Powierzenie i dalsze powierzenie przetwarzania danych osobowych

Z ilu podzleceniobiorców i w jakim zakresie korzysta podmiot przetwarzający?

W zależności od świadczonej usługi lista procesorów może się różnić. Szczegóły reguluje zawarta umowa powierzenia przetwarzania danych osobowych.

Lista dostępna w zakładce .

Jaki jest przedmiot, charakter i cel przetwarzania danych osobowych?

Przetwarzanie następuje w celu świadczenia Usługi na rzecz Klienta w oparciu o Umowę Główną oraz w celu wypełnienia zobowiązań Vercom wynikających z niniejszej Umowy powierzenia odnoszących się, w szczególności, do zabezpieczenia danych, w tym zapewnienia ich integralności i dostępności.

Jaki jest czas trwania przetwarzania?

Okres przetwarzania danych będzie taki sam jak okres świadczenia Usług na podstawie Umowy Głównej, z zastrzeżeniem, że umowa powierzenia obowiązuje do momentu usunięcia danych zgodnie z jej postanowieniami.

Jakie kategorie osób fizycznych obejmuje umowa?

Przetwarzane dane osobowe dotyczą następujących kategorii osób fizycznych: Użytkownicy końcowi – osoby fizyczne będące odbiorcami komunikacji elektronicznej wysyłanej przez Klienta na podstawie Umowy Głównej.

Jakie rodzaje szczególnych kategorii danych osobowych są objęte umową?

Przetwarzane szczególne kategorie danych osobowych obejmują następujące kategorie: Nie Dotyczy.

Czy są ustalone mechanizmy przechowywania, usuwania, w tym anonimizacji danych osobowych?

Tak.

PBI - 01 Zał. 07 Procedura Retencji Danych VERCOM. Kwestie uregulowane są dodatkowo w Umowie powierzenia przetwarzania danych Dane usuwane są w terminie 3 dni roboczych od rozwiązania lub wygaśnięcia Umowy Głównej. Dane Osobowe ulegają automatycznemu usunięciu, chyba że obowiązek ich zachowania wynikać będzie z przepisów prawa obowiązujących Vercom. Dane z backupu usuwane są po dwóch latach.

Czy wszyscy wykorzystywani w trakcie świadczenia usług podwykonawcy, zostali sprawdzeni pod kątem zapewnienia odpowiedniego poziomu ochrony danych osobowych?

Tak, podwykonawcy podlegają corocznej ocenie.

Czy prowadzona jest ewidencja dostawców, którym powierzacie lub wtórnie powierzacie Państwo przetwarzanie danych osobowych?

Tak, prowadzona jest szczegółowa lista dalszych podmiotów przetwarzających Vercom S.A., ostatnia aktualizacja 20.03.2023 oraz Rejestr Czynności Przetwarzania w VERCOM S.A.

Czy zostały przygotowane i są wdrożone regulacje wewnętrzne dotyczące nadzoru i monitorowania procesów przetwarzania danych osobowych?

Tak. Przeprowadzane są okresowe audyty wewnętrzne oraz zewnętrzne. Testowanie odbywa się minimum raz na 12 miesięcy lub częściej w razie konieczności.

Ostatni audyt ISO 22301 miał miejsce w styczniu 2025, poprzednie audyty zewnętrzne 27001 oraz ISO 27018 miał miejsce w sierpniu 2024. Obejmowały zakresem całą organizację i wszystkie wymagane normy oraz pomiar skuteczoności zabezpieczeń. Nastąpiła weryfikacja zgodności z normą ISO 22301, ISO 27001 oraz 27018. Uzyskano certyfikat zgodności.

W roku 2024 przepriwadzono dodatkowo 3 audyty wewnętrzne zakończone powstaniem raportu z audytu i przeglądem funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji.

Gdzie są przechowywane dane powierzone do przetwarzania?

Wszystkie operacje wykonywane na danych osobowych odbywają się w systemie informatycznym. Dane powierzone do przetwarzania nie są przechowywane na komputerach pracowników. Vercom nie przetwarza, w ramach świadczonych usług, danych osobowych w wersji papierowej. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu.

W jaki sposób podmiot zapewnia oddzielenie powierzonych mu danych przez Administratora od danych innych podmiotów w tym danych własnych?

W systemach Vercom udostępnianych w ramach świadczonych usług zastosowana jest separacja logiczna danych.

Czy Przetwarzający stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO?

Nie.

Nie podlegamy pod wymóg stosowania zatwierdzonych kodeksów postępowania.

Czy jest prowadzony Rejestr Czynności Przetwarzania?

Tak.

Czy jest prowadzony Rejestr Kategorii Czynności Przetwarzania?

Tak.

Czy przechowywanie i przetwarzanie danych odbywa się tylko na terenach EOG?

Tak.

Główne środowisko serwerowe w ramach CPaaS VERCOM znajduje się w EOG. Wszystkie dalsze podmioty przetwarzające dane osobowe świadczą usługi objęte regionalizacją na terenie PL, UE lub EOG. Nie przetwarzamy poza EOG.

Czy posiadamy procedury dotyczące kopii zapasowych przetwarzanych przez nas danych?

Tak. Zgodnie z udokumentowaną i wdrożoną polityką, częstotliwość tworzenia kopii zapasowych odbywa się raz dziennie, kopie zapasowe w backupach są przechowywane 2 lata i są szyfrowane, backup tylko na terenie EOG w zewnętrznych serwerowniach o najwyższych standardach bezpieczeństwa, podlegają wielopoziomowemu zabezpieczeniu.

PreviousAdministrator Danych Osobowych (AOD)NextImplementacja Systemu Zarządzania Bezpieczeństwa Informacji

Last updated 1 month ago