawa Podmiotu Przetwarzającego do kierowania jakichkolwiek roszczeń wobec Administratora, jeżeli wykonanie Umowy Głównej nie jest możliwe w całości lub w jakiejkolwiek części bez przetwarzania Danych Osobowych przez Podmiot Przetwarzający w imieniu Administratora. W tym zakresie niniejsze postanowienie należy rozumieć jako zmianę Umowy Głównej, nawet w przypadku, w którym Umowa Główna stanowi, że jej zmiana może nastąpić, pod rygorem nieważności, wyłącznie w drodze aneksu do Umowy Głównej, podpisanego przez Strony.

3. Z chwilą rozwiązania lub zakończenia obowiązywania Umowy Powierzenia, nie później jednak niż w terminie 14 dni od dnia rozwiązania lub zakończenia obowiązywania Umowy Powierzenia, Podmiot Przetwarzający, wedle wyboru Administratora:

a) dokona, w sposób uniemożliwiający odtworzenie, usunięcia Danych Osobowych z systemów Podmiotu Przetwarzającego i zniszczenia wszystkich innych nośników Danych Osobowych (w tym w formie papierowej), lub

b) dokona zwrotu Danych Osobowych Administratorowi oraz usunie, w sposób uniemożliwiający odtworzenie, wszelkie istniejące kopie Danych Osobowych (w tym istniejące w systemach Podmiotu Przetwarzającego),

Realizacja przez Podmiot Przetwarzający zobowiązania z lit. a) albo lit. b) powyżej zostanie pisemnie zaprotokołowana przez Podmiot Przetwarzający, zaś protokół, na żądanie Administratora, zostanie Administratorowi przekazany w terminie 7 dni od dnia otrzymania żądania przez Podmiot Przetwarzający.

4. Dokumentacja służąca do wykazania, że przetwarzanie Danych Osobowych odbywało się zgodnie z Umową Powierzenia, RODO i innymi obowiązującymi przepisami prawa będzie przechowywana przez Podmiot Przetwarzający zgodnie z odpowiednimi okresami przechowywania po zakończeniu obowiązywania Umowy Powierzenia, przy czym jej przechowywanie po upływie terminu, o którym mowa w ust. 3 powyżej, nie może wiązać się z przetwarzaniem Danych Osobowych, które zgodnie z powołanym ustępem powinny być wraz z zakończeniem okresu obowiązywania Umowy Powierzenia usunięte lub zwrócone (zależnie od żądania Administratora).

§ 14

POSTANOWIENIA KOŃCOWE

1. Umowa Powierzenia została sporządzona w dwóch egzemplarzach, po jednym dla każdej ze Stron.

2. Wszelkie zmiany niniejszej Umowy Powierzenia wymagają formy pisemnej pod rygorem nieważności.

(9)

3. Wszelkie spory wynikające z Umowy Powierzenia lub z nią związane rozpoznawane będą przez sąd powszechny właściwy dla siedziby Administratora.

4. Umowa Powierzenia zastępuje wszelkie dotychczasowe ustne lub pisemne ustalenia, porozumienia, uzgodnienia i umowy w zakresie objętym jej treścią, które tracą moc z chwilą zawarcia Umowy Powierzenia.

________________________________________ _________________________________________

ADMINISTRATOR PODMIOT PRZETWARZAJĄCY