NINIEJSZE ANEKS DOTYCZĄCY PRZETWARZANIA DANYCH („DPA”) do Umowy (zdefiniowanej poniżej) zostaje zawarty z dniem wejścia w życie niniejszego aneksu pomiędzy spółką Foo Monk LLC, spółką zarejestrowaną w stanie Wyoming, z siedzibą pod adresem 30 N. Gould St., Ste. R, Sheridan, Wyoming, 82801, Stany Zjednoczone („Instantly” lub „Usługodawca”); oraz Abonent wskazany w Umowie („Abonent”), zwani łącznie „Stronami”, a każdy z osobna „Stroną”.
1. INTERPRETACJA
1.1 W niniejszym DPA poniższe terminy mają znaczenie określone w niniejszym punkcie 1, o ile nie zaznaczono wyraźnie inaczej:
(a) „Data wejścia w życie aneksu” oznacza datę wejścia w życie Umowy.
(b) „Umowa” oznacza Warunki korzystania z usługi, dostępne pod adresem: https://instantly.ai/terms.
(c) „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych subskrybentów.
(d) „Dane osobowe Subskrybenta” oznaczają wszelkie dane osobowe przetwarzane przez Usługodawcę lub jego podwykonawcę w imieniu Subskrybenta w celu świadczenia Usługi na mocy Umowy, z tym że dane osobowe Subskrybenta nie obejmują danych kontaktowych dotyczących personelu lub przedstawicieli Subskrybenta, którzy są jego partnerami biznesowymi (w przypadku gdy Usługodawca pełni rolę administratora takich danych).
(e) „Osoba, której dane dotyczą” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dotyczą dane osobowe subskrybenta.
(f) „Wniosek osoby, której dane dotyczą” oznacza skorzystanie przez osobę, której dane dotyczą, z przysługujących jej praw zgodnie z obowiązującymi przepisami o ochronie danych w odniesieniu do danych osobowych abonenta oraz ich przetwarzania.
(g) „Dane pozbawione elementów umożliwiających identyfikację” oznaczają dane przetwarzane przez Usługodawcę lub jego Podwykonawcę w imieniu Subskrybenta w celu świadczenia Usług na mocy Umowy, które nie mogą w uzasadniony sposób posłużyć do wywnioskowania informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ani o urządzeniu powiązanym z taką osobą, ani też nie mogą być w inny sposób powiązane z taką osobą.
(h) „EEA” oznacza Europejski Obszar Gospodarczy.
(i) „RODO” oznacza, w zależności od tego, które z poniższych ma zastosowanie do danego przetwarzania: (i) ogólne rozporządzenie o ochronie danych (rozporządzenie (UE) 2016/679) („RODO UE”); i/lub (ii) RODO UE, które stanowi część prawa brytyjskiego na mocy sekcji 3 ustawy o Unii Europejskiej (wystąpienie) z 2018 r. (z późniejszymi zmianami, w tym na mocy ustawy o ochronie danych, prywatności i łączności elektronicznej (zmiany itp.) (rozporządzenia z 2019 r. dotyczące wyjścia z UE) („brytyjskie RODO”), w tym, w każdym z przypadków (i) i (ii), wszelkie mające zastosowanie krajowe przepisy wykonawcze lub uzupełniające (np. brytyjska ustawa o ochronie danych z 2018 r.), a także wszelkie przepisy zastępujące, zmieniające lub ponownie uchwalające powyższe akty prawne. Odniesienia do „artykułów” i „rozdziałów” RODO oraz innych odpowiednich terminów zdefiniowanych w tym rozporządzeniu należy interpretować odpowiednio.
(j) „Naruszenie bezpieczeństwa danych osobowych” oznacza naruszenie zabezpieczeń Usługodawcy, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub uzyskania dostępu do danych osobowych Abonenta znajdujących się w posiadaniu, pod opieką lub kontrolą Usługodawcy. Dla jasności należy zaznaczyć, że pojęcie „naruszenia bezpieczeństwa danych osobowych” nie obejmuje nieudanych prób ani działań, które nie zagrażają bezpieczeństwu danych osobowych abonenta (takich jak nieudane próby logowania, testy dostępności, skanowanie portów, ataki typu „odmowa usługi” lub inne ataki sieciowe na zapory sieciowe lub systemy sieciowe).
(k) „Personel” oznacza pracowników, przedstawicieli, konsultantów lub wykonawców danej osoby.
(l) „Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe subskrybentów w imieniu administratora danych.
(m) „Przekazanie z ograniczeniami” oznacza ujawnienie, udzielenie dostępu lub inne przekazanie danych osobowych subskrybenta dowolnej osobie znajdującej się: (i) w kontekście EOG – w dowolnym kraju lub na dowolnym terytorium poza EOG, które nie jest objęte decyzją Komisji Europejskiej w sprawie adekwatności („Przekazanie z ograniczeniami w ramach EOG”); oraz (ii) w kontekście Wielkiej Brytanii – dowolnego kraju lub terytorium poza Wielką Brytanią, które nie jest objęte decyzją o odpowiednim poziomie ochrony wydaną przez rząd Wielkiej Brytanii („przekazanie z ograniczeniami w Wielkiej Brytanii”), co byłoby zabronione bez podstawy prawnej zgodnie z rozdziałem V RODO.
(n) „SCC” oznacza łącznie (i) standardowe klauzule umowne zatwierdzone przez Komisję Europejską zgodnie z decyzją wykonawczą (UE) 2021/914 z dnia 4 czerwca 2021 r. („SCC UE”) oraz (ii) brytyjski aneks dotyczący przekazywania danych do SCC UE, wydany przez Komisarza ds. Informacji (wersja B1.0, obowiązująca od 21 marca 2022 r.) („brytyjskie SCC”).
(o) „Podwykonawca przetwarzania danych” oznacza każdą stronę trzecią wyznaczoną przez Usługodawcę lub w jego imieniu do przetwarzania danych osobowych Subskrybenta.
(p) Termin „organ nadzorczy” (i) w kontekście EOG i unijnego RODO ma znaczenie nadane mu w unijnym RODO; oraz (ii) w kontekście Wielkiej Brytanii i brytyjskiego RODO oznacza brytyjski Urząd Komisarza ds. Informacji.
1.2 Wszystkie terminy pisane wielką literą, użyte w niniejszej Umowie o przetwarzaniu danych, które nie zostały w niej zdefiniowane w inny sposób, mają znaczenie nadane im w Umowie.
, tom 2. ZAKRES NINIEJSZEGO ANEKSU DOTYCZĄCEGO PRZETWARZANIA DANYCH
2.1 Niniejszy aneks dotyczący przetwarzania danych ma zastosowanie do przetwarzania danych osobowych abonenta przez Usługodawcę na podstawie Umowy wyłącznie w zakresie, w jakim obowiązujące przepisy o ochronie danych mają zastosowanie do tych danych osobowych abonenta.
2.2 Strony przyjmują do wiadomości i uzgadniają, że szczegóły dotyczące przetwarzania danych osobowych Abonenta przez Usługodawcę (w tym odpowiednie role Stron związane z takim przetwarzaniem) są zgodne z opisem zawartym w załączniku 1 (Szczegóły dotyczące przetwarzania danych) do niniejszej Umowy o przetwarzaniu danych.
2.3 Załącznik 2 (załącznik europejski) do niniejszej umowy o przetwarzaniu danych ma zastosowanie wyłącznie w przypadku, gdy przetwarzanie danych osobowych abonentów przez usługodawcę na mocy umowy podlega przepisom RODO, oraz w zakresie, w jakim to ma miejsce.
2.4 Załącznik 3 (Załącznik dotyczący Kalifornii) do niniejszej Umowy o przetwarzaniu danych ma zastosowanie wyłącznie wtedy i w takim zakresie, w jakim przetwarzanie danych osobowych Subskrybenta przez Usługodawcę na mocy Umowy podlega przepisom CCPA, w odniesieniu do których Subskrybent jest „przedsiębiorstwem” (zgodnie z definicją zawartą w CCPA).
2.5 Punkt 9 (Pomoc w zakresie zgodności; audyty) niniejszej Umowy o przetwarzaniu danych ma zastosowanie do przetwarzania danych osobowych abonentów przez Usługodawcę w zakresie wymaganym na mocy wszelkich przepisów dotyczących umów z podmiotami przetwarzającymi zgodnie z obowiązującymi przepisami o ochronie danych, a w takich przypadkach wyłącznie w odniesieniu do przetwarzania danych osobowych abonentów podlegających tym przepisom.
, tom 3. PRZETWARZANIE DANYCH OSOBOWYCH ABONENTA
3.1 Usługodawca nie będzie przetwarzał danych osobowych abonenta w sposób inny niż zgodnie z pisemnymi instrukcjami abonenta lub zgodnie z wymogami lub zezwoleniami obowiązujących przepisów prawa. Na potrzeby Usług oraz niniejszej Umowy o przetwarzaniu danych Usługodawca będzie uznawany za podmiot przetwarzający dane (lub „usługodawcę” zgodnie z definicją zawartą w obowiązujących przepisach o ochronie danych). Niezależnie od powyższego, Użytkownik przyjmuje do wiadomości i wyraża zgodę na to, że Usługodawca może przetwarzać Dane osobowe Użytkownika oraz Dane dotyczące wydajności w celu ulepszania, rozwijania i personalizowania Usług, w tym poprzez monitorowanie działania Usług oraz ujawnianie stronom trzecim Danych osobowych Użytkownika związanych z poprawnością i dostarczalnością adresów e-mail (np. nieprawidłowe adresy e-mail, wiadomości zwracane przez serwer) zidentyfikowanych za pośrednictwem Usług („Cele szczególne”). Subskrybent przyjmuje do wiadomości i zgadza się, że określone cele mają na celu zapewnienie dokładności i aktualności danych osobowych Subskrybenta oraz innych danych osobowych przetwarzanych przez Usługodawcę, pochodzących od stron trzecich (w tym zgodnie z wymogami obowiązujących przepisów o ochronie danych lub innymi zobowiązaniami prawnymi Usługodawcy). Subskrybent przyjmuje do wiadomości i zgadza się, że Cele Szczegółowe stanowią część Usług objętych Umową oraz są zgodne z wytycznymi dotyczącymi przetwarzania danych osobowych Subskrybenta niezbędnych do świadczenia Usług. Subskrybent udziela Usługodawcy niewyłącznego, ogólnoświatowego prawa do wykorzystywania danych osobowych Subskrybenta w celu: (a) świadczenia Usług na rzecz Subskrybenta; (b) gromadzenia, wyprowadzania, wykorzystywania, ujawniania i przetwarzania w inny sposób informacji pozbawionych elementów umożliwiających identyfikację, anonimowych lub zagregowanych, pod warunkiem że żadna z tych informacji nie pozwoli bezpośrednio zidentyfikować Subskrybenta i nie może zostać wykorzystana do jego identyfikacji; (c) wykonywanie swoich praw i wypełnianie swoich obowiązków wynikających z Umowy; oraz (d) utrzymywanie i ulepszanie Usług.
3.2 Użytkownik zleca Usługodawcy przetwarzanie swoich danych osobowych w celu świadczenia Usług na rzecz Użytkownika oraz zgodnie z Umową (w tym niniejszym DPA). Umowa stanowi wyczerpujące ujęcie takich instrukcji, a wszelkie dodatkowe instrukcje Użytkownika będą wiążące dla Usługodawcy wyłącznie na mocy pisemnej zmiany niniejszej Umowy o przetwarzaniu danych podpisanej przez obie Strony. W przypadkach, w których wymagają tego obowiązujące przepisy o ochronie danych, jeżeli Usługodawca otrzyma od Subskrybenta polecenie, które w jego uzasadnionej opinii narusza obowiązujące przepisy o ochronie danych, Usługodawca powiadomi o tym Subskrybenta.
3.3 Strony uznają, że przetwarzanie danych osobowych Abonenta przez Usługodawcę, na podstawie upoważnienia wynikającego z instrukcji Abonenta określonych w Umowie (w tym w niniejszym DPA), stanowi integralną część Usług oraz relacji biznesowych między Stronami. Dostęp do danych osobowych abonentów nie stanowi części świadczenia wzajemnego między Stronami w związku z Umową ani żadnymi innymi relacjami biznesowymi.
4 PERSONEL USŁUGODAWCY
4.1 Usługodawca zobowiązuje się do tego, aby jego personel uprawniony do dostępu do danych osobowych abonenta podlegał odpowiednim zobowiązaniom dotyczącym poufności.
, tom 5. BEZPIECZEŃSTWO
5.1 Usługodawca wdroży i będzie utrzymywał środki techniczne i organizacyjne w odniesieniu do danych osobowych Abonenta, mające na celu ochronę tych danych przed naruszeniami, zgodnie z opisem zawartym w załączniku 4 (Środki bezpieczeństwa) („Środki bezpieczeństwa”).
5.2 Usługodawca może od czasu do czasu aktualizować środki bezpieczeństwa, pod warunkiem że zaktualizowane środki nie spowodują istotnego obniżenia ogólnego poziomu ochrony danych osobowych Abonenta.
, 6. WNIOSKI OSÓB, KTÓRYCH DANE DOTYCZĄ
6.1 Biorąc pod uwagę charakter przetwarzania danych osobowych Subskrybenta przez Usługodawcę, Usługodawca zapewni Subskrybentowi taką pomoc poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, o jakie Subskrybent może w uzasadniony sposób poprosić, aby pomóc mu w wypełnieniu obowiązków wynikających z obowiązujących przepisów o ochronie danych w zakresie odpowiadania na wnioski osób, których dane dotyczą.
6.2 Usługodawca jest zobowiązany do:
(a) niezwłocznego powiadomienia Subskrybenta w przypadku otrzymania wniosku od osoby, której dane dotyczą; oraz
(b) nieudzielania odpowiedzi na żadne wnioski od osób, których dane dotyczą, poza poinformowaniem tych osób o konieczności skierowania wniosku do Subskrybenta, z wyjątkiem przypadków wymaganych przez obowiązujące przepisy o ochronie danych. Abonent będzie zobowiązany do udzielenia odpowiedzi na wszelkie tego typu wnioski.
, 7. NARUSZENIE BEZPIECZEŃSTWA DANYCH OSOBOWYCH
Powiadomienie o naruszeniu i pomoc
7.1 Usługodawca powiadomi Abonenta bez zbędnej zwłoki po stwierdzeniu przez siebie naruszenia bezpieczeństwa danych osobowych, które dotyczy danych osobowych Abonenta. Powiadomienie przez Usługodawcę o naruszeniu ochrony danych osobowych lub jego reakcja na takie naruszenie nie mogą być interpretowane jako przyznanie się przez Usługodawcę do jakiejkolwiek winy lub odpowiedzialności w związku z tym naruszeniem.
7.2 W zakresie, w jakim naruszenie bezpieczeństwa danych osobowych wynikało z naruszenia przez Usługodawcę jego zobowiązań dotyczących bezpieczeństwa wynikających z Umowy, Usługodawca przekaże Subskrybentowi informacje, o które ten zwrócił się w uzasadniony sposób (o ile informacje te znajdują się w posiadaniu Usługodawcy i są mu znane oraz o ile nie zagrażają one w inny sposób bezpieczeństwu jakichkolwiek danych osobowych Subskrybenta przetwarzanych przez Usługodawcę ani innym zobowiązaniom Usługodawcy w zakresie poufności lub nieujawniania informacji, w tym zobowiązaniom nałożonym przez organy ścigania, organu nadzorczego lub innego organu rządowego), mające na celu umożliwienie Subskrybentowi wypełnienia jego zobowiązań wynikających z Obowiązujących przepisów o ochronie danych w zakresie zgłoszenia naruszenia danych osobowych. Jeżeli naruszenie bezpieczeństwa danych osobowych nie wynikało z naruszenia przez Usługodawcę zobowiązań dotyczących bezpieczeństwa wynikających z Umowy, Usługodawca będzie w rozsądnym zakresie współpracował z Abonentem; pod warunkiem jednak, że Abonent zwróci Usługodawcy wszelkie poniesione przez niego koszty. Subskrybent ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadamiania, które mają do niego zastosowanie, oraz za wypełnianie wszelkich obowiązków w zakresie powiadamiania stron trzecich związanych z naruszeniami ochrony danych osobowych.
Powiadomienie dostawcy usług
7.3 Jeżeli subskrybent stwierdzi, że naruszenie danych osobowych musi zostać zgłoszone organowi nadzorczemu lub innemu organowi rządowemu, osobom, których dane dotyczą, opinii publicznej lub innym podmiotom zgodnie z obowiązującymi przepisami o ochronie danych, w zakresie, w jakim takie powiadomienie bezpośrednio lub pośrednio odnosi się do dostawcy usług lub w inny sposób go identyfikuje, o ile zezwalają na to obowiązujące przepisy, subskrybent zobowiązuje się:
(a) powiadomić dostawcę usług z wyprzedzeniem na piśmie; oraz
(b) w dobrej wierze skonsultować się z Usługodawcą i rozważyć wszelkie wyjaśnienia lub poprawki, które Usługodawca może w uzasadniony sposób zalecić lub zażądać w odniesieniu do takiego powiadomienia, które: (i) dotyczą udziału Usługodawcy w takim naruszeniu danych osobowych lub jego związku z nim; oraz (ii) są zgodne z obowiązującymi przepisami.
, 8. PODWYKONAWCY
8.1 Abonent upoważnia ogólnie Usługodawcę do wyznaczania podwykonawców zgodnie z postanowieniami niniejszego punktu 8. Nie ograniczając się do powyższego, Subskrybent upoważnia do angażowania podwykonawców przetwarzających dane wymienionych na dzień wejścia w życie Umowy na Stronie podwykonawców przetwarzających dane, zgodnie z poniższą definicją.
8.2 Informacje dotyczące podwykonawców przetwarzających dane, w tym ich funkcji i lokalizacji, są dostępne pod adresem:
https://trust.delve.co/instantly-ai/subprocessors (który może być od czasu do czasu aktualizowany przez Usługodawcę, z zastrzeżeniem obowiązków Usługodawcy wynikających z sekcji 8.4 poniżej) lub pod innym adresem internetowym, który Usługodawca może od czasu do czasu podać Subskrybentowi („Strona podwykonawcy przetwarzającego dane”).
8.3 W przypadku zatrudnienia jakiegokolwiek podwykonawcy przetwarzającego dane Usługodawca zawrze z nim pisemną umowę zawierającą zobowiązania dotyczące ochrony danych, których poziom ochrony nie będzie niższy niż poziom określony w niniejszej umowie o przetwarzaniu danych w odniesieniu do danych osobowych Subskrybenta oraz w zakresie mającym zastosowanie do charakteru usług świadczonych przez tego podwykonawcę. W stosunkach między Stronami Usługodawca ponosi odpowiedzialność za działania i zaniechania wszystkich podwykonawców przetwarzających dane w ramach niniejszej Umowy o przetwarzaniu danych lub w związku z nią w takim samym zakresie, w jakim Usługodawca ponosiłby odpowiedzialność na mocy niniejszej Umowy o przetwarzaniu danych, gdyby sam bezpośrednio świadczył takie Usługi.
8.4 Jeżeli Usługodawca zatrudni jakiegokolwiek podwykonawcę przetwarzającego dane po dacie wejścia w życie Umowy, powiadomi o tym Subskrybenta (podając nazwę i siedzibę danego podwykonawcy oraz zakres czynności, które będzie on wykonywał) poprzez aktualizację Strony podwykonawcy lub w inny sposób na piśmie, co najmniej 15 dni przed rozpoczęciem przetwarzania danych osobowych Subskrybenta przez tego podwykonawcę. Jeżeli Abonent zgłosi sprzeciw wobec takiego powierzenia danych w formie pisemnego zawiadomienia skierowanego do Usługodawcy w ciągu 15 dni od otrzymania powiadomienia o powierzeniu danych, podając uzasadnione powody związane z ochroną danych osobowych Abonenta, Abonent i Usługodawca będą współpracować w dobrej wierze w celu wypracowania rozwiązania tego sprzeciwu, które będzie do przyjęcia dla obu stron. Jeżeli Strony nie będą w stanie osiągnąć porozumienia w rozsądnym terminie, Usługobiorca może, w ciągu 30 dni od pierwszego zgłoszenia sprzeciwu Usługodawcy, jako jedyne i wyłączne zadośćuczynienie, wypowiedzieć Umowę i zrezygnować z Usług poprzez przekazanie Usługodawcy pisemnego zawiadomienia oraz uiścić na rzecz Usługodawcy wszelkie należności wynikające z Umowy na dzień jej wypowiedzenia. Jeżeli w terminie przewidzianym w niniejszym punkcie 8.4 Subskrybent nie zgłosi sprzeciwu wobec wyznaczenia przez Usługodawcę podwykonawcy przetwarzającego dane, uznaje się, że Subskrybent wyraził zgodę na zatrudnienie tego podwykonawcy oraz dalsze korzystanie z jego usług.
, 9. WSPARCIE W ZAKRESIE ZGODNOŚCI Z PRZEPISAMI; AUDYTY
9.1 Biorąc pod uwagę charakter przetwarzania danych osobowych Subskrybenta przez Usługodawcę oraz informacje dostępne Usługodawcy, Usługodawca udzieli Subskrybentowi takich informacji i wsparcia, o jakie Subskrybent może w uzasadniony sposób poprosić (o ile informacje te są dostępne dla Usługodawcy, a ich udostępnienie nie zagraża bezpieczeństwu, poufności, integralności ani dostępności jakichkolwiek danych przetwarzanych przez Usługodawcę) w celu pomocy Subskrybentowi w wypełnieniu jego zobowiązań wynikających z Obowiązujących przepisów o ochronie danych, w tym w odniesieniu do bezpieczeństwa Danych osobowych Subskrybenta, zgłaszania i badania naruszeń ochrony Danych osobowych, wykazania zgodności Subskrybenta z tymi zobowiązaniami oraz przeprowadzania wszelkich ocen ochrony danych i konsultacji z organami nadzorczymi lub innymi organami rządowymi dotyczących takich ocen w związku z Przetwarzaniem Danych osobowych Subskrybenta przez Usługodawcę, w tym tych wymaganych na mocy art. 35 i 36 RODO.
9.2 Z zastrzeżeniem postanowień punktu 9.4 poniżej, Usługodawca udostępni Usługobiorcy takie informacje, o które Usługobiorca może w uzasadniony sposób poprosić, aby Usługodawca wykazał zgodność z obowiązującymi przepisami o ochronie danych oraz niniejszą Umową o przetwarzaniu danych. Bez uszczerbku dla powyższego, Subskrybent może przeprowadzać (zgodnie z sekcją 9.3), na własny koszt i wyłączną odpowiedzialność, a Usługodawca będzie w rozsądnym zakresie współpracował przy przeprowadzaniu uzasadnionych audytów (w tym inspekcji, przeglądów ręcznych, skanów automatycznych oraz innych testów technicznych i operacyjnych wyłącznie w zakresie, w jakim Subskrybent jest uprawniony do wykonywania tych czynności na mocy obowiązujących przepisów o ochronie danych), w każdym przypadku, w którym Subskrybent lub wykwalifikowany i niezależny audytor wyznaczony przez Subskrybenta, stosując odpowiedni i przyjęty standard lub ramy kontroli audytowej, może przeprowadzić audyt środków technicznych i organizacyjnych Usługodawcy wspierających taką zgodność, a raport audytora jest przekazywany Subskrybentowi i Usługodawcy.
9.3 Usługobiorca ma obowiązek powiadomić Usługodawcę z odpowiednim wyprzedzeniem o wszelkich takich kontrolach. Usługodawca nie ma obowiązku współpracy przy żadnym audycie: (a) przeprowadzanym przez jakąkolwiek osobę fizyczną lub podmiot, który nie zawarł z Usługodawcą umowy o zachowaniu poufności na warunkach akceptowalnych dla Usługodawcy w odniesieniu do informacji uzyskanych w związku z audytem; (b) przeprowadzanej poza normalnymi godzinami pracy Usługodawcy w danym obiekcie; lub (c) więcej niż jeden raz w ciągu roku kalendarzowego w okresie obowiązywania Umowy, z wyjątkiem wszelkich dodatkowych audytów, do których przeprowadzenia Subskrybent jest zobowiązany na mocy Obowiązujących przepisów o ochronie danych. Audyt musi być przeprowadzony zgodnie z politykami dostawcy usług w zakresie bezpieczeństwa, ochrony lub innymi odpowiednimi wytycznymi; nie może on mieć wpływu na bezpieczeństwo, poufność, integralność ani dostępność jakichkolwiek danych przetwarzanych przez dostawcę usług, a także nie może w nieuzasadniony sposób zakłócać działalności biznesowej dostawcy usług. Subskrybent nie będzie przeprowadzał żadnych skanów ani testów technicznych lub operacyjnych aplikacji, stron internetowych, usług, sieci lub systemów Usługodawcy bez uprzedniej zgody Usługodawcy (która nie może być bez uzasadnionej przyczyny odmówiona).
9.4 Jeżeli mechanizmy kontroli lub środki, które mają zostać poddane ocenie w ramach zleconego audytu, zostały już ocenione w ramach audytu SOC 2 typu 2, ISO, NIST lub podobnym raporcie z audytu przeprowadzonym przez wykwalifikowanego i niezależnego audytora zewnętrznego zgodnie z uznanymi ramami audytowymi standardów branżowych w ciągu dwunastu (12) miesięcy od złożenia przez Subskrybenta wniosku o audyt („Raport z audytu”), a Usługodawca potwierdził na piśmie, że nie nastąpiły żadne znane istotne zmiany w kontrolach poddanych audytowi i objętych takim Raportem z audytu (Raportami z audytu), Subskrybent zgadza się przyjąć dostarczenie takiego Raportu Audytowego (Raportów Audytowych) zamiast wnioskowania o audyt takich mechanizmów kontroli lub środków. Usługodawca dostarczy Abonentowi kopie wszelkich takich raportów z audytu na jego żądanie.
9.5 Takie raporty z audytu oraz wszelkie inne informacje uzyskane przez Subskrybenta w związku z audytem przeprowadzonym na podstawie niniejszego punktu 9 stanowią Informacje poufne Usługodawcy, z których Subskrybent może korzystać wyłącznie w celu potwierdzenia zgodności z wymogami niniejszej Umowy o przetwarzaniu danych lub wypełnienia zobowiązań Subskrybenta wynikających z obowiązujących przepisów o ochronie danych. Żadne z postanowień niniejszego punktu 9 nie może być interpretowane jako zobowiązujące Usługodawcę do naruszenia jakiegokolwiek obowiązku zachowania poufności.
, 10. ZWROT I USUNIĘCIE
10.1 W ciągu 30 dni od wygaśnięcia lub wcześniejszego rozwiązania Umowy Usługodawca, w najszerszym zakresie technicznie możliwym w danych okolicznościach, albo (i) zwróci i/lub usunie wszystkie Dane Osobowe Subskrybenta znajdujące się pod opieką, w posiadaniu lub pod kontrolą Usługodawcy zgodnie z instrukcjami Subskrybenta dotyczącymi zwrotu i usunięcia Danych Subskrybenta po wygaśnięciu Umowy, wyrażonymi w Umowie, albo z zastrzeżeniem postanowień sekcji 11.5, dalszych instrukcji Subskrybenta, lub (ii) nieodwracalnie zanonimizować lub pozbawić identyfikowalności wszystkie Dane Osobowe Subskrybenta znajdujące się pod opieką, w posiadaniu lub pod kontrolą Usługodawcy.
10.2 Niezależnie od powyższego Usługodawca może przechowywać Dane osobowe Subskrybenta, jeżeli wymaga tego prawo (lub, w przypadku Danych osobowych Subskrybenta podlegających przepisom RODO, przepisy prawa Wielkiej Brytanii lub Europejskiego Obszaru Gospodarczego, stosownie do przypadku), pod warunkiem że Usługodawca: (a) będzie przechowywał wszystkie takie Dane osobowe Subskrybenta zgodnie z niniejszą Umową o przetwarzaniu danych oraz (b) przetwarzał Dane osobowe Subskrybenta wyłącznie w zakresie niezbędnym do celów i przez okres określony w obowiązujących przepisach wymagających takiego przechowywania.
, 11. OBOWIĄZKI SUBSKRYBENTA
11.1 Bez uszczerbku dla postanowień sekcji 1.4 Umowy, Subskrybent zgadza się, że – bez uszczerbku dla zobowiązań Usługodawcy wynikających z sekcji 5 (Bezpieczeństwo) – ponosi wyłączną odpowiedzialność za korzystanie z Usług, w tym za: (a) właściwe korzystanie z Usług w celu utrzymania poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z Danymi osobowymi Subskrybenta; (b) zabezpieczenie danych uwierzytelniających konta, systemów i urządzeń, z których Subskrybent korzysta w celu uzyskania dostępu do Usług; (c) zabezpieczenie systemów i urządzeń Subskrybenta, z których Usługodawca korzysta w celu świadczenia Usług; oraz (d) tworzenie kopii zapasowych Danych osobowych Subskrybenta.
11.2 Subskrybent zobowiązuje się zapewnić:
(a) że istnieje i będzie istnieć przez cały okres obowiązywania Umowy ważna podstawa prawna przetwarzania przez Usługodawcę Danych Osobowych Subskrybenta zgodnie z niniejszą Umową o Przetwarzaniu Danych (DPA) oraz Umową (w tym wszelkimi instrukcjami wydawanymi od czasu do czasu przez Subskrybenta w odniesieniu do takiego przetwarzania) dla celów wszystkich Obowiązujących Przepisów o Ochronie Danych (w tym art. 6, art. 9 ust. 2 i/lub art. 10 RODO (w stosownych przypadkach)); oraz
(b) że (i ponosi wyłączną odpowiedzialność za zapewnienie, że) wszystkie wymagane powiadomienia zostały przekazane, a wszystkie zgody, zezwolenia i prawa zostały uzyskane od osób, których dane dotyczą, oraz innych osób, zgodnie z wymogami obowiązujących przepisów o ochronie danych lub w inny sposób, aby Usługodawca mógł przetwarzać dane osobowe Subskrybenta zgodnie z postanowieniami Umowy.
11.3 Subskrybent zgadza się, że Usługi, Środki bezpieczeństwa oraz zobowiązania Usługodawcy wynikające z niniejszej Umowy o przetwarzaniu danych są wystarczające do zaspokojenia potrzeb Subskrybenta, w tym w odniesieniu do wszelkich obowiązków Subskrybenta w zakresie bezpieczeństwa wynikających z Obowiązujących przepisów o ochronie danych, oraz zapewniają poziom bezpieczeństwa odpowiedni do ryzyka związanego z Danymi osobowymi Subskrybenta.
11.4 Subskrybent nie będzie, a także zobowiązuje się dopilnować, aby jego Upoważnieni Użytkownicy nie przekazywali ani w inny sposób nie udostępniali Usługodawcy żadnych Danych Osobowych Subskrybenta, które zawierają: (a) numery ubezpieczenia społecznego lub inne numery identyfikacyjne nadane przez organy państwowe; (b) chronionych informacji zdrowotnych podlegających ustawie o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) lub innych informacji dotyczących historii medycznej danej osoby, jej stanu psychicznego lub fizycznego, leczenia lub diagnozy postawionej przez pracownika służby zdrowia; (c) informacji dotyczących ubezpieczenia zdrowotnego; (d) informacji biometrycznych; (e) dane uwierzytelniające do jakichkolwiek rachunków finansowych lub dane kart kredytowych, debetowych lub innych kart płatniczych podlegających standardowi bezpieczeństwa danych w branży kart płatniczych (PCI DSS); (f) dane ze zeznań podatkowych; (g) dokładną geolokalizację; (h) dane ujawniające pochodzenie rasowe lub etniczne, przekonania religijne, życie seksualne lub orientację seksualną, przynależność do związków zawodowych, obywatelstwo lub status imigracyjny; (i) dane genetyczne; (j) dane zebrane od znanego dziecka; (k) wszelkie informacje stanowiące szczególną kategorię danych osobowych (zgodnie z art. 9 ust. 1 RODO) i/lub dane dotyczące wyroków skazujących i przestępstw; oraz (j) wszelkie dane logowania do kont internetowych. Subskrybent przyjmuje do wiadomości, że Usługodawca nie jest partnerem biznesowym (w rozumieniu ustawy HIPAA) ani podmiotem obsługującym płatności kartą. Użytkownik przyjmuje do wiadomości, że Usługi nie zostały zaprojektowane tak, aby były zgodne z przepisami HIPAA lub PCI DSS.
11.5 Z wyjątkiem przypadków, w których zabraniają tego obowiązujące przepisy prawa, Subskrybent zobowiązany jest wynagrodzić Usługodawcy, zgodnie z obowiązującymi w danym momencie stawkami za usługi profesjonalne, oraz zwrócić wszelkie koszty poniesione w sposób uzasadniony przez Usługodawcę w związku ze świadczeniem współpracy, udzielaniem informacji lub pomocy, o które zwrócił się Subskrybent zgodnie z sekcjami 6 (Wnioski osób, których dane dotyczą), 9 (Pomoc w zakresie zgodności; audyty) oraz 10.1 (Zwrot i usunięcie) niniejszej Umowy o przetwarzaniu danych, wykraczające poza udostępnianie funkcji samoobsługi w ramach Usług.
, 12. DANE POZBAWIONE CECH IDENTYFIKACYJNYCH, ANONIMOWE LUB ZAGREGOWANE
12.1 W zakresie, w jakim Usługodawca przetwarza lub generuje jakiekolwiek dane pozbawione cech identyfikacyjnych, Usługodawca podejmie uzasadnione środki mające na celu zapobieżenie powiązaniu takich danych z osobą fizyczną.
12.2 Jeżeli tworzenie i/lub wykorzystywanie przez Usługodawcę danych zagregowanych, zanonimizowanych lub pozbawionych elementów umożliwiających identyfikację podlega Obowiązującym przepisom o ochronie danych, wówczas tworzenie i/lub wykorzystywanie takich danych przez Usługodawcę, w tym między innymi danych pozbawionych elementów umożliwiających identyfikację, jest dozwolone wyłącznie w zakresie, w jakim dane te stanowią „zagregowane informacje o konsumentach” lub zostały „pozbawione elementów umożliwiających identyfikację” lub „zanonimizowane” (zgodnie z definicjami tych terminów zawartymi w obowiązujących przepisach o ochronie danych).
13. ODPOWIEDZIALNOŚĆ
13.1 Łączna odpowiedzialność każdej ze Stron wobec drugiej Strony, niezależnie od przyczyny jej powstania, wynikająca z niniejszej Umowy o przetwarzaniu danych (DPA) oraz Standardowych klauzul umownych (SCC) (o ile mają one zastosowanie) lub związana z nimi, w żadnym wypadku nie przekroczy limitów ani pułapów odpowiedzialności oraz nie będzie podlegać wyłączeniom odpowiedzialności i strat uzgodnionym przez Strony w Umowie; z zastrzeżeniem, że żadne postanowienie niniejszego punktu 13 nie wpływa na odpowiedzialność jakiejkolwiek osoby wobec osób, których dane dotyczą, na mocy postanowień dotyczących osób trzecich będących beneficjentami Standardowych klauzul ochronnych (o ile mają one zastosowanie).
, 14. ZMIANY W PRZEPISACH
14.1 Usługodawca może, po uprzednim powiadomieniu, wprowadzić zmiany do niniejszej Umowy o przetwarzaniu danych w zakresie, w jakim (działając w sposób rozsądny) uzna to za konieczne w celu spełnienia aktualnych wymogów obowiązujących przepisów o ochronie danych, w tym poprzez zmianę lub zastąpienie standardowych klauzul umownych w sposób opisany w pkt 2.1 i 2.2 załącznika 2 (załącznik europejski).
, 15. WŁĄCZENIE I KOLEJNOŚĆ
15.1 Niniejsza Umowa o przetwarzaniu danych zostaje włączona do Umowy i stanowi jej część ze skutkiem od Daty wejścia w życie Aneksu.
15.2 W przypadku jakiejkolwiek sprzeczności lub rozbieżności między:
(a) niniejszą Umową o przetwarzaniu danych a Umową, pierwszeństwo ma niniejsza Umowa o przetwarzaniu danych; lub
(b) jakimikolwiek standardowymi klauzulami ochronnymi zawartymi zgodnie z pkt 2 załącznika 2 (załącznik europejski) a niniejszą Umową o przetwarzaniu danych i/lub Umową, pierwszeństwo mają standardowe klauzule ochronne w odniesieniu do ograniczonego przekazania, do którego mają one zastosowanie.
Załącznik 1
Szczegóły dotyczące przetwarzania danych
DANE USŁUGODAWCY / „IMPORTERA DANYCH”
Nazwa: Foo Monk LLC
Adres: Zgodnie z preambułą do DPA
Dane kontaktowe ds. ochrony danych: E-mail:
[email protected]Działalność dostawcy usług: Foo Monk LLC zapewnia platformę, która pomaga swoim subskrybentom w skalowaniu kampanii e-mailowych, a także bazę danych potencjalnych klientów typu business-to-business („B2B”), z której subskrybenci mogą korzystać w celu prowadzenia kampanii e-mailowych typu cold e-mail i/lub wyszukiwania danych kontaktowych potencjalnych klientów B2B.
Rola: Podmiot przetwarzający
DANE SUBSKRYBENTA / „EKSPORTERA DANYCH”
Imię i nazwisko, adres oraz dane kontaktowe:
Podane przez Subskrybenta podczas tworzenia konta lub w inny sposób w związku z przyjęciem Umowy oraz zapisane w profilu konta Subskrybenta.
Działania subskrybenta:
Działania subskrybenta objęte niniejszym DPA obejmują korzystanie z Usług oraz ich otrzymywanie na mocy Umowy, zgodnie z jej postanowieniami oraz w celach przewidzianych i dozwolonych w Umowie, w ramach bieżącej działalności biznesowej.
Rola: Administrator danych
SZCZEGÓŁOWE INFORMACJE DOTYCZĄCE PRZETWARZANIA
Kategorie osób, których dane dotyczą:
Do osób, których dane dotyczą, należą między innymi:
Potencjalni klienci Subskrybenta
Obecni klienci Subskrybenta
Każda kategoria obejmuje obecne, byłych oraz potencjalnych użytkowników.
Kategorie danych osobowych subskrybentów:
Istotne dane osobowe subskrybentów obejmują:
Dane identyfikacyjne (np. imię i nazwisko)
Dane marketingowe (np. adres e-mail, dane dotyczące aktywności w poczcie elektronicznej)
Treści przesłane przez subskrybenta (tj. wszelkie dane osobowe subskrybenta zawarte w danych subskrybenta, takie jak tytuł, nazwa firmy, opis firmy na LinkedIn, numer telefonu (służbowy), liczba pracowników w tej firmie, branża, adres profilu osobistego i firmowego na LinkedIn, miasto, stan i kraj osoby lub firmy, strony profilowe na LinkedIn, adres URL na Facebooku, adres URL na Twitterze oraz strony internetowe).
Kategorie danych wrażliwych oraz związane z nimi dodatkowe ograniczenia/środki zabezpieczające:
Kategorie danych wrażliwych:
Nie dotyczy
Dodatkowe środki zabezpieczające dotyczące danych wrażliwych:
Nie dotyczy
Częstotliwość przekazywania:
Na bieżąco – w miarę inicjowania przez Subskrybenta w ramach korzystania z Usług lub korzystania z nich w jego imieniu.
Charakter przetwarzania:
Czynności związane z przetwarzaniem danych niezbędne do świadczenia Usług zgodnie z Umową, takie jak gromadzenie, rejestrowanie, porządkowanie, strukturyzowanie, przechowywanie, dostosowywanie lub modyfikowanie, wyszukiwanie, przeglądanie, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Cel przetwarzania:
Dane osobowe Subskrybenta będą przetwarzane: (i) w zakresie niezbędnym do świadczenia Usług zgodnie z inicjatywą Subskrybenta w ramach korzystania z nich oraz (ii) w celu wykonania wszelkich innych uzasadnionych poleceń przekazanych przez Subskrybenta zgodnie z postanowieniami niniejszej Umowy o przetwarzaniu danych.
Czas trwania przetwarzania / okres przechowywania:
Przez cały okres obowiązywania Umowy, a następnie zgodnie z sekcją 10 (Zwrot i usunięcie) niniejszego DPA.
Przekazywanie danych podwykonawcom:
Przekazywanie danych podwykonawcom odbywa się w sposób i w celach opisanych w aktualnej wersji wykazu podwykonawców (który może być od czasu do czasu aktualizowany zgodnie z umową o przetwarzaniu danych).
Załącznik 2 Załącznik europejski
1. OCENA SKUTKÓW DLA OCHRONY DANYCH I WCZEŚNIEJSZE KONSULTACJE
1.1 Biorąc pod uwagę charakter przetwarzania danych osobowych Subskrybenta przez Usługodawcę oraz informacje dostępne Usługodawcy, Usługodawca zapewni Subskrybentowi, na koszt Subskrybenta, rozsądną pomoc w zakresie wszelkich ocen skutków dla ochrony danych oraz wcześniejszych konsultacji z organami nadzorczymi, które Subskrybent w uzasadniony sposób uzna za wymagane na mocy art. 35 lub art. 36 RODO, w każdym przypadku wyłącznie w odniesieniu do przetwarzania danych osobowych Subskrybenta przez Usługodawcę.
, tom 2. PRZEKAZY OGRANICZONE
Przekazy ograniczone w ramach EOG
2.1 W zakresie, w jakim jakiekolwiek przetwarzanie danych osobowych subskrybenta na mocy niniejszej DPA wiąże się z ograniczonym przekazaniem danych z EOG od subskrybenta do dostawcy usług, strony będą przestrzegać swoich odpowiednich zobowiązań określonych w standardowych klauzulach umownych UE, które niniejszym uznaje się za:
(a) wypełnione zgodnie z częścią 1 załącznika 1 do niniejszego załącznika 2 (załącznik europejski); oraz
(b) zawarte przez Strony i włączone przez odniesienie do niniejszej Umowy o przetwarzaniu danych.
Przekazywanie danych z ograniczeniami do Wielkiej Brytanii2.2 W zakresie, w jakim przetwarzanie danych osobowych subskrybenta na mocy niniejszej umowy o przetwarzaniu danych wiąże się z przekazaniem danych z ograniczeniami do Wielkiej Brytanii od subskrybenta do usługodawcy, strony są zobowiązane do wypełniania swoich odpowiednich obowiązków określonych w standardowych klauzulach umownych dla Wielkiej Brytanii, które niniejszym uznaje się za: (a) Standardowe klauzule umowne UE (EU SCCs) zmodyfikowane w celu uwzględnienia wymogów brytyjskiego RODO zgodnie z brytyjskim aneksem dotyczącym transferu oraz wypełnione zgodnie z częścią 2 załącznika 1 do niniejszego załącznika 2 (załącznik europejski); oraz (b) zawarte przez Strony i włączone przez odniesienie do niniejszej Umowy o przetwarzaniu danych.
Wprowadzenie nowego mechanizmu przekazywania danych2.3 Usługodawca może, po uprzednim powiadomieniu, zmienić niniejszą umowę o przetwarzaniu danych (DPA) i zastąpić odpowiednie standardowe klauzule ochronne (SCC) następującymi dokumentami:
(a) dowolną nową wersję odpowiednich standardowych klauzul ochronnych lub dowolny ich zamiennik, przygotowany i wypełniony zgodnie z wymogami (np. standardowe klauzule ochronne przyjęte przez Komisję Europejską do stosowania w szczególności w odniesieniu do przekazywania danych do odbiorców podlegających art. 3 ust. 2 unijnego RODO); lub
(b) inny mechanizm przekazywania danych,
który umożliwia zgodne z prawem przekazywanie danych osobowych subskrybenta przez subskrybenta do dostawcy usług na mocy niniejszej umowy o przetwarzaniu danych zgodnie z rozdziałem V RODO.
Dostarczenie pełnych standardowych klauzul umownych (SCC)2.4 W odniesieniu do dowolnego Przekazania z ograniczeniami, jeżeli organ nadzorczy, osoba, której dane dotyczą lub inny administrator (w stosownych przypadkach) zwróci się do Subskrybenta z konkretnym pisemnym wnioskiem (skierowanym na dane kontaktowe określone w Załączniku 1 (Szczegóły dotyczące przetwarzania danych); wraz z odpowiednimi dowodami potwierdzającymi ten wniosek), Usługodawca dostarczy Subskrybentowi podpisany egzemplarz odpowiedniego zestawu (zestawów) standardowych klauzul umownych (SCC) odpowiadających wnioskowi skierowanemu do Subskrybenta (zmienionych i wypełnionych zgodnie z Załącznikiem 1 do niniejszego Załącznika 2 (Załącznik europejski) w odniesieniu do danego ograniczonego przekazania) w celu kontrasygnaty przez Subskrybenta, dalszego przekazania odpowiedniemu wnioskodawcy i/lub przechowywania w celu udokumentowania zgodności Subskrybenta z obowiązującymi przepisami o ochronie danych.
, tom 3. WYJAŚNIENIA OPERACYJNE
3.1 Wypełniając swoje obowiązki w zakresie przejrzystości wynikające z punktu 8.3 standardowych klauzul umownych UE, Subskrybent zobowiązuje się nie ujawniać ani w inny sposób nie udostępniać, a także podjąć wszelkie odpowiednie kroki w celu ochrony tajemnic handlowych, tajemnic biznesowych, informacji poufnych i/lub innych informacji wrażliwych z punktu widzenia handlu, należących do Usługodawcy i jego licencjodawców.
3.2 W stosownych przypadkach, dla celów punktu 10 lit. a) modułu drugiego standardowych klauzul umownych UE, Subskrybent przyjmuje do wiadomości i zgadza się, że nie istnieją żadne okoliczności, w których właściwe byłoby powiadomienie przez Usługodawcę jakiegokolwiek zewnętrznego administratora danych o wniosku osoby, której dane dotyczą, oraz że wszelkie takie powiadomienia leżą wyłącznie w gestii Subskrybenta.
3.3 Na potrzeby punktu 15.1 lit. a) standardowych klauzul ochronnych UE, z wyjątkiem przypadków, w których jest to zabronione przez obowiązujące prawo i/lub właściwy organ publiczny, w stosunkach między Stronami Subskrybent zgadza się, że ponosi wyłączną odpowiedzialność za przekazywanie wszelkich powiadomień odpowiednim osobom, których dane dotyczą, jeżeli i w zakresie, w jakim jest to wymagane.
3.4 Warunki określone w sekcji 8 niniejszej umowy o przetwarzaniu danych mają zastosowanie w odniesieniu do wyznaczania i korzystania przez Usługodawcę z usług podwykonawców przetwarzających dane na podstawie standardowych klauzul umownych UE. Każda zgoda Subskrybenta na wyznaczenie przez Usługodawcę podwykonawcy przetwarzającego dane, udzielona w sposób wyraźny lub uznana za udzieloną zgodnie z sekcją 8, stanowi udokumentowaną instrukcję Subskrybenta dotyczącą ujawniania danych i dalszego przekazywania ich odpowiednim podwykonawcom przetwarzającym dane, o ile jest to wymagane na mocy klauzuli 8.8 standardowych klauzul umownych UE.
3.5 Audyty opisane w punktach 8.9 lit. c) i 8.9 lit. d) standardowych klauzul ochronnych UE podlegają wszelkim odpowiednim warunkom określonym w sekcji 9 niniejszego DPA.
3.6 Potwierdzenie usunięcia danych osobowych Subskrybenta, o którym mowa w punktach 8.5 i 16 lit. d) standardowych klauzul umownych UE, zostanie przekazane wyłącznie na pisemny wniosek Subskrybenta.
Załącznik 1 DO ZAŁĄCZNIKA EUROPEJSKIEGO – TREŚĆ STANDARDOWYCH KLAUZUL OCHRONY DANYCH (SCC)
Uwagi:
W przypadku każdego transferu danych o ograniczonym zakresie w ramach EOG standardowe klauzule ochrony danych (
SCC) UE, wypełnione zgodnie z częścią 1 niniejszego załącznika 1, zostają włączone przez odniesienie do umowy o przetwarzaniu danych (DPA) i stanowią jej integralną część (o ile ma to zastosowanie zgodnie z pkt 2.1 załącznika 2 (załącznik europejski) do umowy o przetwarzaniu danych).
W przypadku każdego transferu danych o ograniczonym zakresie w Wielkiej Brytanii brytyjskie standardowe klauzule umowne (tj. standardowe klauzule umowne UE zmienione w brytyjskim aneksie dotyczącym transferu danych i wypełnione zgodnie z częścią 2 niniejszego załącznika 1) zostają włączone przez odniesienie do umowy o przetwarzaniu danych (DPA) i stanowią jej integralną część (o ile ma to zastosowanie zgodnie z pkt 2.2 załącznika 2 (załącznik europejski) do umowy o przetwarzaniu danych).
CZĘŚĆ 1: POPULACJA KODÓW SCC – KODY SCC UE
1. PODPISANIE STANDARDOWYCH KLAUZUL OCHRONY DANYCH UE:
W przypadku gdy standardowe klauzule ochrony danych UE mają zastosowanie zgodnie z pkt 2.1 załącznika 2 (załącznik europejski) do umowy o przetwarzaniu danych, (a) uznaje się, że każda ze Stron podpisała standardowe klauzule ochrony danych UE w odpowiednim polu na podpis w załączniku I do dodatku do standardowych klauzul ochrony danych UE; oraz (b) te standardowe klauzule ochronne UE zostają zawarte między Stronami ze skutkiem od (i) daty wejścia w życie aneksu; lub (ii) daty pierwszego transferu z ograniczeniami w EOG, do którego mają one zastosowanie zgodnie z paragrafem 2.1 załącznika 2 (załącznik europejski) do umowy o przetwarzaniu danych, w zależności od tego, która z tych dat jest wcześniejsza.
, tom 2. MODUŁY
Poniższy moduł standardowych klauzul ochronnych UE ma zastosowanie w sposób określony poniżej (z uwzględnieniem roli(-i) Subskrybenta określonej(-ych) w załączniku 1 do załącznika 2 (załącznik europejski) do umowy o przetwarzaniu danych): Moduł drugi standardowych klauzul ochronnych UE ma zastosowanie do wszelkich transferów z ograniczeniami w EOG, obejmujących przetwarzanie danych osobowych Subskrybenta, w odniesieniu do których Subskrybent jest samodzielnym administratorem danych.
3. TREŚĆ KORPUSU UNIJNYCH KLAUZUL STANDARDOWYCH
3.1 W odniesieniu do modułu drugiego unijnych klauzul standardowych stosuje się następujące zasady, o ile mają one zastosowanie do tego modułu i zawartych w nim postanowień:
(a) Opcjonalna „klauzula dokowania” zawarta w punkcie 7 nie jest stosowana, a treść tego punktu 7 pozostawia się celowo pustą.
(b) W punkcie 9:
(i) W przypadku zastosowania OPCJI 2: OGÓLNE UPOWAŻNIENIE NA PIŚMIE minimalny termin na uprzednie powiadomienie o dodaniu lub zmianie podwykonawców przetwarzania danych wynosi tyle, ile określono w sekcji 8.4 Umowy o przetwarzaniu danych; oraz
(ii) OPCJA 1: SZCZEGÓŁOWE UPRZEDNIE UPOWAŻNIENIE nie jest stosowane, a ten opcjonalny zapis zostaje usunięty; podobnie jak w związku z tym załącznik III do dodatku do standardowych klauzul ochronnych UE.
(c) W punkcie 11 nie stosuje się sformułowania fakultatywnego i zostaje ono skreślone.
(d) W punkcie 13 usuwa się wszystkie nawiasy kwadratowe, a cała zawarta w nich treść pozostaje bez zmian.
W punkcie 17: zastosowanie ma WARIANT 1, a Strony uzgadniają, że standardowe klauzule ochronne UE podlegają prawu irlandzkiemu w odniesieniu do wszelkich transferów z ograniczeniami w ramach EOG; natomiast WARIANT 2 nie ma zastosowania, a zawarte w nim sformułowania zostają usunięte.
(f) Na potrzeby punktu 18 Strony uzgadniają, że wszelkie spory wynikające ze standardowych klauzul ochronnych UE w związku z jakimkolwiek przekazaniem danych o ograniczonym zasięgu w EOG będą rozstrzygane przez sądy w Irlandii, a punkt 18 lit. b) zostanie odpowiednio uzupełniony.
3.2 W niniejszym punkcie 3 termin „klauzule” odnosi się do klauzul standardowych klauzul umownych UE.
, tom 4. WYPEŁNIANIE ZAŁĄCZNIKÓW DO DODATKU DO STANDARDOWYCH KLAUZUL OCHRONY DANYCH UE
4.1 Załącznik I do dodatku do standardowych klauzul ochrony danych UE należy wypełnić odpowiednimi informacjami wyszczególnionymi w załączniku 1 (Szczegóły dotyczące przetwarzania danych) do umowy o przetwarzaniu danych, przy czym: subskrybent jest „podmiotem przekazującym dane”, a dostawca usług jest „podmiotem odbierającym dane”.
4.2 Część C załącznika I do dodatku do standardowych klauzul umownych UE wypełnia się w następujący sposób:
(a) Jeżeli subskrybent ma siedzibę w państwie członkowskim UE, właściwym organem nadzorczym jest organ nadzorczy tego państwa członkowskiego UE, w którym subskrybent ma siedzibę.
(b) Jeżeli Subskrybent nie ma siedziby w państwie członkowskim UE, zastosowanie ma art. 3 ust. 2 unijnego RODO, a Subskrybent wyznaczył przedstawiciela w UE zgodnie z art. 27 unijnego RODO: właściwym organem nadzorczym jest organ nadzorczy państwa członkowskiego UE, w którym ma siedzibę przedstawiciel Subskrybenta w UE odpowiedzialny za przetwarzanie danych na mocy niniejszej umowy (w danym momencie).
(c) W przypadku gdy Subskrybent nie ma siedziby w państwie członkowskim UE, zastosowanie ma art. 3 ust. 2 RODO, ale Subskrybent nie wyznaczył przedstawiciela w UE zgodnie z art. 27 RODO: właściwym organem nadzorczym jest organ nadzorczy państwa członkowskiego UE zgłoszony na piśmie do punktu kontaktowego Usługodawcy ds. ochrony danych wskazanego w załączniku 1 (Szczegóły przetwarzania danych) do Umowy o przetwarzaniu danych, który musi być państwem członkowskim UE, w którym znajdują się osoby, których dane osobowe są przekazywane na podstawie niniejszych klauzul w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane.
4.3 Załącznik II do dodatku do standardowych klauzul umownych UE (SCC) zawiera następujące informacje:
General Informacje ogólne:
Prosimy o zapoznanie się z sekcją 5 umowy o przetwarzaniu danych (DPA) oraz opisanymi w niej środkami bezpieczeństwa.
W przypadku gdy Subskrybent otrzyma wniosek od osoby, której dane dotyczą, zgodnie z unijnym rozporządzeniem RODO i będzie potrzebował pomocy ze strony Usługodawcy, powinien przesłać wiadomość e-mail do osoby kontaktowej ds. ochrony danych wskazanej w załączniku 1 (Szczegóły dotyczące przetwarzania danych) do organu ochrony danych.
Podwykonawcy przetwarzający dane: W przypadku gdy Usługodawca angażuje podwykonawcę przetwarzającego dane na podstawie niniejszych klauzul, Usługodawca zawrze z takim podwykonawcą wiążącą umowę, która nałoży na niego obowiązki w zakresie ochrony danych, które co do istoty spełniają lub przewyższają odpowiednie standardy wymagane na mocy niniejszych klauzul oraz DPA – w tym w odniesieniu do:
stosownych środków bezpieczeństwa informacji;
powiadamiania Usługodawcy o naruszeniach ochrony danych osobowych;
zwrotu lub usunięcia danych osobowych Subskrybenta w razie potrzeby; oraz
angażowania kolejnych podwykonawców przetwarzających dane.
CZĘŚĆ 2: PRZESYŁKI Z OGRANICZENIAMI W WIELKIEJ BRYTANII – UK SCCs
1. DODATEK DOTYCZĄCY PRZEKAZÓW DO WIELKIEJ BRYTANII
1.1 W stosownych przypadkach, zgodnie z pkt 2.2 załącznika 2 (załącznik europejski) do DPA, standardowe klauzule ochronne UE mają również zastosowanie w kontekście przekazów do Wielkiej Brytanii podlegających ograniczeniom, zmienionych na mocy dodatku dotyczącego przekazów do Wielkiej Brytanii (standardowe klauzule ochronne UE), w sposób opisany poniżej –
(a)
Część 1 dodatku dotyczącego przekazów do Wielkiej Brytanii. Strony uzgadniają:
(i) Tabele 1, 2 i 3 do Załącznika dotyczącego przekazywania danych do Wielkiej Brytanii uznaje się za wypełnione odpowiednimi danymi określonymi w załączniku 1 (Szczegóły dotyczące przetwarzania danych) do Umowy o przetwarzaniu danych oraz w powyższych postanowieniach niniejszego Załącznika 1 do Załącznika 2 (Załącznik europejski) (z zastrzeżeniem zmian wprowadzonych przez klauzule obowiązkowe dla Wielkiej Brytanii opisane w pkt (b) poniżej); oraz
(ii) Tabela 4 do Dodatku dotyczącego transferu do Wielkiej Brytanii zostaje wypełniona poprzez uznanie, że pole oznaczone jako „Importer danych” zostało zaznaczone.
(b)
Część 2 załącznika dotyczącego transferu w Wielkiej Brytanii. Strony zgadzają się przestrzegać postanowień dotyczących klauzul obowiązkowych zawartych w brytyjskim aneksie dotyczącym transferu.
4.5 Zgodnie z postanowieniami sekcji 17 brytyjskich klauzul obowiązkowych Strony zgadzają się na przedstawienie informacji wymaganych w „Części 1: Tabele” brytyjskiego aneksu transferowego w sposób określony w pkt 1.1 niniejszej części 2; przy czym Strony uzgadniają ponadto, że żaden element tego sposobu przedstawienia nie będzie miał skutku ani nie będzie interpretowany w sposób ograniczający odpowiednie zabezpieczenia (zdefiniowanych w sekcji 3 brytyjskich klauzul obowiązkowych).
4.6 W odniesieniu do wszelkich transferów objętych ograniczeniami w Wielkiej Brytanii, do których mają one zastosowanie, o ile pozwala na to i wymaga tego kontekst, wszelkie odniesienia do standardowych klauzul ochronnych zawarte w umowie o przetwarzaniu danych należy rozumieć jako odniesienia do tych standardowych klauzul ochronnych w brzmieniu zmienionym zgodnie z pkt 1.1 niniejszej części 2.
Załącznik 3
Załącznik dotyczący Kalifornii
1. W niniejszym załączniku terminy „działalność gospodarcza”, „cel biznesowy”, „cel handlowy”, „konsument”, „sprzedaż”, „udostępnianie” oraz „usługodawca” mają znaczenie nadane im w ustawie CCPA; natomiast termin „dane osobowe” oznacza dane osobowe abonenta, które stanowią „dane osobowe” w rozumieniu ustawy CCPA i podlegają jej przepisom.
, tom 2. Celem biznesowym oraz zakresem usług, w związku z którymi Usługodawca przetwarza dane osobowe, jest świadczenie przez Usługodawcę usług na rzecz i w imieniu Subskrybenta zgodnie z postanowieniami Umowy, co zostało szczegółowo opisane w załączniku 1 (Szczegóły dotyczące przetwarzania danych).
, tom 3. Zamiarem Stron jest, aby w odniesieniu do wszelkich danych osobowych Usługodawca pełnił rolę dostawcy usług. Usługodawca (a) potwierdza, że dane osobowe są ujawniane przez Subskrybenta wyłącznie w ograniczonych i konkretnych celach opisanych w Umowie; (b) zobowiązuje się do przestrzegania obowiązujących zobowiązań wynikających z CCPA oraz zapewnienia takiego samego poziomu ochrony prywatności danych osobowych, jaki wymaga CCPA; (c) zgadza się, że Subskrybent ma prawo podjąć uzasadnione i odpowiednie kroki zgodnie z sekcją 9 (Pomoc w zakresie zgodności; Audyty) niniejszej Umowy o przetwarzaniu danych, aby pomóc zapewnić, że wykorzystanie danych osobowych przez Usługodawcę jest zgodne z zobowiązaniami Subskrybenta wynikającymi z CCPA; (d) powiadomi Subskrybenta na piśmie o każdym stwierdzeniu przez Usługodawcę, że nie jest już w stanie wywiązać się ze swoich zobowiązań wynikających z CCPA; oraz (e) zgadza się, że Subskrybent ma prawo, po otrzymaniu powiadomienia, w tym zgodnie z poprzednim punktem, podjąć uzasadnione i odpowiednie kroki w celu powstrzymania i naprawienia nieuprawnionego wykorzystania danych osobowych.
, tom 4. Usługodawca nie będzie (a) sprzedawał ani udostępniał żadnych danych osobowych; (b) przechowywał, wykorzystywał ani ujawniał żadnych danych osobowych w celach innych niż cele biznesowe określone w Umowie, w tym przechowywał, wykorzystywał lub ujawniał danych osobowych w celach komercyjnych innych niż cele biznesowe określone w Umowie lub w sposób dozwolony na mocy CCPA; (c) przechowywać, wykorzystywać ani ujawniać danych osobowych poza bezpośrednią relacją biznesową między Usługodawcą a Subskrybentem; ani (d) łączyć danych osobowych otrzymanych na podstawie Umowy z danymi osobowymi (i) otrzymanymi od innej osoby lub w jej imieniu, lub (ii) zebranymi w wyniku własnej interakcji Usługodawcy z konsumentem, którego te dane osobowe dotyczą.
, tom 5. Usługodawca wprowadzi rozsądne procedury i praktyki bezpieczeństwa, odpowiednie do charakteru danych osobowych otrzymanych od Subskrybenta lub w jego imieniu, zgodnie z sekcją 5 (Bezpieczeństwo) Umowy o przetwarzaniu danych.
, 6. W przypadku powierzenia przetwarzania danych podwykonawcy Usługodawca powiadomi Usługobiorcę o takim powierzeniu zgodnie z sekcją 8 (Podwykonawstwo) Umowy o przetwarzaniu danych.
Załącznik 4
Środki bezpieczeństwa
Od daty wejścia w życie aneksu Usługodawca wdroży i będzie stosował środki bezpieczeństwa określone w niniejszym załączniku 4.
, tom 1. Kierownictwo organizacji oraz wyspecjalizowany personel odpowiedzialny za opracowanie, wdrożenie i utrzymanie programu bezpieczeństwa informacji dostawcy usług.
, tom 2. Procedury audytowe i oceny ryzyka służące do okresowego przeglądu i oceny zagrożeń dla organizacji Usługodawcy, monitorowania i zapewniania zgodności z politykami i procedurami Usługodawcy oraz przekazywania informacji na temat stanu bezpieczeństwa informacji i zgodności z przepisami kierownictwu wyższego szczebla.
, tom 3. Środki kontroli bezpieczeństwa danych, które obejmują co najmniej: logiczną segregację danych, ograniczony (np. oparty na rolach) dostęp i monitorowanie oraz stosowanie technologii szyfrowania uzasadnionych z handlowego punktu widzenia w odniesieniu do danych osobowych abonentów.
, tom 4. Logiczne mechanizmy kontroli dostępu służące do zarządzania elektronicznym dostępem do danych i funkcji systemu w oparciu o poziomy uprawnień i zakresy obowiązków.
, tom 5. Funkcje zarządzania hasłami służące do monitorowania i kontrolowania ich siły, terminu ważności oraz sposobu użycia.
, 6. Audyt systemu lub rejestrowanie zdarzeń oraz związane z tym procedury monitorowania służące do proaktywnego rejestrowania dostępu użytkowników i aktywności systemu.
, 7. Bezpieczeństwo fizyczne i środowiskowe centrów danych, serwerowni oraz innych obszarów, w których przechowywane są dane osobowe abonentów, mające na celu ochronę zasobów informacyjnych przed nieuprawnionym dostępem fizycznym lub uszkodzeniem.
, 8. Procedury operacyjne i środki kontroli zapewniające konfigurację, monitorowanie i konserwację systemów technologicznych i informatycznych, w tym bezpieczne usuwanie systemów i nośników w taki sposób, aby wszystkie zawarte w nich informacje lub dane stały się nieczytelne lub niemożliwe do odtworzenia przed ostatecznym usunięciem lub zwolnieniem z posiadania dostawcy usług.
, 9. Procedury zarządzania zmianami oraz mechanizmy monitorowania, których celem jest testowanie, zatwierdzanie i monitorowanie wszelkich istotnych zmian w zasobach technologicznych i informacyjnych Usługodawcy.
, 10. Procedury zarządzania incydentami, których celem jest umożliwienie Usługodawcy prowadzenia dochodzeń, reagowania, ograniczania skutków oraz powiadamiania o zdarzeniach związanych z zasobami technologicznymi i informacyjnymi Usługodawcy.
, 11. Środki bezpieczeństwa sieciowego, które obejmują stosowanie korporacyjnych zapór sieciowych i systemów wykrywania włamań, mających na celu ochronę systemów przed włamaniami oraz ograniczenie zasięgu ewentualnych udanych ataków.
, 12. Technologie służące do oceny podatności i ochrony przed zagrożeniami oraz procedury monitorowania w trybie cyklicznym, mające na celu identyfikację, ocenę, ograniczanie skutków oraz ochronę przed wykrytymi zagrożeniami bezpieczeństwa, wirusami i innym złośliwym oprogramowaniem.
, 13. Procedury zapewniające odporność i ciągłość działania oraz odzyskiwanie danych po awarii, mające na celu utrzymanie ciągłości usług i/lub przywrócenie sprawności po przewidywalnych sytuacjach awaryjnych lub katastrofach.
Usługodawca
może od czasu do czasu aktualizować środki bezpieczeństwa zgodnie z sekcją 5.2 (dotyczącą bezpieczeństwa) Umowy o przetwarzaniu danych.
.svg)
%20(1).svg)