Powierzenie i dalsze powierzenie przetwarzania danych osobowych
Z ilu podzleceniobiorców i w jakim zakresie korzysta podmiot przetwarzający?
W zależności od świadczonej usługi lista procesorów może się różnić. Szczegóły reguluje zawarta umowa powierzenia przetwarzania danych osobowych.
Lista dostępna w zakładce Przetwarzanie danych osobowych.
Jaki jest przedmiot, charakter i cel przetwarzania danych osobowych?
Przetwarzanie następuje w celu świadczenia Usługi na rzecz Klienta w oparciu o Umowę Główną oraz w celu wypełnienia zobowiązań Vercom wynikających z niniejszej Umowy powierzenia odnoszących się, w szczególności, do zabezpieczenia danych, w tym zapewnienia ich integralności i dostępności.
Jaki jest czas trwania przetwarzania?
Okres przetwarzania danych będzie taki sam jak okres świadczenia Usług na podstawie Umowy Głównej, z zastrzeżeniem, że umowa powierzenia obowiązuje do momentu usunięcia danych zgodnie z jej postanowieniami.
Jakie kategorie osób fizycznych obejmuje umowa?
Przetwarzane dane osobowe dotyczą następujących kategorii osób fizycznych: Użytkownicy końcowi – osoby fizyczne będące odbiorcami komunikacji elektronicznej wysyłanej przez Klienta na podstawie Umowy Głównej.
Jakie rodzaje szczególnych kategorii danych osobowych są objęte umową?
Przetwarzane szczególne kategorie danych osobowych obejmują następujące kategorie: Nie Dotyczy.
Czy są ustalone mechanizmy przechowywania, usuwania, w tym anonimizacji danych osobowych?
Tak.
PBI - 01 Zał. 07 Procedura Retencji Danych VERCOM. Kwestie uregulowane są dodatkowo w Umowie powierzenia przetwarzania danych Dane usuwane są w terminie 3 dni roboczych od rozwiązania lub wygaśnięcia Umowy Głównej. Dane Osobowe ulegają automatycznemu usunięciu, chyba że obowiązek ich zachowania wynikać będzie z przepisów prawa obowiązujących Vercom. Dane z backupu usuwane są po dwóch latach.
Czy wszyscy wykorzystywani w trakcie świadczenia usług podwykonawcy, zostali sprawdzeni pod kątem zapewnienia odpowiedniego poziomu ochrony danych osobowych?
Tak, podwykonawcy podlegają corocznej ocenie.
Czy prowadzona jest ewidencja dostawców, którym powierzacie lub wtórnie powierzacie Państwo przetwarzanie danych osobowych?
Tak, prowadzona jest szczegółowa lista dalszych podmiotów przetwarzających Vercom S.A., ostatnia aktualizacja 20.03.2023 oraz Rejestr Czynności Przetwarzania w VERCOM S.A.
Czy zostały przygotowane i są wdrożone regulacje wewnętrzne dotyczące nadzoru i monitorowania procesów przetwarzania danych osobowych?
Tak. Przeprowadzane są okresowe audyty wewnętrzne oraz zewnętrzne. Testowanie odbywa się minimum raz na 12 miesięcy lub częściej w razie konieczności.
Ostatni audyt ISO 27001 miał miejsce 01.09.2023-05.09.2023 i obejmował zakresem całą organizację i wszystkie wymagane normy oraz pomiar skuteczoności zabezpieczeń.
Nastąpiła weryfikacja zgodności z normą ISO 27001. Audyt ISO 27018 miał miejsce 09.09.2023. Nastąpiła weryfikacja zgodności z normą ISO 27018.
Natomiast ostatni audytu wewnętrzny obejmujący swoim zakresem całą organizację i wszystkie procesy miał miejsce w okresie 04.08.2023-17.08.2023 i zakończył się stworzeniem raportu z adutyu oraz Sprawozdaniem z funkcjonowana Systemu Zarządzania Bezpieczeństwem Informacji w Vercom S.A.
Gdzie są przechowywane dane powierzone do przetwarzania?
Wszystkie operacje wykonywane na danych osobowych odbywają się w systemie informatycznym. Dane powierzone do przetwarzania nie są przechowywane na komputerach pracowników. Vercom nie przetwarza, w ramach świadczonych usług, danych osobowych w wersji papierowej. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu.
W jaki sposób podmiot zapewnia oddzielenie powierzonych mu danych przez Administratora od danych innych podmiotów w tym danych własnych?
W systemach Vercom udostępnianych w ramach świadczonych usług zastosowana jest separacja logiczna danych.
Czy Przetwarzający stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO?
Nie.
Nie podlegamy pod wymóg stosowania zatwierdzonych kodeksów postępowania.
Czy przechowywanie i przetwarzanie danych odbywa się tylko na terenach EOG?
Tak.
Główne środowisko serwerowe w ramach CPaaS VERCOM znajduje się w EOG. Wszystkie dalsze podmioty przetwarzające dane osobowe świadczą usługi objęte regionalizacją na terenie PL, UE lub EOG. Nie przetwarzamy poza EOG.
Czy posiadamy procedury dotyczące kopii zapasowych przetwarzanych przez nas danych?
Tak. Zgodnie z udokumentowaną i wdrożoną polityką, częstotliwość tworzenia kopii zapasowych odbywa się raz dziennie, kopie zapasowe w backupach są przechowywane 2 lata i są szyfrowane, backup tylko na terenie EOG w zewnętrznych serwerowniach o najwyższych standardach bezpieczeństwa, podlegają wielopoziomowemu zabezpieczeniu.
Last updated