Data Protection Addendum | OC&C Strategy Consultants

Załącznik dotyczący ochrony danych

Niniejszy załącznik dotyczący ochrony danych („Załącznik") stanowi część każdej umowy, w której powołany został URL do niniejszego Załącznika, włączając w to, jeżeli dotyczy, Standardowe Warunki OC&C oraz warunki określone w odpowiednim liście intencyjnym (każda taka umowa zwana jest „Umową Główną") oraz zostaje zawarty pomiędzy podmiotem OC&C („Podmiot Przetwarzający”) a zleceniodawcą („Administrator”), którzy są stronami Umowy Głównej. Odwołania w niniejszym Załączniku do Umowy Głównej będą obejmować wszelkie zlecenia lub podobny wiążący dokument zawarty na podstawie takiej umowy.

Definicje

W niniejszym Załączniku, poniższe wyrażenia będą posiadać poniższe znaczenia:

„przetwarzanie", „podmiot przetwarzający", „osoba, której dane dotyczą", „dane osobowe" i „organ nadzorczy” posiadają znaczenie podane w art. 4 RODO. Odwołania do „organu nadzorczego” w niniejszym Załączniku obejmują Biuro Komisarza ds. Informacji Wielkiej Brytanii (ang. UK Information Commissioner’s Office).
„Przepisy o Ochronie Danych” oznaczają RODO i wszelkie inne obowiązujące przepisy prawa dotyczące ochrony danych osobowych i prywatności.
„RODO” oznacza Rozporządzenie (UE) 2016/679 („RODO UE”) oraz RODO UK (zgodnie z definicją w art. 3(10) Ustawy o ochronie danych z 2018 r., uzupełnioną art. 205(4) Ustawy o ochronie danych z 2018 r.) („RODO UK”).
„Dane Osobowe" oznaczają dane osobowe opisane w Aneksie 1 do niniejszego Załącznika, zmienione o wszelkie uzupełniające informacje w Umowie Głównej (razem, „Szczegóły Przetwarzania”).
„Naruszenie Ochrony Danych Osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
„warunki SCC” oznaczają standardowe klauzule umowne znajdujące się pod adresem: https://occ-prod-appsvc-cm.azurewebsites.net/media/2971/occ-sccs.pdf, które mogą zostać zaktualizowane przez Podmiot Przetwarzający w danym czasie, jeżeli będzie to zasadnie konieczne w celu przestrzegania przez którąkolwiek ze stron Przepisów o Ochronie Danych.

Zadania dotyczące ochrony danych

1. Podmiot Przetwarzający działa jako podmiot przetwarzający Administratora w zakresie przetwarzania Danych Osobowych. Żadne z postanowień niniejszego Załącznika nie zwalnia Podmiotu Przetwarzającego z jego własnych obowiązków jako podmiotu przetwarzającego wynikających z Przepisów o Ochronie Danych. Jeżeli osoba inna niż Administrator lub oprócz Administratora będzie administratorem Danych Osobowych, Administrator dokładnie i niezwłocznie przekaże Podmiotowi Przetwarzającemu instrukcje, które otrzyma od tej osoby.

2. Jeżeli będzie występować sprzeczność lub rozbieżność pomiędzy jakimikolwiek warunkami Umowy Głównej, zastosowanie znajdzie następująca kolejność obowiązywania w zakresie koniecznym do rozstrzygnięcia takiej sprzeczności lub rozbieżności: w pierwszej kolejności, zasady jakiegokolwiek warunku SCC włączonego do niniejszego Załącznika, w drugiej kolejności, wszelkie pozostałe warunki niniejszego Załącznika i w końcu, wszelkie inne warunki Umowy Głównej.

Obowiązki Podmiotu Przetwarzającego

1. Podmiot Przetwarzający:

3.1 będzie przetwarzać Dane Osobowe jedynie zgodnie z udokumentowanymi instrukcjami od Administratora (które mogą być konkretnymi instrukcjami lub instrukcjami o charakterze ogólnym, jak określono w niniejszym Załączniku, lub jak inaczej zostało to zgłoszone na piśmie Podmiotowi Przetwarzającemu przez Administratora w okresie obowiązywania Umowy Głównej), chyba że Podmiot Przetwarzający jest zobowiązany do działania w inny sposób na podstawie obowiązujących przepisów prawa Zjednoczonego Królestwa, UE lub Państwa Członkowskiego UE, którym podlega Podmiot Przetwarzający (jedynie dla przykładu, postępowania wyjaśniające ze strony organów ścigania lub organów ochrony danych), w którym to przypadku Podmiot Przetwarzający powiadomi Administratora o takich wymogach prawnych przed przetwarzaniem, chyba że właściwe przepisy prawa będą zabraniać takiej komunikacji z uwagi na ważny interes publiczny. Administrator zapewni, że wszelkie instrukcje jakie będzie przekazywać Podmiotowi Przetwarzającemu będą w pełni zgodne z Przepisami o Ochronie Danych i Administrator będzie wyłącznie odpowiedzialny za dokładność, jakość i legalność Danych Osobowych przetwarzanych przez Podmiot Przetwarzający;

3.2 niezwłocznie powiadomi Administratora jeżeli, według jego opinii, instrukcja ze strony Administratora narusza Przepisy o Ochronie Danych. Administrator przyjmuje do wiadomości, że jakiekolwiek informacje przekazane w takim zawiadomieniu nie będą stanowić porady prawnej i Administrator nie będzie polegać na nich w ten sposób;

3.3 nie będzie podzlecać żadnych ze swoich czynności przetwarzania inaczej niż zgodnie z postanowieniami niniejszego ust. 3.3. Administrator przyjmuje do wiadomości i zgadza się, że Podmiot Przetwarzający może zatrudnić podmioty podprzetwarzające w celu wykonywania którychkolwiek z usług w ramach zakresu Umowy Głównej. Z zastrzeżeniem ust. 2.4, Administrator niniejszym udziela swojego ogólnego upoważnienia Podmiotowi Przetwarzającemu do zatrudnienia podmiotów podprzetwarzających w celu przetwarzania Danych Osobowych w imieniu Administratora, włączając w to podmioty podprzetwarzające wymienione w Aneksie 2. Jeżeli podmiot podprzetwarzający zostanie zaangażowany przez Podmiot Przetwarzający w celu wykonywania konkretnych czynności przetwarzania w imieniu Administratora, Podmiot Przetwarzający zapewni, że zawrze pisemną umowę z takim podmiotem podprzetwarzającym zawierającą zobowiązania dotyczące ochrony danych nie mniej uciążliwe niż zawarte w niniejszym Załączniku. Podmiot Przetwarzający pozostanie odpowiedzialny za działania i zaniechania każdego takiego podmiotu podprzetwarzającego. Wykorzystanie podmiotów podprzetwarzających będzie według uznania Podmiotu Przetwarzającego, pod warunkiem, że będzie on przestrzegać poniższych zasad:

Podmiot Przetwarzający powiadomi Administratora pocztą elektroniczną z góry o jakichkolwiek dodatkowych lub zastępczych podmiotach podprzetwarzających;

Administrator może się sprzeciwić takim zmianom w terminie 14 (czternastu) dni kalendarzowych od powiadomienia go przez Podmiot Przetwarzający pod warunkiem, iż będzie mieć do tego uzasadnione podstawy. Jeżeli Administrator nie zgłosi żadnego sprzeciwu w terminie 14 dni od takiego powiadomienia, będzie się uważać, że Administrator zatwierdził taki podmiot podprzetwarzający.

Jeżeli Administrator skorzysta z przysługującego mu prawa do zgłoszenia sprzeciwu na podstawie ust. 3.3(ii), Podmiot Przetwarzający będzie uprawniony do rozwiązania Umowy Głównej ze skutkiem natychmiastowym oraz bez ponoszenia odpowiedzialności, przekazując Administratorowi pisemne zawiadomienie.

Podmiot Przetwarzający może zastąpić podmiot podprzetrwarzający innym podmiotem bez uprzedniego zawiadomienia, jeżeli takie zastąpienie jest istotne dla bezpieczeństwa Danych Osobowych lub z innych ważnych przyczyn. W takim przypadku, Podmiot Przetwarzający powiadomi Administratora niezwłocznie o powołaniu takiego nowego podmiotu podprzetwarzającego i będą mieć odpowiednie zastosowanie postanowienia ust. 3.3(ii) i ust. 3.3(iii);

3.4 wdroży odpowiednie środki techniczne i organizacyjne w celu zapobieżenia Naruszeniu Ochrony Danych Osobowych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w tym między innymi w stosownym przypadku: (i) pseudonimizację i szyfrowanie wszystkich Danych Osobowych; (ii) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (iii) zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; oraz (iv) regularne testowanie, pomiar i ocenianie skuteczności środków technicznych oraz organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, Podmiot Przetwarzający uwzględni ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Podmiot Przetwarzający wdroży i będzie utrzymywać każdy ze środków technicznych i organizacyjnych wskazanych w Aneksie 3;

3.5 zapewni, że osoby upoważnione do przetwarzania Danych Osobowych zobowiązały się do zachowania poufności (lub są już związane na podstawie przepisów prawa profesjonalnym zobowiązaniem do zachowania poufności). Ponadto, Podmiot Przetwarzający będzie zatrudniać jedynie takie podmioty podprzetwarzające, które oferują wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w sposób, dzięki któremu przetwarzanie będzie spełniać wymogi Przepisów o Ochronie Danych i niniejszego Załącznika;

3.6 zapewni, na koszt Administratora, wszelką współpracę i informacje na rzecz Administratora, które będą zasadnie niezbędne, aby umożliwić Administratorowi wykazanie przestrzegania jego zobowiązań na podstawie Przepisów o Ochronie Danych, włączając w to, na zasadne żądanie i jeżeli samo dostarczenie informacji będzie niewystarczające w celu wykazania takiego przestrzegania zobowiązań, poprzez umożliwienie przeprowadzenia i wniesienie wkładu na rzecz jednego rocznego audytu przeprowadzanego przez Administratora lub jakikolwiek właściwy organ nadzorczy (lub w ich imieniu przez przedstawiciela innego niż podmiot konkurencyjny wobec Podmiotu Przetwarzającego) na podstawie uprzedniego zawiadomienia przekazanego Podmiotowi Przetwarzającemu z rozsądnym wyprzedzeniem. Administrator dołoży swoich wszelkich starań, aby przeprowadzić taki audyt bez powodowania istotnych zakłóceń działalności Podmiotu Przetwarzającego. Audyt nie będzie przyznawać Administratorowi dostępu do tajemnic przedsiębiorstwa lub informacji zastrzeżonych oraz Administrator zapewni, że jego personel przeprowadzający taki audyt będzie podlegać ścisłym obowiązkom zachowania poufności;

3.7 zawiadomi Administratora bez zbędnej zwłoki (oraz w terminie 72 godzin, jeżeli będzie to możliwe przy dołożeniu zasadnych starań) po powzięciu wiedzy o Naruszeniu Ochrony Danych Osobowych. Zawiadomienie skierowane do Administratora będzie obejmować przynajmniej: (i) opis charakteru naruszenia; (ii) opis kategorii danych dotkniętych naruszeniem; (iii) opis stwierdzonych i potencjalnych konsekwencji naruszenia ochrony danych osobowych; oraz (iv) opis środków zastosowanych przez Podmiot Przetwarzający w celu ograniczenia konsekwencji naruszenia ochrony danych osobowych. Podmiot Przetwarzający podejmie wszelkie zasadne środki konieczne dla ograniczenia szkód wynikających z naruszenia ochrony danych. Podmiot Przetwarzający przekaże wszelkie dodatkowe informacje, których zasadnie zażąda Administrator w odniesieniu do naruszenia ochrony danych i w rozsądnym zakresie będzie pomagać Administratorowi w zgłoszeniu naruszenia ochrony danych do organu nadzorczego i/lub w zawiadomieniu dotkniętych tym osób, których dane dotyczą;

3.8 biorąc pod uwagę charakter przetwarzania i informacje dostępne Podmiotowi Przetwarzającemu, będzie pomagać Administratorowi w realizacji jego obowiązków na podstawie art. 32 do art. 36 RODO oraz poprzez wykorzystanie odpowiednich środków technicznych i organizacyjnych, na tyle na ile będzie to możliwe, w celu udzielenia odpowiedzi na żądania osób, których dane dotyczą, wykonujących swoje uprawnienia na podstawie rozdziału III RODO; oraz

3.9 według opcji Administratora, usunie lub zwróci Administratorowi wszystkie Dane Osobowe po wygaśnięciu lub rozwiązaniu Umowy Głównej, oraz usunie wszelkie istniejące kopie, chyba że obowiązujące przepisy prawa wymagają przechowywania Danych Osobowych.

Ograniczone przekazywanie danych

1. Administrator niniejszym upoważnia Podmiot Przetwarzający do przekazywania Danych Osobowych poza Europejski Obszar Gospodarczy („EOG”) i Zjednoczone Królestwo („UK”) (każde zwane „Ograniczonym Przekazaniem Danych”) z zastrzeżeniem wymogów Przepisów o Ochronie Danych. Podmiot Przetwarzający może również dokonać Ograniczonego Przekazania Danych jeżeli jest to wymagane na podstawie Przepisów o Ochronie Danych, którym podlega Podmiot Przetwarzający pod warunkiem, że Podmiot Przetwarzający powiadomi Administratora o takim wymogu przed rozpoczęciem przetwarzania, chyba że obowiązujące przepisy prawa zabraniają przekazania takich informacji ze względu na ważny interes publiczny.

2. Warunki SCC będą uważane za włączone do niniejszego Załącznika i będą mieć zastosowanie do przekazywania Danych Osobowych pomiędzy stronami jeżeli takie przekazywanie spowodowałoby bezpośrednio naruszenie RODO przez jedną ze stron gdyby warunki SCC nie były stosowane.

3. Będzie się uważać, że wszelkie upoważnienia lub inne zgody, o których mowa w ust. 3.3 i art. 4 niniejszego Załącznika mają zastosowanie do wszelkich zgód wymaganych na podstawie warunków SCC.

Prawa i obowiązki Administratora

1. Administrator dołoży swoich wszelkich starań, aby dokonać anonimizacji, zgodnie z dobrymi praktykami branżowymi, wszelkich Danych Osobowych przed ich ujawnieniem lub udostępnieniem Podmiotowi Przetwarzającemu.

2. Zmiany celu przetwarzania i zmiany procedur będą uzgadniane wspólnie pomiędzy stronami oraz zostaną określone na piśmie lub w formie elektronicznej.

3. Administrator będzie przedstawiać wszystkie instrukcje w formie pisemnej lub w formie elektronicznej. Instrukcje ustne muszą zostać potwierdzone bez zbędnej zwłoki na piśmie lub w formie elektronicznej.

4. Administrator powiadomi Podmiot Przetwarzający bez zbędnej zwłoki jeżeli wykryje błędy lub nieprawidłowości w wynikach audytu dotyczącego przetwarzania.

5. Administrator jest zobowiązany do traktowania w sposób poufny wszystkich tajemnic przedsiębiorstwa i środków bezpieczeństwa danych Podmiotu Przetwarzającego, o których Administrator poweźmie wiedzę w trakcie współpracy umownej. Niniejszy obowiązek pozostanie w mocy po rozwiązaniu Umowy Głównej.

6. Z wyjątkiem przypadków, w których wyraźnie określono inaczej, każda strona pokryje swoje koszty zapewnienia wszelkiej pomocy lub współpracy na podstawie niniejszego Załącznika.

ANEKS 1: SZCZEGÓŁY PRZETWARZANIA

Niniejszy Aneks 1 obejmuje szczegóły dotyczące przetwarzania Danych Osobowych zgodnie z wymogami art. 28(3) RODO oraz, jeżeli dotyczy, odpowiednich warunków SCC.

Przetwarzanie Danych Osobowych

Przedmiot: Przetwarzanie w związku ze świadczeniem usług dostarczanych na podstawie Umowy Głównej.

Charakter: Zbieranie, porządkowanie, pobieranie, agregowanie, formatowanie, anonimizacja, pseudonimizacja, usuwanie i niszczenie.

Okres: Okres obowiązywania Umowy Głównej i późniejsze przechowywania przez Podmiot Przetwarzający i jego podmioty podprzetwarzające zgodnie z ich standardowymi cyklami życia archiwizacji.

Lokalizacja: Miejsca, w których Administrator i Podmiot Przetwarzający oraz jego spółki z grupy mają swoją siedzibą w danym czasie i miejsca wskazane w Aneksie 2.

Cele Przetwarzania i dalszego przetwarzania/ operacje Przetwarzania

Przetwarzanie jest konieczne w następujących celach:

W celu świadczenia usług na podstawie Umowy Głównej, to znaczy usług konsultingowych, włączając badania i czynności w zakresie korporacyjnego badania „due diligence”.

Osoby, których dane dotyczą

Dane Osobowe Zleceniodawcy dotyczą następujących kategorii osób, których dane dotyczą:

Respondenci ankiet i/lub rozmówcy (w tym eksperci), jeżeli zostali oni określeni przez Administratora i/lub personel odnoszący się do jednej lub więcej organizacji (lub ich części) istotnych dla transakcji korporacyjnych będących przedmiotem Usług.

Kategorie Danych Osobowych

Przetwarzane Dane Osobowe Zleceniodawcy należą do następujących kategorii:

Następujące dane osobowe, jeżeli ich przetwarzanie przez Podmiot Przetwarzający jest uregulowane postanowieniami RODO i Podmiot Przetwarzający lub jego podmioty podprzetwarzające otrzymują je, bezpośrednio lub pośrednio, od Administratora lub jeżeli dotyczą szczególnych osób, których dane dotyczą, co do których Administrator poleci Podmiotowi Przetwarzającemu zebranie ich danych osobowych:

Odpowiedzi na ankiety i/lub wywiady, w tym opinie, doświadczenia i informacje biograficzne.

Informacje o pracownikach, w tym, w stosownych przypadkach, imię i nazwisko, dane kontaktowe i informacje związane z pracą, np. nazwa stanowiska, opis, wynagrodzenie (takie jak pensja, premia i świadczenia), staż pracy, wykształcenie, informacje o wynikach pracy, w tym oceny, oraz miejsce i lokalizacja pracy.

Szczególne kategorie Danych Osobowych i/lub dane na temat naruszeń prawa/wyroków skazujących

Przetwarzane Dane Osobowe Zleceniodawcy należą do następujących szczególnych kategorii Danych Osobowych/danych na temat naruszeń prawa /wyroków skazujących:

Brak

Prawa i obowiązki Administratora

Prawa i obowiązki Administratora w odniesieniu do Danych Osobowych są takie jak określono w niniejszym Załączniku i Przepisach o Ochronie Danych.

Ograniczone Przekazania Danych (jeżeli dotyczy)

Częstotliwość przekazywania (Np. czy dane są przekazywane na zasadzie jednorazowej lub ciągłej):

Jednorazowo, z zastrzeżeniem innych częstotliwości przekazywania wskazanych w Umowie Głównej dla konkretnego podmiotu podprzetwarzającego.

Okres przez jaki dane osobowe będą przechowywane, lub, jeżeli nie jest to możliwe, kryteria stosowane do określenia tego okresu:

W odniesieniu do jakiegokolwiek przekazywania gdzie odbierającym dane jest Administrator, okres wskazany w zasadach dotyczących zasad przechowywania danych obowiązujących u odbierającego dane. We wszystkich innych przypadkach, okres wskazany powyżej w niniejszym Aneksie 1, z zastrzeżeniem wszelkich odstępstw wskazanych w dodatkowych informacjach w Umowie Głównej.

W przypadku przekazywania do podmiotów (pod-) przetwarzających, również należy wskazać przedmiot, charakter i okres przetwarzania:

Jak wskazano wyżej w niniejszym Aneksie 1 z zastrzeżeniem wszelkich odstępstw wskazanych w dodatkowych informacjach w Umowie Głównej.

Dane osoby kontaktowej:

Ze strony Administratora: Jak zostało wskazane w Umowie Głównej.

Ze strony Podmiotu Przetwarzającego: Kierownik ds. Ochrony Danych w spółce OC&C, adres email: data.protection@occstrategy.com

ANEKS 2: LISTA UPOWAŻNIONYCH PODPRZETWARZAJĄCYCH

Nazwa Podmiotu Podprzetwarzającego	Cel Przetwarzania /podzlecane Usługi	Miejsce Przetwarzania
IntelliSurvey	Dostawca badań	UK, EOG, USA, Indie
Savanta	Dostawca badań	UK, EOG, Kanada, Indie
Dynata	Dostawca badań	UK, EOG, USA, Filipiny
Toluna	Dostawca badań	UK, EOG, Indie
GLG Surveys	Dostawca badań	UK, EOG, USA, Australia
Skim	Dostawca badań	EOG, USA
Survey Monkey	Dostawca badań	UK, USA, Kanada, Australia
Potluc	Dostawca badań	EEA, Kanada
Okresowo spółki z grupy Podmiotu Przetwarzającego	Świadczenie Usług ogólnie	UK, EOG, USA, Chiny, Australia, Brazylia, Indie

ANEKS 3: ŚRODKI BEZPIECZEŃSTWA

1. PROGRAM BEZPIECZEŃSTWA

Podmiot Przetwarzający będzie posiadać pisemny program bezpieczeństwa informacji obejmujący polityki, procedury i elementy kontrolne zgodne z normą ISO27002 lub zasadniczo równoważną normą, regulujące przetwarzanie, przechowywanie, przekazywanie i bezpieczeństwo Danych Osobowych („Program Bezpieczeństwa"). Program Bezpieczeństwa obejmuje standardowe praktyki branżowe mające na celu ochronę Danych Osobowych przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do nich. Podmiot Przetwarzający aktualizuje Program Bezpieczeństwa w celu uwzględnienia nowych i zmieniających się technologii bezpieczeństwa, zmian standardowych praktyk branżowych oraz zmieniających się zagrożeń w zakresie bezpieczeństwa, mimo iż żadne takie aktualizacje nie będą w sposób istotny ograniczać zobowiązań, elementów ochrony lub obniżać ogólnego poziomu usługi świadczonej na rzecz Administratora, jak opisano niniejszym.

1.1 ORGANIZACJA BEZPIECZEŃSTWA. Podmiot Przetwarzający wyznaczy Inspektora Ochrony Danych lub równoważną mu osobę odpowiedzialną za koordynację i monitorowanie funkcji bezpieczeństwa informacji Podmiotu Przetwarzającego, zasad oraz procedur, a także za zarządzanie nimi.

1.2 POLITYKA. Polityka bezpieczeństwa informacji Podmiotu Przetwarzającego będzie (i) udokumentowana; (ii) poddawana przeglądowi i zatwierdzana przez kierownictwo, w tym po wprowadzeniu istotnych zmian w Usługach; oraz (iii) publikowana i przekazywana personelowi, wykonawcom i osobom trzecim mającym dostęp do Danych Osobowych, z uwzględnieniem odpowiednich konsekwencji za nieprzestrzeganie zasad.

1.3 ZARZADZANIE RYZYKIEM. Podmiot Przetwarzający przeprowadza oceny ryzyka w zakresie bezpieczeństwa informacji w ramach programu zarządzania ryzykiem, który jest tworzony w celu regularnego testowania, oceny i weryfikacji skuteczności Programu Bezpieczeństwa. Taka ocena będzie miała na celu rozpoznawanie i dokonywanie oceny wpływu ryzyka oraz wdrażanie zidentyfikowanych strategii zmniejszenia lub ograniczenia ryzyka w celu uwzględnienia nowych i zmieniających się technologii bezpieczeństwa, zmian standardowych praktyk branżowych oraz zmieniających się zagrożeń bezpieczeństwa.

1.4 CERTYFIKATY I ZAŚWIADCZENIA. Podmiot Przetwarzający ustanowi i będzie utrzymywać wystarczające elementy kontrolne, aby spełnić wymogi certyfikacji i zaświadczeń dla celów określonych w Cyber Essentials Plus (lub równoważnych standardach) dla Programu Bezpieczeństwa wspierającego przetwarzanie Danych Osobowych. Przynajmniej raz w roku kalendarzowym Podmiot Przetwarzający uzyska ocenę względem takich standardów i metodologii audytu przeprowadzoną przez niezależnego audytora zewnętrznego oraz udostępni Administratorowi raporty wykonawcze.

1.5 FIZYCZNE ŚRODKI BEZPIECZEŃSTWA

(i) OBIEKTY CENTRUM DANYCH. Obiekty centrum danych obejmują: 1) fizyczne ograniczenia dostępu i monitorowanie, które uwzględniają kombinację dowolnych z następujących środków: zabezpieczenia wielostrefowe, pułapki „man-trap”, odpowiednie środki odstraszające na granicach stref (np. ogrodzenie, obrzeża, bramy strzeżone), strażnicy na miejscu, biometryczne elementy kontroli, telewizja przemysłowa i bezpieczne klatki; oraz 2) systemy wykrywania i gaszenia pożaru zlokalizowane na całym piętrze centrum danych.

(ii) SYSTEMY, MASZYNY I URZĄDZENIA. Systemy, maszyny i urządzenia obejmują (1) mechanizmy ochrony fizycznej, oraz (2) środki kontroli dostępu w celu ograniczenia fizycznego dostępu.

(iii) NOŚNIKI. Podmiot Przetwarzający będzie stosować normę branżową NIST 800-88 (lub zasadniczo jej równoważnik) dotyczącą usuwania wrażliwych materiałów, włączając w to Dane Osobowe, zanim takie nośniki opuszczą centra danych Podmiotu Przetwarzającego w celu utylizacji.

1.6 TECHNICZNE ŚRODKI BEZPIECZEŃSTWA

(iv) ADMINISTRACJA DOSTĘPU. Dostęp do Danych Osobowych przez pracowników i kontrahentów Podmiotu Przetwarzającego jest chroniony przez mechanizmy uwierzytelniania i autoryzacji. Uwierzytelnienie użytkownika jest wymagane w celu uzyskania dostępu do systemów produkcyjnych i nieprodukcyjnych. Osobom są przydzielane unikatowe konta użytkownika. Indywidualne konta użytkowników nie mogą być współdzielone. Uprawnienia dostępu oparte są na wymaganiach stanowiskowych z zastosowaniem zasady najmniejszego uprzywilejowania i są cofane po ustaniu stosunku pracy lub stosunku konsultacyjnego. Dostęp do infrastruktury obejmuje odpowiednie elementy kontroli konta użytkownika i uwierzytelniania, które obejmują wymagane użycie połączeń VPN, złożonych haseł z datą ważności, włączoną blokadę konta oraz połączenie uwierzytelniane za pomocą dwóch czynników.

(v) LOGOWANIE I MONITORING. Aktywność logów dotycząca infrastruktury produkcyjnej jest gromadzona centralnie, jest zabezpieczona przed manipulacją i monitorowana pod kątem anomalii przez przeszkolony zespół bezpieczeństwa. Podmiot Przetwarzający zapewni możliwość logowania na platformie, która wychwytuje logowanie i działania podejmowane przez użytkowników w aplikacji Podmiotu Przetwarzającego.

(vi) KONTROLA ODDZIELENIA. Jeżeli dotyczy, wobec przechowywanych danych stosuje się odpowiednie zasady odrębności korporacyjnej.

(vii) PSEUDONIMIZACJA. Jeżeli dotyczy, Podmiot Przetwarzający będzie dokonywać pseudonimizacji danych osobowych z wykorzystaniem odpowiedniej metody, mając na uwadze potencjale rodzaje ryzyka wobec takich danych, ich przekazywania oraz praw i wolności osób, których dotyczą.

(viii) SYSTEM FIREWALL. W celu ochrony systemów Podmiotu Przetwarzającego zainstalowany jest i zarządzany firewall o standardzie przemysłowym, który znajduje się w sieci i kontroluje wszystkie połączenia przychodzące kierowane do środowiska Podmiotu Przetwarzającego.

(ix) ZARZĄDZANIE PODATNOŚCIĄ. Podmiot Przetwarzający przeprowadza kwartalne oceny ryzyka bezpieczeństwa w celu zidentyfikowania krytycznych zasobów informacyjnych, oceny zagrożeń dla tych zasobów, określenia potencjalnych podatności oraz zapewnienia środków zaradczych. Gdy luki oprogramowania zostaną ujawnione i można je będzie naprawić łatą producenta, Podmiot Przetwarzający uzyska łatę od odpowiedniego dostawcy i zastosuje ją w odpowiednim czasie zgodnie z obowiązującą w danym czasie standardową procedurą operacyjną Podmiotu Przetwarzającego dotyczącą zarządzania lukami w oprogramowaniu i łatami bezpieczeństwa oraz tylko po przetestowaniu takiej łaty i po stwierdzeniu, że jest ona bezpieczna do zainstalowania we wszystkich systemach produkcyjnych.

(x) OCHRONA ANTYWIRUSOWA. Podmiot Przetwarzający regularnie aktualizuje oprogramowanie antywirusowe, anty-malware i anty-szpiegowskie oraz centralnie loguje zdarzenia dotyczące skuteczności tego oprogramowania.

(xi) KONTROLA ZMIAN. Podmiot Przetwarzający ocenia zmiany dokonywane na platformie, w aplikacjach i na infrastrukturze produkcyjnej w celu ograniczenia ryzyka oraz zmiany takie są wdrażane zgodnie ze standardową procedurą operacyjną Podmiotu Przetwarzającego.

(xii) ZARZĄDZANIE KONFIGURACJAMI. Podmiot Przetwarzający wdraża i utrzymuje standardowe, utwardzone (hardened) konfiguracje dla wszystkich składników systemu w ramach Usług. Podmiot Przetwarzający będzie stosować standardowe branżowe wytyczne dotyczące utwardzania (hardening), takie jak wytyczne ze strony Centre for Internet Security, przy opracowywaniu standardowych konfiguracji utwardzania.

(xiii) SZYFROWANIE DANYCH W TRANZYCIE. Podmiot Przetwarzający będzie stosować standardowe branżowe szyfrowanie w celu szyfrowania Danych Osobowych w tranzycie poprzez publiczne sieci do Danych Osobowych.

(xiv) SZYFROWANIE DANYCH W SPOCZYNKU. Podmiot Przetwarzający zapewnia możliwość szyfrowania w stanie spoczynku dla szyfrowania na poziomie danych.

1.7 ORGANIZACYJNE ŚRODKI BEZPIECZEŃSTWA.

(xv) KONTROLE CENTRUM DANYCH. Podmiot Przetwarzający dokonuje przeglądu elementów i zasad bezpieczeństwa swoich zewnętrznych centrów danych/dostawców usług w chmurze, aby zapewnić ich zgodność z Programem Bezpieczeństwa Podmiotu Przetwarzającego.

(xvi) BEZPIECZEŃSTWO PERSONELU. Podmiot Przetwarzający dokonuje weryfikacji (background screening) wszystkich pracowników i kontrahentów, którzy posiadają dostęp do Danych Osobowych zgodnie z obowiązującą w danym czasie standardową procedurą operacyjną Podmiotu Przetwarzającego oraz zgodnie z obowiązującymi przepisami prawa.

(xvii) ŚWIADOMOŚĆ BEZPIECZEŃSTWA I SZKOLENIE. Podmiot Przetwarzający realizuje program świadomości bezpieczeństwa i prywatności, który obejmuje odpowiednie szkolenia oraz edukację personelu Podmiotu Przetwarzającego. Takie szkolenie jest przeprowadzane w momencie zatrudnienia i co najmniej raz w roku przez cały okres zatrudnienia w firmie Podmiotu Przetwarzającego.

(xviii) INWENTARYZACJA OPROGRAMOWANIA I URZĄDZEŃ. Podmiot Przetwarzający będzie prowadzić inwentaryzację wszystkich składników oprogramowania (w tym m.in. oprogramowania open source) wykorzystywanych w Usługach oraz inwentaryzację wszystkich nośników i urządzeń, na których przechowywane są Dane Osobowe.

(xix) BEZPIECZEŃSTWO STANOWISK ROBOCZYCH. Podmiot Przetwarzający wdroży i będzie stosować mechanizmy bezpieczeństwa dotyczące stanowisk roboczych pracowników, włączając w to firewall, oprogramowanie antywirusowe i pełne szyfrowanie dysku. Podmiot Przetwarzający ograniczy personelowi możliwość wyłączenia mechanizmów bezpieczeństwa.

1.8 TWORZENIE KOPII ZAPASOWYCH DANYCH. Podmiot Przetwarzający będzie wykonywać kopie zapasowe wszystkich danych zleceniodawcy zgodnie ze standardową procedurą operacyjną Podmiotu Przetwarzającego.

1.9 ODZYSKIWANIE DANYCH PO AWARII (DISASTER RECOVERY). Podmiot Przetwarzający będzie (i) utrzymywać plan odzyskiwania danych po awarii („DR”), który jest zgodny ze standardami branżowymi dla przetwarzania Danych Osobowych związanych z Usługami; (ii) testować plan DR co najmniej raz w roku; (iii) udostępniać podsumowanie wyników testu, które będzie zawierało rzeczywisty punkt i czas odzyskiwania; oraz (iv) dokumentować wszelkie plany działania w ramach podsumowania wyników testu, aby niezwłocznie uwzględniać i rozwiązywać wszelkie braki, obawy lub problemy, które uniemożliwiły lub mogą uniemożliwić odzyskanie Danych Osobowych zgodnie z planem DR.

1.10 CIĄGŁOŚĆ PROWADZENIA DZIAŁALNOŚCI. Podmiot Przetwarzający będzie posiadać plan zapewnienia ciągłości działania („BCP”) w celu zminimalizowania wpływu zdarzenia na przetwarzanie i obsługę przetwarzania przez niego Danych Osobowych. BCP będzie: (i) obejmować procesy zabezpieczenia personelu i urządzeń oraz przywrócenia funkcjonalności zgodnie z terminami tam wskazanymi; oraz (ii) testowany co roku i aktualizowany na podstawie jakichkolwiek braków stwierdzonych w trakcie takich testów.

1.11 PERSONEL. W przypadku awarii, powodującej brak dostępności linii telefonicznej obsługi klienta, wszystkie rozmowy będą przekierowywane do systemu odbierającego połączenia, który będzie przełączać połączenia do przedstawiciela Podmiotu Przetwarzającego udzielającego wsparcia przez telefon, z takim rozmieszczeniem geograficznym, które pozwoli na zapewnienie ciągłości dla czynności wsparcia.

2. MONITORING, ZARZĄDZANIE I ZGŁASZANIE.

1.12

2.1 MONITOROWANIE INCYDENTÓW I ZARZĄDZANIE NIMI. Podmiot Przetwarzający będzie monitorować, analizować incydenty naruszające bezpieczeństwo oraz reagować na nie w sposób terminowy zgodnie ze standardową procedurą operacyjną Podmiotu Przetwarzającego. Grupa ds. bezpieczeństwa ze strony Podmiotu Przetwarzającego będzie dokonywać eskalacji i udostępniać zespoły reagujące w miarę konieczności tak, aby rozpatrzeć incydent naruszający bezpieczeństwo.

2.2 ZGŁASZANIE PRZYPADKÓW NARUSZENIA OCHRONY DANYCH. Podmiot Przetwarzający będzie zgłaszać Administratorowi wszelkie przypadki przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieupoważnionego ujawnienia lub nieupoważnionego dostępu do Danych Osobowe („Naruszenie Ochrony Danych”) bez zbędnej zwłoki po stwierdzeniu przez Podmiot Przetwarzający, że miało miejsce Naruszenie Ochrony Danych.

2.3 RAPORT. Wstępne zgłoszenie zostanie dokonane wobec osoby kontaktowej Administratora ds. bezpieczeństwa wskazanej na Portalu Wsparcia Podmiotu Przetwarzającego (lub jeżeli nie zostanie wyznaczona taka osoba kontaktowa, do głównej osoby kontaktowej w sprawach technicznych wskazanej przez Administratora). W miarę jak informacje zostaną zebrane lub inaczej będą dostępne, Podmiot Przetwarzający przekaże bez zbędnej zwłoki wszelkie dalsze informacje dotyczące charakteru i konsekwencji Naruszenia Ochrony, aby umożliwić Administratorowi powiadomienie odpowiednich podmiotów, włączając w to osoby fizyczne, które zostały dotknięte takim Naruszeniem Ochrony Danych, organy władz państwowych oraz organy ochrony danych zgodnie z Przepisami o Ochronie Danych. Raport będzie obejmować imię i nazwisko oraz dane kontaktowe osoby kontaktowej ze strony Podmiotu Przetwarzającego, od której można uzyskać dodatkowe informacje. Podmiot Przetwarzający poinformuje Administratora o środkach, które wprowadzi Podmiot Przetwarzający w celu złagodzenia przyczyny Naruszenia Ochrony Danych i zapobieżenia przyszłym przypadkom Naruszenia Ochrony Danych.

2.4 ZOBOWIĄZANIA ZLECENIODAWCY. Administrator będzie współpracować z Podmiotem Przetwarzającym przekazując wszelkie informacje, których zasadnie zażąda Podmiot Przetwarzający w celu rozwiązania incydentu naruszającego bezpieczeństwo, włączając w to wszelkie Naruszenia Ochrony Danych, zidentyfikowania jego przyczyn i zapobieżenia ponownego wystąpienia. Administrator jest wyłącznie odpowiedzialny za stwierdzenie czy należy powiadomić odpowiednie organy nadzorcze lub regulacyjne oraz dotknięte zdarzeniem Osoby, których Dane Dotyczą i za przekazanie takiego powiadomienia.

3. TESTY PENETRACYJNE PRZEPROWADZANE PRZEZ OSOBĘ TRZECIĄ

3.1 Podmiot Przetwarzający zleca dostawcom zewnętrznym przeprowadzanie kwartalnych testów aplikacji Podmiotu Przetwarzającego w celu zidentyfikowania zagrożeń i opcji naprawczych, które pomagają zwiększyć bezpieczeństwo. Podmiot Przetwarzający udostępnia raporty wykonawcze z corocznych testów penetracyjnych.

Powyższe środki mogą zostać okresowo skorygowane przez Podmiot Przetwarzający (włączając w to w rezultacie zmian technologicznych) pod warunkiem, że takie zmiany nie będą obniżać ogólnego standardu bezpieczeństwa zapewnianego przez takie środki.