Podłoże i wprowadzenie
Strony zawarły umowę, która obejmuje usługę lub te usługi, które są określone w umowie głównej Stron („Umowa”), w której Administrator Danych kupuje towary lub usługi od Przetwarzającego do użytku wewnętrznego lub do dystrybucji do końcowych użytkowników danych. Niniejsza Umowa powierzenia zostaje zawarta jako załącznik do Umowy.
Umowa powierzenia danych określa prawa i obowiązki, które mają zastosowanie, gdy podmiot przetwarzający dane przetwarza dane osobowe w imieniu administratora danych, a umowa powierzenia ma na celu przestrzeganie przez strony art. 28 ust. 3 RODO.
Istnieją dwa załączniki do Umowy powierzenia, które stanowią integralną część Umowy powierzenia:
Załącznik 3.3 zawiera instrukcje Administratora Danych dla Przetwarzającego Dane dotyczące sposobu przetwarzania Danych Osobowych przez Podmiot Przetwarzający oraz typów Danych Osobowych objętych tym Przetwarzaniem.
Załącznik 8.2 zawiera opis środków bezpieczeństwa Podmiotu Przetwarzającego.
1.1 Powiadomienia wydane na podstawie Umowy powierzenia należy przesyłać na piśmie pocztą elektroniczną. Wszelkie porozumienia między Stronami, które częściowo lub w całości zastępują warunki niniejszej Umowy powierzenia przetwarzania danych, muszą zostać zawarte na piśmie, zanim taka umowa stanie się ważna.
2.1 Poniższa lista definiuje wymienione terminy używane w Umowie powierzenia przetwarzania danych. Niezależnie od tego, czy definicja jest wyrażona w liczbie pojedynczej, definicja obejmuje również liczbę mnogą i odwrotnie. Odniesienia do załączników, klauzul i podrozdziałów są rozumiane jako odniesienia do załączników, klauzul i podrozdziałów Umowy powierzenia przetwarzania danych, chyba że inaczej wynika, wyraźnie określono lub jest interpretowane z kontekstu.
Obowiązujące prawo
Oznacza dowolne z poniższych przepisów w zakresie, w jakim mają one zastosowanie do Strony: wszelkie ustawy, rozporządzenia, akty prawne, przepisy pierwotne lub wtórne, w tym obowiązujące prawo duńskie oraz wszelkie przepisy krajowe wdrażające dyrektywę 95/46 / WE z dnia 24 października 1995 r. jako aktualne RODO, wszelkie wiążące orzeczenia lub orzeczenia sądowe, wszelkie obowiązujące praktyki handlowe, zasady lub normy podlegające wykonaniu przez prawo oraz obowiązujące instrukcje, zasady, wymagania, zasady lub zarządzenia wydane przez organ.
Administrator danych
Oznacza osobę prawną, która określa cele i sposoby przetwarzania danych osobowych.
Przetwarzający Dane
Oznacza osobę prawną, która przetwarza Dane Osobowe w imieniu Administratora.
Podmiot danych
Oznacza osobę fizyczną, której dane osobowe są przetwarzane.
RODO
Oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. W sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 / WE (ogólne rozporządzenie o ochronie danych).
Dane osobowe
Oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiotu danych); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora w rozumieniu RODO i zebranych informacji przez Administratora, Podmiot Przetwarzający lub jakiekolwiek oddziały, przedstawicieli lub podobne podmioty powiązane z Administratorem lub Podmiotem Przetwarzającym.
Przetwarzanie
Oznacza każdą czynność lub zakres czynności, które są wykonywane na Danych Osobowych lub zbiorach Danych Osobowych, niezależnie od tego, czy są one zautomatyzowane, czy nie i mogą obejmować przekazywanie Danych Osobowych do dowolnego kraju w Unii Europejskiej i na terenie Europejskiego Obszaru Gospodarczego posiadającego odpowiedni poziom bezpieczeństwa.
Naruszenie bezpieczeństwa
Oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Usługi
Oznacza usługi, które Podmiot Przetwarzający musi dostarczyć Administratorowi Danych lub które Podprzetwarzający musi dostarczyć Podmiotowi Przetwarzającemu zgodnie z Umową.
Podwykonawca
Oznacza podwykonawcę wyznaczonego przez Przetwarzającego do przetwarzania Danych Osobowych w imieniu Administratora danych na zlecenie Przetwarzającego.
Kraje trzecie
Oznacza każdy kraj poza zakresem RODO w Europejskim Obszarze Gospodarczym (EOG), z wyjątkiem zatwierdzonych krajów, które Komisja Europejska od czasu do czasu uznaje za zapewniające odpowiedni poziom ochrony danych osobowych.
2.2 Załączniki do Umowy powierzenia stanowią integralną część Umowy powierzenia danych i muszą być odpowiednio egzekwowane, a wszelkie odniesienia do Umowy powierzenia zawierają załączniki do niniejszej Umowy.
2.3 Odniesienie do „na piśmie” lub „pisemnie” oznacza wiadomość e-mail.
2.4 Nagłówki w Umowie o przetwarzanie danych są stosowane w celu zapewnienia jasności i jako odniesienia. Nagłówki nie wpłyną na znaczenie ani interpretację Umowy powierzenia przetwarzania danych.
3.1 Administrator danych wyznacza EET jako podmiot przetwarzający dane w związku z Umową powierzenia przetwarzania danych.
3.2 W przypadku, gdy jedna ze Stron zostanie wyznaczona przez osobę trzecią jako podmiot przetwarzający dane, niniejsza Umowa powierzenia danych musi być wykorzystana jako podstawa do wyznaczenia Przetwarzającego Danych jako Podprzetwarzającego. W takim przypadku strona trzecia staje się administratorem danych, a Administrator danych w Umowie powierzenia danych stanie się podmiotem przetwarzającym dane, a Podmiot przetwarzający dane w Umowie powierzenia danych stanie się Podprzetwarzającym.
3.3. Strony potwierdzają i zgadzają się, że Dane Osobowe przetwarzane na podstawie Umowy powierzenia są proporcjonalne do celu Stron przetwarzania. Dodatkowe informacje, kategorie danych i osoby, których dane dotyczą, itp. są wymienione w załączniku 3.3, który może zostać zmieniony przez strony poprzez pisemne przedłożenie zaktualizowanych wykazów.
4.1 Administrator Danych jest odpowiedzialny za zapewnienie odpowiednich podstaw prawnych do Przetwarzania Danych Osobowych, do wykonania którego Administrator Danych został polecony.
4.2 Przetwarzający dane przetwarza ogólne dane osobowe, a podmiot przetwarzający dane potwierdza, że dane osobowe są poufne. Przetwarzający Dane może Przetwarzać Dane Osobowe wyłącznie w celu opisanym w Umowie i zgodnie z instrukcjami podanymi w Załączniku 3.3. Przetwarzający Dane musi zapewnić, że wszystkie osoby zatrudnione przez Podmiot Przetwarzający i Przetwarzające Dane Osobowe są zobowiązane do zachowania poufności lub podlegają odpowiednim ustawowym obowiązkom zachowania poufności.
4.3 Przetwarzający Dane jest zobowiązany do Przetwarzania Danych Osobowych w dowolnym czasie zgodnie z Obowiązującym Prawem i innymi przepisami dotyczącymi prywatności lub ochrony danych oraz wyłącznie w celu i w sposób, w jaki Administrator Danych zlecił Przetwarzającemu na piśmie. Przetwarzający Dane nie może przetwarzać Danych Osobowych w żaden inny sposób ani do jakichkolwiek innych celów. Oznacza to, że Przetwarzający Dane nie ma wpływu na cel i warunki Przetwarzania Danych Osobowych oraz Przetwarzający Dane nie może podejmować decyzji o sposobie wykorzystania Danych Osobowych, które otrzymuje Przetwarzający, bez względu czy Dane Osobowe mają być przekazywane stronom trzecim lub jak długo będą przechowywane dane osobowe.
4.4 Obowiązujące Prawo zobowiązuje Administratora Danych do zapewnienia, że Przetwarzający Dane udziela niezbędnych gwarancji, że Przetwarzający Dane posiada lub wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby zapobiec nieuprawnionemu lub niezgodnemu z prawem Przetwarzaniu, przypadkowej utracie, zniszczeniu lub uszkodzeniu Danych Osobowych, patrz Klauzula 8 Umowy o Przetwarzanie, tak jak Obowiązujące Prawo, zobowiązuje Administratora Danych do zapewnienia przestrzegania tych środków. Strony zgadzają się, że ochrona prywatności i bezpieczeństwo Przetwarzanych Danych Osobowych mają ogromne znaczenie.
4.5 Na żądanie Administratora Przetwarzający musi w miarę swoich możliwości udzielić Administratorowi niezbędnych informacji, tak aby Administrator mógł określić, czy zostały wdrożone odpowiednie techniczne i organizacyjne środki bezpieczeństwa, w tym procedury obsługi wniosków o zmianę, żądania dodania dodatkowych informacji do Danych Osobowych, usuwanie lub ochronę Danych Osobowych, procedury postępowania w przypadku naruszenia bezpieczeństwa, przeprowadzanie ocen skutków oraz dokonywane zmiany Danych Osobowych w wyniku uzasadnionego sprzeciwu. Ponadto Podmiot Przetwarzający musi zezwolić i uczestniczyć w audytach, w tym kontrolach warunków Administratora, środków bezpieczeństwa i przetwarzania, zgodnie z punktem 9 Umowy Powierzenia, niezależnie od tego, czy jest to przeprowadzane przez Administratora, czy też podmiot trzeci wyznaczony przez Administratora.
4.6 Gdy Przetwarzający Dane otrzyma żądanie od podmiotu którego dane dotyczą, organu prawnego lub strony trzeciej dotyczące przetwarzania, Przetwarzający Dane musi powiadomić Administratora Danych o żądaniu tak szybko, jak to możliwe po otrzymaniu żądania. Ponadto Podmiot Przetwarzający musi poinformować Administratora Danych o wszelkich istotnych informacjach dotyczących żądania. Podmiot Przetwarzający nie będzie odpowiadał na żadne zapytania bez uzyskania uprzedniej pisemnej zgody Administratora, chyba że istnieje podstawa prawna do udzielenia odpowiedzi, np. wniosek złożony przez odpowiednie organy, np. Policję.
4.7 Przetwarzający Dane musi zapewnić, że każda osoba trzecia świadcząca Usługi na rzecz Przetwarzającego Dane, która wejdzie w kontakt z Danymi Osobowymi, przestrzega odpowiednich warunków niniejszej Umowy powierzenia, w tym zasad przechowywania Danych Osobowych, okresowo ustalanych przez Strony i zawarte w instrukcjach przedstawionych w Załączniku 3.3. Wszelkie takie umowy ze stronami trzecimi wymagają formy pisemnej.
5.1 Mając na uwadze charakter Przetwarzania, Przetwarzający Dane będzie w miarę możliwości pomagał Administratorowi Danych poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych, patrz punkt 8 Umowy Powierzenia, w wywiązywaniu się z obowiązków Administratora w zakresie odpowiadania na żądania od osób, których dane dotyczą, wykonujące swoje prawa zgodnie z obowiązującym prawem.
5.2 Oznacza to, że Podmiot Przetwarzający musi w miarę możliwości pomagać Administratorowi Danych w przestrzeganiu;
Obowiązku ujawnienia przy zbieraniu danych osobowych od osoby, której dane dotyczą;
Obowiązku ujawnienia, gdy dane osobowe nie są gromadzone od osoby, której dane dotyczą;
Prawa dostępu podmiotu danych;
Prawa do poprawiania i usuwania;
Prawa do ograniczenia przetwarzania;
Obowiązku powiadomienia w związku z poprawieniem lub usunięciem Danych Osobowych lub ograniczeniem Przetwarzania;
Prawa do przenoszenia danych;
Prawa do sporu
5.3 Ponadto Podmiot Przetwarzający będzie pomagał Administratorowi Danych w zapewnieniu zgodności z obowiązkami Administratora:
Przeprowadzić ocenę wpływu na ochronę danych, jeżeli rodzaj przetwarzania może wiązać się z wysokim ryzykiem dotyczącym praw i wolności osób, których dane dotyczą; i
5.4 Wszelkie porozumienia pomiędzy Stronami dotyczące wynagrodzenia lub tym podobne w związku ze wsparciem Administratora Danych przez Administratora pojawią się w Umowie.
6.1 Podmiot przetwarzający dane przetwarza dane osobowe poza Europejskim Obszarem Gospodarczym. Lista Podprzetwarzających w krajach trzecich jest dostępna na stronie internetowej Podmiotu Przetwarzającego, patrz punkt 7.1. Podmiot przetwarzający dane musi od czasu do czasu informować Administratora danych o wszelkich nowo zatrudnionych podprzetwarzających w państwach trzecich poprzez aktualizację listy dostępnej na stronie internetowej podmiotu przetwarzającego dane i przesyłanie powiadomień o dokonaniu zmian na liście. Jeżeli określone Przetwarzanie jest wymagane zgodnie z prawem UE, Prawem właściwym lub prawem krajowym państwa członkowskiego, któremu podlega Przetwarzający, Przetwarzający Dane musi powiadomić Administratora Danych o wymogu prawnym przed rozpoczęciem Przetwarzania, chyba że takie powiadomienie jest zabronione przez Obowiązujące Prawo ze względu na ważny interes publiczny.
6.2 Gdy Przetwarzający Dane Przetwarza Dane Osobowe poza Europejskim Obszarem Gospodarczym, takie Przetwarzanie musi być zgodne z Obowiązującym Prawem oraz z wszelkimi innymi instrukcjami wydanymi przez Administratora Danych w zakresie Przetwarzania.
7.1 Podmiot Przetwarzający jest uprawniony do korzystania z Podprzetwarzających. Lista podwykonawców przetwarzania zaangażowanych przez Przetwarzającego w momencie zawarcia Umowy powierzenia przetwarzania danych znajduje się tutaj. Lista Podprzetwarzających jest zawsze dostępna dla Administratora Danych. Gdy podmiot przetwarzający dane angażuje nowych podwykonawców przetwarzania danych, podmiot przetwarzający dane aktualizuje listę. Najnowsza zaktualizowana lista Podprzetwarzających służy zawsze jako zintegrowana część Umowy powierzenia przetwarzania danych.
7.2 Podmiot Przetwarzający musi zapewnić, że każdy Podprzetwarzający zobowiązuje się na piśmie do Przetwarzania Danych Osobowych w sposób opisany w niniejszej Umowie Powierzenia, co oznacza, że Przetwarzający Dane, na żądanie Administratora, musi dostarczyć wszelkie informacje niezbędne dla Administratora Danych do ustalenia, czy zostały podjęte odpowiednie techniczne i organizacyjne środki bezpieczeństwa, w tym procedury kontroli, procedury wprowadzania zmian i uzupełnień, zakończenia usuwania lub ochrony Danych Osobowych, a także informacje o zmianach dokonanych w wyniku uzasadnionych sprzeciwów.
8.1 Przetwarzający Dane musi zastosować wszystkie odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych przed przypadkową utratą i wszelkim niezgodnym z prawem Przetwarzaniem. Mając na uwadze charakter tych działań oraz koszty związane z ich realizacją, muszą one zapewniać odpowiedni poziom bezpieczeństwa uwzględniający ryzyka związane z przetwarzaniem danych osobowych oraz ich charakter. Takie środki muszą zawsze obejmować przynajmniej środki:
Zapewnienie bezpiecznego przesyłania Danych Osobowych między Podmiotem Przetwarzającym a stronami trzecimi działającymi jako Podprzetwarzający, przy użyciu wyłącznie szyfrowanych protokołów przesyłania, takich jak HTTPS lub SSL.
Zapewnienie, że tylko upoważniony personel ma dostęp do Danych Osobowych w uzgodnionych celach, w tym środki ograniczające dostęp do Danych Osobowych poprzez utworzenie listy określającej, które z góry określone komputery na podstawie adresów IP mają dostęp do Danych Osobowych;
Przy czym Przetwarzający Dane umożliwia swoim pracownikom dostęp do Danych Osobowych wyłącznie za pośrednictwem identyfikowalnych kont, które można prześledzić według nazwy i które są wystarczająco rejestrowane, gdy są używane;
Zapewnienie danych osobowych przed nieuprawnionym i bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;
Systematyzację powtarzających się i okresowych procedur skanowania, identyfikacji i rozwiązywania bezprecedensowych problemów z bezpieczeństwem serwerów, stacji roboczych, sieci, sprzętu i aplikacji;
Celem których jest zidentyfikowanie słabości w zakresie przetwarzania danych osobowych w systemach służących do świadczenia Usługi na rzecz Administratora.
8.2 Opis działań podmiotu przetwarzającego dane przedstawiono w załączniku 8.2.
8.3 Podmiot przetwarzający dane musi ocenić i ulepszyć wdrożone środki techniczne i organizacyjne, jeśli wymagają tego wymagania lub rozwój technologiczny.
9.1 Gdy Administrator Danych wystąpi z uzasadnionym żądaniem, Przetwarzający Dane musi przekazać Administratorowi wszelkie niezbędne informacje, które pozwolą Administratorowi ocenić, czy i jak Podmiot Przetwarzający przestrzega Umowy Powierzenia. Obejmuje to informacje dotyczące środków bezpieczeństwa, o których mowa w klauzuli 8 Umowy powierzenia przetwarzania danych, informacje o procedurach tworzenia kopii zapasowych, (usiłowaniu lub podejrzeniu) włamaniu itp.
9.2 Administrator danych lub przedstawiciel Administratora danych może przeprowadzać coroczną fizyczną kontrolę w miejscu prowadzenia działalności podmiotu przetwarzającego dane, aby upewnić się, że podmiot przetwarzający dane przestrzega niniejszej umowy powierzenia przetwarzania danych.
9.3 Wszelkie wydatki poniesione w związku z kontrolą fizyczną ponosi Administrator. Podmiot przetwarzający dane będzie wynagradzany za czas i zasoby, które podmiot przetwarzający przeznaczy na umożliwienie administratorowi danych przeprowadzenia kontroli.
9.4 Ponadto Podmiot Przetwarzający lub przedstawiciel Podmiotu Przetwarzającego może przeprowadzać coroczną fizyczną kontrolę u każdego zaangażowanego Podprzetwarzającego w zakresie przestrzegania przez Podprzetwarzających danych niniejszej Umowy powierzenia przetwarzania danych. Kontrolę tę należy przeprowadzić zgodnie z wyżej wymienionymi warunkami.
9.5 Administrator może podjąć decyzję o zainicjowaniu i uczestnictwie w fizycznej kontroli u Podprzetwarzającego, jeśli uzna to za konieczne. Może to mieć znaczenie, jeżeli Administrator Danych stwierdzi, że inspekcja Podmiotu Przetwarzającego z Podprzetwarzającym nie dostarczyła Administratorowi wystarczającej pewności, że Przetwarzanie Danych Osobowych prowadzone przez Podprzetwarzającego jest zgodne z Umową Powierzenia.
9.6 Udział Administratora Danych w inspekcji u Podprzetwarzającego nie zmienia faktu, że Przetwarzający Dane ponosi wyłączną odpowiedzialność za przestrzeganie przez Podprzetwarzającego Podmiotów Obowiązującego Prawa i Umowy Powierzenia. Odpowiedzialność Podmiotu Przetwarzającego nie może przekroczyć kwoty odpowiadającej obrotowi Podmiotu Przetwarzającego w poprzednim roku kalendarzowym na mocy Umowy, jednakże kwota ta w każdym przypadku nie może przekroczyć 1 000 000 DKK.
9.7 Oprócz tego Administrator Danych może raz w roku kalendarzowym przeprowadzić audyt zgodności Podmiotu Przetwarzającego z Umową Powierzenia. Jeżeli audyt ma przeprowadzić osoba trzecia, Administrator danych musi sporządzić pisemną umowę o zachowaniu poufności ze stroną trzecią do zatwierdzenia przez Przetwarzającego przed audytem.
9.8 Aby zażądać audytu, Administrator danych musi przedstawić szczegółowy plan proponowanego audytu w ciągu czterech (4) tygodni przed proponowanymi terminami audytu do Przetwarzającego, opisując oczekiwany zakres, czas trwania i datę rozpoczęcia audytu. Przetwarzający Dane musi następnie przejrzeć plan audytu i powiadomić Administratora Danych o wszelkich przemyśleniach lub pytaniach, na przykład jeśli Administrator Danych zażąda informacji, które mogą zagrozić biznesowi, bezpieczeństwu, prywatności, stosunkowi pracy lub innym istotnym zasadom Podmiotu Przetwarzającego. Podmiot przetwarzający i administrator danych muszą wspólnie uzgodnić ostateczny plan audytu.
9.9 Jeśli zażądano audytu w obszarze objętym SSAE 16 / ISAE 3402 Typ 2, ISO, NIST, PCI DSS, HIPAA lub podobny raport z audytu sporządzony przez wykwalifikowaną stronę trzecią w ciągu ostatnich dwunastu (12) miesięcy, a podmiot przetwarzający dane potwierdza, że nie posiada wiedzy o jakichkolwiek istotnych zmianach mogących wpłynąć na wynik przeprowadzonego audytu, Administrator wyraża zgodę na te wyniki zamiast żądać audytu obszarów objętych raportem.
9.10 Audyt musi być przeprowadzony w normalnych godzinach otwarcia w lokalizacji, która jest przedmiotem obowiązków Podmiotu Przetwarzającego, a audyt nie może niepotrzebnie ingerować w działalność biznesową Podmiotu Przetwarzającego.
9.11 Administrator danych może wykorzystywać raporty z audytu wyłącznie w celu wywiązania się ze swoich zobowiązań prawnych dotyczących audytu lub potwierdzenia, że wymagania Umowy powierzenia są spełnione.
9.12 Każdy audyt przeprowadzany jest na koszt Administratora. Jeżeli Administrator danych zwróci się o pomoc do Podmiotu Przetwarzającego w związku z audytem, uważa się, że pomoc ta jest odrębną usługą świadczoną przez Podmiot Przetwarzający na rzecz Administratora, jeżeli wymaga ona zasobów wewnętrznych, zewnętrznych lub innych specjalnych zasobów. Przetwarzający dane musi uzyskać pisemną zgodę Administratora danych i zawrzeć umowę dotyczącą uiszczenia wszelkich powiązanych opłat przed przeprowadzeniem audytu.
10.1 W przypadku naruszenia bezpieczeństwa Podmiot Przetwarzający musi bez zbędnej zwłoki poinformować o tym Administratora. Jeśli to możliwe, powiadomienie należy przekazać nie później niż dwadzieścia cztery (24) godziny po wykryciu naruszenia bezpieczeństwa, tak aby administrator danych był w stanie wywiązać się ze swojego obowiązku zgłoszenia naruszenia do odpowiedniego organu nadzorczego w ciągu siedemdziesięciu dwóch (72) godziny. Podmiot przetwarzający nie może zgłaszać żadnych naruszeń bezpieczeństwa danych osobowych przetwarzanych w imieniu administratora danych.
10.2 Zawiadomienie skierowane do Administratora danych musi zawierać opis:
10.2.1 Charakter naruszenia bezpieczeństwa i środki, które podmiot przetwarzający dane proponuje lub które podmiot przetwarzający już podjął, aby ograniczyć negatywne skutki naruszenia bezpieczeństwa,
10.2.2 Kategorie osób, których dane dotyczą, przybliżona liczba osób, których dane dotyczą, oraz przybliżona liczba rejestracji danych osobowych, których to dotyczy,
10.2.3 Wykryte i prawdopodobne konsekwencje naruszenia bezpieczeństwa przetwarzania danych osobowych oraz środki podjęte lub proponowane do podjęcia przez podmiot przetwarzający dane w celu naprawienia tych konsekwencji.
10.3 Gdy tylko procesor danych wykryje naruszenie bezpieczeństwa, podmiot przetwarzający dane musi niezwłocznie podjąć wszelkie niezbędne środki, aby ograniczyć negatywne konsekwencje naruszenia bezpieczeństwa i zapobiec jego powtórzeniu się..
10.4 Podmiot Przetwarzający posiada plan awaryjny dotyczący danych, który umożliwia Podmiotowi Przetwarzającemu poinformowanie Administratora Danych o naruszeniu bezpieczeństwa, a ponadto umożliwia Stronom efektywną pracę w celu obsługi incydentu.
10.5 Jeżeli Administrator danych lub Przetwarzający dane wykryją naruszenie bezpieczeństwa, jedna Strona powiadomi o tym drugą Stronę, a obie Strony podejmą wszelkie niezbędne środki zgodnie z obowiązującym prawem, aby zapobiec lub ograniczyć dalsze naruszenia lub naruszenia bezpieczeństwa w związku z przetwarzaniem danych osobowych.
10.6 Jeżeli administrator danych ma obowiązek zgłoszenia naruszenia bezpieczeństwa, podmiot przetwarzający dane musi pomagać administratorowi danych i kierować nim, jeśli zażąda tego administrator danych..
11.1 Jeżeli Przetwarzający Danych nie wywiąże się ze swoich zobowiązań lub w inny sposób naruszy Umowę Powierzenia z powodu działań lub zaniechań Podmiotu Przetwarzającego Danych, Administrator Danych ponosi odpowiedzialność za wszelkie kary i straty finansowe.
11.2 Niezależnie od klauzuli 11.11 Umowy powierzenia przetwarzania danych, Przetwarzający nie ponosi odpowiedzialności za działania i zaniechania Administratora danych. Ponadto Przetwarzający Danych nie ponosi odpowiedzialności za swoje własne działania i zaniechania, jeśli wynikną one z przestrzegania przez Przetwarzającego Danych Obowiązującego Prawa.
11.3 W takim przypadku Administrator jest uprawniony do dochodzenia odszkodowania i zadośćuczynienia za koszty poniesione w wyniku niezgodności, pod warunkiem, że niezgodność Podmiotu Przetwarzającego nie jest spowodowana naruszeniem przez Administratora Umowy powierzenia.
11.4 Odpowiedzialność podmiotu przetwarzającego dane jest ograniczona zgodnie z opisem w punkcie 13 Umowy.
12.1 Umowa Powierzenia obowiązuje tak długo, jak Przetwarzający Dane świadczy na rzecz Administratora Usługi opisane w Umowie lub tak długo, jak podmiot przetwarzający Przetwarza Dane Osobowe w imieniu Administratora Danych.
12.2 Po wygaśnięciu Umowy powierzenia Przetwarzający Dane musi na żądanie sporządzić kopię wszystkich Danych Osobowych, które przetwarzał w imieniu Administratora Danych, dostępnych dla Administratora Danych i usunąć Dane Osobowe na żądanie. Jeżeli Administrator Danych nie zażąda kopii udostępnionych Danych Osobowych, wszystkie Dane Osobowe zostaną usunięte w ciągu trzech (3) miesięcy po wygaśnięciu Umowy.
12.3 Klauzule 12.1 i 12.2 Umowy powierzenia przetwarzania danych mają pierwszeństwo przed wszelkimi równoważnymi postanowieniami innych porozumień między Stronami, w tym Umowy.
12.4 Umowa powierzenia i Umowa są współzależne i nie można ich rozwiązać oddzielnie. Jednakże Umowa powierzenia może zostać zastąpiona inną ważną Umową powierzenia bez konieczności wypowiadania Umowy. Niezależnie od rozwiązania umów, postanowienia Umowy powierzenia będą obowiązywać do czasu zaprzestania przez Przetwarzającego Przetwarzania Danych Osobowych w imieniu Administratora oraz do czasu usunięcia przez Podmiot Przetwarzający i Podprzetwarzających wszystkich danych osobowych objętych Umową powierzenia przetwarzania danych.
13.1 Każda osoba zaangażowana w wykonywanie niniejszej Umowy powierzenia przetwarzania danych a w konsekwencji uzyskująca dostęp do Danych Osobowych objętych Umową o Powierzeniu Danych, których poufny charakter zna lub powinna znać, a która nie podlega już obowiązkowi zachowania poufności ze względu na stanowisko, zawód lub z powodu przepisów ustawowych są zobowiązani do zachowania poufności Danych Osobowych.
13.2 Klauzula 13.1 Umowy powierzenia przetwarzania danych nie ma zastosowania, jeżeli z Obowiązującego Prawa lub w inny sposób, jak określono w klauzuli 14.1 Umowy o Przetwarzaniu Danych poniżej, wynika, że osoba fizyczna jest zobowiązana do ujawnienia przedmiotowych Danych Osobowych.
13.3 Obowiązek zachowania poufności pozostaje w mocy po wygaśnięciu Umowy powierzenia.
14.1 O ile obowiązujące prawo nie stanowi inaczej, Przetwarzający Dane musi niezwłocznie powiadomić Administratora Danych o wszelkich decyzjach prawnych, administracyjnych lub arbitrażowych podjętych przez organ nadzorczy lub administracyjny lub organ publiczny, które otrzymuje Przetwarzający i które dotyczą Danych Osobowych Przetwarzający Dane w imieniu Administratora. Z zastrzeżeniem żądania Administratora danych, Przetwarzający Dane musi przekazać Administratorowi wszelkie informacje będące w posiadaniu Przetwarzającego Danych, które mogą zaspokoić roszczenie strony trzeciej oraz wszelką uzasadnioną prośbę o pomoc umożliwiającą Administratorowi udzielenie odpowiedzi na podobne roszczenie w rozsądnym terminie. Administrator Danych przyjmuje do wiadomości, że Procesor nie odpowiada za bezpośrednie uczestnictwo wobec podmiotu zgłaszającego takie roszczenie.
14.2 Strony zobowiązują się do wzajemnego informowania na piśmie o wszelkich zmianach wskazanych osób kontaktowych.
15.1 Niniejsza Umowa dotycząca przetwarzania danych jest zgodna z klauzulami określonymi w Umowie, dotyczącymi obowiązującego prawa i jurysdykcji.
Załącznik 3.3
Instrukcja dla podmiotu przetwarzającego dane
Niniejszy załącznik stanowi instrukcję Administratora Danych dla Przetwarzającego w zakresie Przetwarzania Danych Osobowych przez Podmiot Przetwarzający w imieniu Administratora Danych.
1.1.1 Gromadzenie danych osobowych jest niezbędne, aby przetwarzający dane wypełnił swoje zobowiązania wynikające z zamówienia, które administrator danych złożył sprzedawcy podmiotu przetwarzającego dane lub złożył cyfrowo za pośrednictwem sklepu internetowego podmiotu przetwarzającego dane lub poprzez integrację XML / EDI.
1.1.2 Zebrane dane osobowe są również wykorzystywane do ulepszania produktów i usług Przetwarzającego Dane. Przykłady takiego wykorzystania obejmują użyteczność w sklepie internetowym, procesy operacyjne dotyczące sprzedaży, zaopatrzenia, wyceny, przyjmowania zamówień, dystrybucji, reklamacji i obsługi klienta.
1.1.3 Zebrane Dane Osobowe mogą w szczególnych okolicznościach być udostępniane stronom trzecim, czy to dostawcom systemów w celu zarządzania Usługami określonymi w klauzuli 1.1.1 i 1.1.2, czy producentom w celu ulepszenia oferty produktów Przetwarzającego. Pełna lista podmiotów zewnętrznych jest dostępna tutaj.
1.2 Podmiotami danych są:
Osoby w wieku powyżej 18 lat.
Osoby poniżej 18 roku życia.
2.1.1 Osoby w wieku powyżej 18 lat
Ogólne dane osobowe: imię i nazwisko, adres, e-mail, numer telefonu, zatrudnienie, stanowisko i adres IP.
Wrażliwe dane osobowe: nie są przetwarzane żadne wrażliwe dane osobowe dotyczące osób w wieku powyżej 18 lat.
2.1.2 Osoby poniżej 18 roku życia
Ogólne dane osobowe: imię i nazwisko, adres, e-mail, numer telefonu, zatrudnienie, stanowisko i adres IP.
Wrażliwe dane osobowe: nie są przetwarzane żadne wrażliwe dane osobowe dotyczące osób poniżej 18 roku życia.
3.1 Poziom bezpieczeństwa Przetwarzającego Dane musi odzwierciedlać, że Przetwarzanie obejmuje normalną ilość ogólnych Danych Osobowych, dlatego należy ustanowić normalny poziom bezpieczeństwa.
3.2 Podmiot Przetwarzający jest uprawniony i zobowiązany do podjęcia działań, które są wymagane na podstawie art. 32 RODO, gdzie między innymi stwierdza się, że biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyka naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze, należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa adekwatny do ryzyka.
Z powyższego obowiązku wynika, że Podmiot Przetwarzający musi przeprowadzić ocenę ryzyka, a następnie wdrożyć środki przeciwdziałające zidentyfikowanym zagrożeniom. Może to obejmować następujące środki, w zależności od ich znaczenia: pseudonimizacja i szyfrowanie.
Zdolność do zapewnienia ciągłej poufności, integralności, dostępności i niezawodności systemów przetwarzania i usług.
Możliwość w odpowiednim czasie przywrócenia dostępności i dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego.
Procedura okresowego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania. Podmiot przetwarzający dane musi w związku z powyższym w każdym przypadku jako minimum zainicjować poziom bezpieczeństwa i środki określone w załączniku 8.2 do Umowy powierzenia przetwarzania danych.
4.1 Zgodnie z obowiązującym prawem dane osobowe nie mogą być przechowywane dłużej niż jest to konieczne do osiągnięcia celu przetwarzania. W związku z tym Strony uzgodniły, co następuje:
4.2 Przetwarzający Dane musi usunąć wszystkie Dane Osobowe, gdy tylko nastąpi jedno z poniższych zdarzeń:
biorąc pod uwagę klauzulę 4.6 Umowy powierzenia danych, gdy osoba, której dane dotyczą, zażądała usunięcia danych osobowych lub
jeśli niniejsza umowa powierzenia danych wygasa bez względu na przyczynę, a usunięcie nie narusza obowiązującego prawa.
4.3 Dane osobowe są przechowywane przez Podmiot Przetwarzający do czasu, aż Administrator Danych zażąda ich usunięcia lub zwrotu. Jednakże Dane Osobowe zostaną usunięte trzy (3) miesiące po wygaśnięciu Umowy, jeżeli Administrator Danych nie zażąda przekazania Danych Osobowych.
5.1 Dane osobowe są przekazywane do krajów trzecich. Zaangażowani Podprzetwarzający w tych Krajach Trzecich są dostępni za pośrednictwem łącza w klauzuli 7.1 Umowy o przetwarzaniu danych i przestrzegają wytycznych określonych w klauzuli 6 Umowy o przetwarzanie danych.
Załacznik 8.2
Środki bezpieczeństwa
Strony ustalają, że poziom bezpieczeństwa odzwierciedla rodzaje Przetwarzanych Danych Osobowych.
Przetwarzający dane jest uprawniony i zobowiązany do podjęcia decyzji, jakie techniczne i organizacyjne środki bezpieczeństwa zastosować w celu ustalenia niezbędnego (i uzgodnionego) poziomu bezpieczeństwa Danych Osobowych. Jednak w każdym przypadku i jako minimum Podmiot Przetwarzający musi wdrożyć następujące środki, zgodnie z ustaleniami z Administratorem:
Klasyfikacja danych osobowych w celu zapewnienia wdrożenia odpowiednich środków bezpieczeństwa w odniesieniu do ocen ryzyka.
Ocena pseudonimizacji i szyfrowania jako czynników zmniejszających ryzyko.
Ograniczenie dostępu do Danych Osobowych do odpowiednich osób, do których wymagany jest dostęp na podstawie niniejszej Umowy powierzenia lub Umowy.
Obsługuj i wdrażaj systemy, które mogą wykrywać, przywracać, przeciwdziałać i zgłaszać zdarzenia związane z Danymi Osobowymi.
Zaplanuj strukturę bezpieczeństwa i sposób przesyłania danych osobowych między stronami.
Przeprowadź oceny własnych poziomów bezpieczeństwa Przetwarzającego Dane, aby zapewnić, że obecne środki techniczne i organizacyjne są wystarczające do ochrony Danych Osobowych, zgodnie z artykułem 32 RODO dotyczącym bezpieczeństwa przetwarzania oraz artykułem 25 dotyczącym ochrony danych w fazie projektowania i domyślnej.