Umowa o przetwarzaniu danych, w tym załączniki, (“DPA”) stanowi część Umowy między nami a Klientem na zakup usług komunikacyjnych (online) od nas, aby odzwierciedlić zgodę Stron w zakresie przetwarzania Danych Osobowych Klienta. W tej DPA, terminy “ty”, “twój” lub “Klient” odnoszą się do Ciebie jako naszego Klienta (zgodnie z pkt 1.2 poniżej), a terminy “my”, “nas” lub “nasz” odnoszą się do nas jako Dostawcy (zgodnie z definicją poniżej). Terminy z dużej litery używane w tej DPA, ale nie zdefiniowane poniżej, są zdefiniowane w naszych Ogólnych Warunkach lub innej Umowie z nami regulującej Twoje korzystanie z Usług.
Strony zgadzają się, że ta DPA zastąpi wszelkie istniejące uzupełnienia dotyczące ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
1. Zakres, Powiązania Klienta i Okres
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych osobowych Klienta przez nas jako procesora.
1.2 Powiązania Klienta. Klient zawiera tę DPA w imieniu swoim i, w zakresie wymaganym przez Prawo ochrony danych, w imieniu i na rzecz swoich Powiązań (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim zapewniasz takim Powiązaniom dostęp do Usług, a my przetwarzamy Danych osobowych Klienta, dla których takie Powiązania kwalifikują się jako administrator danych (“Powiązania Klienta”). Dla celów tej DPA wyłącznie, i z wyjątkiem miejsc, w których wskazano inaczej, terminy “Klient” i “ty” obejmują Klienta oraz Powiązania Klienta.
1.3 Okres. Niniejsza DPA pozostanie w mocy tak długo, jak będziemy przetwarzać Danych osobowych Klienta, podlegających tej DPA, niezależnie od wygaśnięcia lub zakończenia Umowy.
2. Definicje
“Dane dotyczące konta” oznacza wszelkie dane osobowe dostarczone przez Ciebie lub dla Ciebie w związku z zawarciem i zarządzaniem Umową oraz Twoim kontem, w tym, ale nie ograniczając się do, informacji kontaktowych, szczegółów rozliczeń i korespondencji dotyczącej zawarcia i zarządzania Umową oraz związanymi z nią Usługami.
“CCPA” oznacza Ustawę o prywatności konsumentów w Kalifornii z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku zmieniane od czasu do czasu.
“Dane klienta” oznaczają wszelkie dane i inne informacje lub treści przesłane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy oraz przetwarzane lub przechowywane przez Usługi.
“Dane osobowe klienta” oznaczają dane osobowe zawarte w danych klienta przetwarzanych przez nas jako podmiot przetwarzający, chyba że w tej DPA określono inaczej.
“Przepisy dotyczące ochrony danych” oznaczają wszelkie przepisy prawne i regulacje w jakiejkolwiek jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub przetwarzania danych osobowych na mocy Umowy, w tym, na przykład, stosownie, do RODO lub CCPA.
“EEA” oznacza, dla celów tej DPA, Europejski Obszar Gospodarczy i Szwajcarię.
“RODO” oznacza (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych); lub (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o ochronie danych z 2018 roku.
“Dane osobowe” oznaczają wszelkie informacje odnoszące się do osoby fizycznej, która jest bezpośrednio lub pośrednio zidentyfikowana lub możliwa do zidentyfikowania, czy to samodzielnie, czy w połączeniu z innymi informacjami.
“Naruszenie danych osobowych” oznacza każdą przypadkową, nieautoryzowaną lub nielegalną destrukcję, utratę, zmianę, ujawnienie lub dostęp do danych osobowych klienta i każdy inny podobny termin w ramach obowiązujących przepisów o ochronie danych, takich jak „Naruszenie bezpieczeństwa”.
“Usługi” oznaczają wszystkie produkty i usługi świadczone przez nas lub nasze podmioty stowarzyszone, które są (a) zamówione przez Ciebie na podstawie jakiegoś formularza zamówienia; lub (b) używane przez Ciebie.
“Dostawca” oznacza naszą jednostkę kontraktową, która jest stroną tej DPA, będącą jednostką kontraktową wymienioną w Sekcji 15 w Ogólnych Warunkach Umowy (Jednostka kontraktowa), chyba że w formularzu zamówienia wskazano inaczej. Ty lub Dostawca mogą być również określeni indywidualnie jako „Strona”, a razem jako „Strony” w tej DPA.
“Standardowe klauzule umowne” oznaczają Klauzule standardowe dla transferu danych osobowych do krajów trzecich, zgodnie z Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonym przez Decyzję wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 roku, aktualnie przedstawione w Dzienniku Urzędowym Unii Europejskiej.
“Podprocesor” oznacza podmiot trzeci, który przetwarza dane osobowe klienta w imieniu Dostawcy, gdy Dostawca działa jako podmiot przetwarzający lub podprocesor.
“Standardowe klauzule umowne UK” oznaczają dowolne lub wszystkie z następujących: (i) międzynarodowa umowa o transferze danych wydana przez Komisjonera Informacyjnego UK na podstawie sekcji 119A Ustawy o ochronie danych z 2018 roku; (ii) międzynarodowy dodatek do standardowych klauzul umownych Komisji Europejskiej dotyczących międzynarodowych transferów danych wydany przez Komisjonera Informacyjnego UK na podstawie sekcji 119A Ustawy o ochronie danych z 2018 roku; lub (iii) takie standardowe klauzule umowne wydane przez Komisjonera Informacyjnego UK lub Komisję Europejską, które mogą zastąpić te od czasu do czasu.
Terminy takie jak „przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „osoba, której dane dotyczą”, itp. będą miały znaczenie przypisane im na mocy RODO. Definicja „administrator danych” obejmuje „biznes”, „konsumenta”, „administrator”, oraz „organizację”; „podmiot przetwarzający” obejmuje „dostawcę usług”, „podmiot przetwarzający” oraz „pośrednika danych”; „osoba, której dane dotyczą” obejmuje „konsumenta” oraz „indywidualną osobę”; a „dane osobowe” obejmują „informacje osobiste”, w każdym przypadku tak, jak zdefiniowano na mocy CCPA oraz innych obowiązujących przepisów o ochronie danych. Terminy „cel biznesowy”, „cel komercyjny”, „sprzedaż” oraz „udostępnienie” będą miały to samo znaczenie, co w obowiązujących przepisach o ochronie danych, oraz w każdym przypadku ich pokrewne terminy będą interpretowane odpowiednio.
3. Przetwarzanie danych osobowych klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie koniecznym (i) do świadczenia usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, zapewnienia wsparcia oraz rozwijania i wdrażania usprawnień i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami jako podmiot przetwarzający, jak określono w Sekcji 3.2 tego DPA, (ii) w naszych uzasadnionych celach biznesowych, jak określono w Sekcji 3.4 tego DPA jako administrator danych, oraz (iii) zgodnie z innymi wymaganiami wynikającymi z obowiązującego prawa.
3.2 Instrukcje Klienta. Umowa i ten DPA stanowią Twoje pełne instrukcje do nas jako podmiotu przetwarzającego w momencie podpisania tego DPA. Będziemy przestrzegać innych rozsądnie udokumentowanych instrukcji, pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły przetwarzania. Załącznik I, część B (Opis transferu) załącznika I do tego DPA określa charakter i cel przetwarzania przez nas jako podmiot przetwarzający lub Podprzetwarzający, czynności przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie podmiotów danych.
3.4 Uzasadnione cele biznesowe. Przyjmujesz do wiadomości, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie koniecznym do następujących uzasadnionych celów biznesowych: fakturowanie, zarządzanie kontem, raportowanie finansowe i wewnętrzne, przeciwdziałanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym oraz cyberprzestępczości, które mogą wpłynąć na Ciebie, na nas lub na nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów oraz strategia produktowa), zapobieganie i wykrywanie oszustw, spamu i nadużyć, bieżące doskonalenie produktów i usług używanych przez Ciebie oraz w celu spełnienia naszych zobowiązań prawnych.
4. Obowiązki Klienta
4.1 Legalność. Gdy działasz jako administrator danych Klienta, gwarantujesz, że wszystkie działania przetwarzania są legalne, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inny odpowiedni podstawowy prawny są w miejscu, aby umożliwić legalny transfer Danych Osobowych Klienta. Jeśli jesteś podmiotem przetwarzającym dane (w takim przypadku będziemy działać jako Podprocesor), zapewnisz, że odpowiedni administrator danych gwarantuje, że warunki wymienione w tej Sekcji 4.1 są spełnione.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz przepisów o ochronie danych mających zastosowanie do twojego użycia Usług oraz do własnego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki Usług spełniają twoje wymagania, i (c) wdrażanie i utrzymywanie środków ochrony danych i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, ale nie ograniczając się do haseł, urządzeń używanych z Usługami oraz Aplikacji Klienta).
5. Bezpieczeństwo
5.1 Środki Bezpieczeństwa. Biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i dotkliwości dla praw i wolności osób fizycznych, wdrożymy i utrzymamy odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed naruszeniami Danych Osobowych oraz w celu zachowania bezpieczeństwa, integralności, dostępności, odporności i poufności Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Aneksie II.
5.2 Aktualizacje Środków Bezpieczeństwa. Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i obowiązki prawne wynikające z przepisów o ochronie danych osobowych. Potwierdzasz, że środki bezpieczeństwa są przedmiotem postępu technicznego i rozwoju oraz że możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie skutkują pogorszeniem ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrola Dostępu. Stosujemy zasady „potrzeby wiedzy” i „najniższego uprawnienia”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do pracowników niezbędnych do świadczenia Usług zgodnie z Umową, w tym z niniejszą DPA.
5.4 Poufność Przetwarzania. Upewnimy się, że każda osoba lub strona, która została przez nas upoważniona do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podwykonawcy) jest informowana o poufnym charakterze tych Danych Osobowych Klienta i będzie podlegać odpowiednim obowiązkom w zakresie poufności (czy to zobowiązanym umownie, czy ustawowo), które przetrwają zakończenie ich zaangażowania.
5.5 Reakcja na Naruszenie Danych Osobowych i Powiadomienie. Po stwierdzeniu naruszenia Danych Osobowych, niezwłocznie (i) powiadomimy Cię, (ii) zbadamy naruszenie Danych Osobowych, (iii) dostarczymy informacji dotyczących naruszenia Danych Osobowych w miarę ich dostępności lub w miarę rozsądnego żądania z Twojej strony oraz (iv) podejmiemy rozsądne kroki w celu złagodzenia skutków oraz zapobieżenia powtórzeniu się naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci uzasadnioną pomoc, aby umożliwić Ci wypełnienie zobowiązań wynikających z przepisów dotyczących ochrony danych, w tym powiadomienie o naruszeniu ochrony danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz wsparcie w przeprowadzeniu odpowiedniej oceny skutków dla ochrony danych.
6.2 Pomoc w zakresie praw osób, których dane dotyczą. Zapewnimy Ci uzasadnioną pomoc, aby umożliwić Ci wypełnienie zobowiązań wobec osób, których dane dotyczą, które wykonują swoje prawa zgodnie z przepisami o ochronie danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, jako administrator danych, jesteś odpowiedzialny za przetwarzanie wszelkich próśb lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta.
7. Ujawnienie i wnioski o ujawnienie
7.1 Ograniczenia dotyczące ujawnienia i dostępu. Nie udostępnimy dostępu do ani nie ujawnimy Danych Osobowych Klienta, chyba że (i) na Twoje polecenie, (ii) zgodnie z Umową i tym DPA, lub (iii) w przypadku wymogu prawnego.
7.2 Prośby o ujawnienie. Powiadomimy Cię tak szybko, jak to możliwe, jeśli otrzymamy prośbę od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że takie powiadomienie jest zakazane przez prawo. Będziemy obsługiwać prośby o ujawnienie zgodnie z polityką dotyczącą prośby o ujawnienie, dostępną na naszej stronie internetowej na stronie Polityki Prośby o Ujawnienie.
8. Podwykonawcy
8.1 Lista obecnych podwykonawców. Zgadzasz się na zaangażowanie podwykonawców w związku z usługami, wymienionymi w naszym przeglądzie podwykonawców, który również zawiera procedurę umożliwiającą subskrypcję powiadomień o zmianach w naszym korzystaniu z podwykonawców. Jeśli subskrybujesz takie powiadomienia, mając na uwadze Sekcję 8.3 tej DPA, przekażemy szczegóły wszelkich zmian w podwykonawcach tak szybko, jak to rozsądnie możliwe.
8.2 Powierzenie podwykonawców. Na mocy tej DPA udzielasz nam ogólnego pisemnego upoważnienia do angażowania podwykonawców do przetwarzania danych osobowych klientów, z zastrzeżeniem Sekcji 8.3 tej DPA oraz poniższych wymagań:
Ograniczymy dostęp podwykonawców do danych osobowych klientów tylko do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podwykonawcą;
Uzgodnimy zobowiązania dotyczące ochrony danych z podwykonawcą, które są zasadniczo takie same jak zobowiązania wynikające z tej DPA; oraz
Pozostajemy odpowiedzialni wobec Ciebie na mocy tej DPA za realizację zobowiązań dotyczących ochrony danych podwykonawcy.
8.3 Powiadomienie o zmianach w podwykonawcach i prawo do sprzeciwu. Przed wymianą lub zaangażowaniem nowych podwykonawców (“Zmiana podwykonawcy”), damy Ci możliwość wniesienia sprzeciwu wobec zmiany podwykonawcy. Możesz wnieść sprzeciw wobec zmiany podwykonawcy, pod warunkiem że (i) sprzeciw zostanie złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszej informacji o zmianie podwykonawcy oraz (ii) sprzeciw oparty jest na racjonalnych podstawach związanych z ochroną danych osobowych klientów i wyraźnie je wyjaśnia. Kiedy wniesiesz sprzeciw wobec proponowanej zmiany podwykonawcy, będziemy współpracować z Tobą w dobrej wierze, aby wprowadzić komercyjnie rozsądną zmianę w świadczeniu usług, która unika korzystania z danego podwykonawcy. Jeśli taka zmiana nie może być rozsądnie wprowadzona w ciągu trzydziestu (30) dni od otrzymania od Ciebie informacji o sprzeciwie, lub jeśli zmiana jest komercyjnie nierealna dla nas, każda strona może zakończyć odpowiednie funkcje usług, które nie mogą być świadczone bez korzystania z odpowiedniego podwykonawcy. To prawo do zakończenia jest Twoim jedynym i wyłącznym środkiem zaradczym, jeśli wnosisz sprzeciw wobec zmiany podwykonawcy.
9. Transgraniczne przekazywanie danych osobowych klientów
9.1 Przekazywanie danych osobowych klientów. Możemy przekazywać dane osobowe klientów pod warunkiem, że wszystkie odpowiednie środki zabezpieczające wymagane przez przepisy dotyczące ochrony danych są wdrożone. Może to obejmować wcześniej ocenę skutków przekazywania danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa podmiotów danych oraz dostępność skutecznych środków prawnych dla podmiotów danych.
9.2 Standardowe Klauzule Umowne podwykonawcy. O ile nie ma decyzji o adekwatności lub alternatywnego mechanizmu przekazywania, takiego jak Ramy Ochrony Prywatności UE- USA, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z podwykonawcami (w tym naszymi spółkami zależnymi) znajdującymi się poza EOG, zgodnie z warunkami określonymi w punkcie 9.1 tego DPA.
9.3 Mechanizmy przekazywania danych osobowych klientów. W myśl Twojego korzystania z usług, jeśli potrzebny jest mechanizm przekazywania danych w celu legalnego eksportu danych osobowych klientów z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas znajdującego się poza tą jurysdykcją, ten punkt będzie dotyczyć. Jeśli w trakcie świadczenia usług dane osobowe klientów podlegające RODO lub jakimkolwiek innym prawu dotyczącym ochrony lub prywatności osób, które ma zastosowanie do tego DPA, zostaną przekazane podmiotowi świadczącemu usługi znajdującemu się w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów dotyczących ochrony danych, do takich przekazów będą miały zastosowanie wymienione poniżej mechanizmy przekazywania danych, które mogą być bezpośrednio egzekwowane przez strony, w zakresie w jakim takie przekazy są objęte przepisami o ochronie danych.
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do danych osobowych klientów, które są przekazywane za pośrednictwem usług z EOG lub Szwajcarii, bezpośrednio lub za pośrednictwem dalszego przekazu, do podmiotu świadczącego usługi znajdującego się w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub w przypadku przekazów ze Szwajcarii przez właściwy organ w Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako administrator danych, a my jesteśmy przetwarzającym dane, będzie miało zastosowanie postanowienie dotyczące Klauzul Standardowych Umownych dla Administratorów i Przetwarzających (Moduł Drugi) do każdego takiego przekazu danych osobowych klientów z EOG. Gdy działasz jako przetwarzający dane, a my jesteśmy podwykonawcą, będzie miało zastosowanie postanowienie dotyczące Klauzul Standardowych Umownych dla Przetwarzających (Moduł Trzeci) do każdego takiego przekazu danych osobowych klientów z EOG.
9.3.1.2 Uznaje się nas za importera danych, a Ciebie za eksportera danych na podstawie Klauzul Standardowych Umownych. Podpisanie tego DPA przez każdą stronę zostanie potraktowane jako podpisanie obowiązujących Klauzul Standardowych Umownych, które zostaną uznane za wbudowane w to DPA. Szczegóły wymagane na mocy Załącznika 1 i Załącznika 2 do Klauzul Standardowych Umownych są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakichkolwiek konfliktów lub niezgodności pomiędzy tym DPA a Klauzulami Standardowymi Umownymi, Klauzule Standardowe Umowne będą miały pierwszeństwo wyłącznie w odniesieniu do przekazu danych osobowych klientów z EOG.
9.3.1.3 Gdzie Klauzule Standardowe Umowne wymagają, aby strony wybrały pomiędzy opcjonalnymi klauzulami i wprowadziły informacje, strony uczyniły to zgodnie z poniższym:
i. Opcjonalna Klauzula 7 „Klauzula tłokowa” nie będzie przyjęta.
ii. W przypadku Klauzuli 9 „Wykorzystanie podwykonawców”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna zgoda: importer danych ma ogólną zgodę administratora na zaangażowanie podwykonawców z uzgodnionej listy. Importujący dane ma obowiązek szczegółowo informować administratora na piśmie o wszelkich zamierzonych zmianach na tej liście poprzez dodanie lub zastąpienie podwykonawców, co najmniej 10 dni roboczych przed zaangażowaniem podwykonawcy, dając tym samym administratorowi wystarczający czas na zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawcy. Importujący dane ma obowiązek dostarczyć eksporterowi danych niezbędne informacje umożliwiające mu skorzystanie z prawa do zgłoszenia sprzeciwu. Importujący dane ma obowiązek informować eksportera danych o zaangażowaniu podwykonawców.”
iii. W przypadku Klauzuli 11 (a) „Odszkodowanie”, strony nie przyjmują opcji.
iv. W przypadku Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Niniejsze Klauzule będą regulowane prawem jednego z państw członkowskich UE, pod warunkiem, że takie prawo przewiduje prawa osób trzecich. Strony zgadzają się, że będzie to prawo Holandii.”
v. W przypadku Klauzuli 18 (b) „Wybór forum i jurysdykcji”: „Strony zgadzają się, że będą to sądy Holandii.”
9.3.2 Strony zgadzają się, że brytyjskie Standardowe Klauzule Umowne będą miały zastosowanie do danych osobowych klientów, które są przekazywane za pośrednictwem usług z Wielkiej Brytanii, bezpośrednio lub za pośrednictwem dalszego przekazu, do podmiotu świadczącego usługi znajdującego się w kraju poza Wielką Brytanią, który nie jest uznawany przez właściwy organ regulacyjny w Wielkiej Brytanii lub organ rządowy w Wielkiej Brytanii za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 Uznaje się nas za importera danych, a Ciebie za eksportera danych na podstawie brytyjskich Standardowych Klauzul Umownych. Podpisanie tego DPA przez każdą stronę zostanie potraktowane jako podpisanie brytyjskich Standardowych Klauzul Umownych, które zostaną uznane za wbudowane w to DPA. Szczegóły wymagane na mocy brytyjskich Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakichkolwiek konfliktów lub niezgodności pomiędzy tym DPA a brytyjskimi Standardowymi Klauzulami Umownymi, brytyjskie Standardowe Klauzule Umowne będą miały pierwszeństwo wyłącznie w odniesieniu do przekazu danych osobowych klientów z Wielkiej Brytanii.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001 (lub równoważną). Audyt może, według naszego własnego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemną prośbę dostarczymy Ci streszczenie raportu audytu („Raport z audytu”), abyś mógł zweryfikować nasze przestrzeganie standardów audytowych i tej DPA. Takie Raporty z audytu, jak również wszelkie wnioski lub ustalenia w nich określone, są naszą Informacją Poufną.
10.2 Prośby o informacje od klienta. Udostępnimy Ci wszystkie informacje, które są rozsądnie konieczne do wykazania zgodności z obowiązkami określonymi w tej DPA. Udzielimy pisemnych odpowiedzi na uzasadnione prośby o informacje zgłoszone przez Ciebie, w tym odpowiedzi na kwestionariusze bezpieczeństwa informacji i audytu, które są rozsądne co do zakresu i konieczne do potwierdzenia zgodności z tą DPA, pod warunkiem, że (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów z audytu i innych informacji dostarczonych lub udostępnionych publicznie przez nas, a (ii) nie skorzystasz z tego prawa częściej niż raz w roku, chyba że wystąpi Naruszenie Danych Osobowych lub znacząca zmiana w naszych działaniach związanych z przetwarzaniem w związku z Usługami wymaga, aby przeprowadzono dodatkowy kwestionariusz. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas Tobie daje Ci uzasadnione powody, aby sądzić, że naruszamy nasze obowiązki wynikające z tej DPA, związane z Danymi Osobowymi klienta dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi strony trzeciej wyznaczonemu przez Ciebie i zatwierdzonemu przez nas, na audyt odpowiednich działań przetwarzania Danych Osobowych, pod warunkiem, że w największym możliwym zakresie dozwolonym przez obowiązujące prawo spełnione są następujące wymagania:
Musisz powiadomić nas o zamiarze skorzystania z prawa do audytu z co najmniej sześćdziesięcioma (60) dniami wyprzedzenia;
Audytor zgadza się na standardowe obowiązki poufności w stosunku do nas;
Ty i audytor podejmujecie środki mające na celu zminimalizowanie zakłóceń w naszej działalności operacyjnej;
Audyt odbędzie się w regularnych godzinach pracy;
Nie będziemy zobowiązani do udostępnienia dostępu do danych klientów innych klientów lub systemów, które nie są zaangażowane w świadczenie Usług; oraz
Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i zwrot danych osobowych klientów
Po zakończeniu lub wygaśnięciu Umowy, usuniemy (według Twojego wyboru) wszystkie Dane Osobowe Klienta (w tym kopie) w naszym posiadaniu lub kontroli, z wyjątkiem sytuacji, gdy zgodnie z prawem jesteśmy zobowiązani do zatrzymania części lub wszystkich Danych Osobowych Klienta. Jeśli zlecisz nam usunięcie Danych Osobowych Klienta, Dane Osobowe Klienta archiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte po upływie wymaganego okresu przechowywania.
12. Komunikacja i prawa partnerów klientów
Wprowadzenie do tej DPA w imieniu oraz na rzecz podmiotu stowarzyszonego z Klientem, jak określono w Sekcji 1.2, stanowi oddzielną DPA między nami a tym podmiotem stowarzyszonym, podlegającą następującym warunkom:
12.1. Komunikacja. Klient, który jest stroną umowy, pozostaje odpowiedzialny za koordynowanie wszelkiej komunikacji z nami na mocy tej DPA i ma prawo do podejmowania oraz odbierania wszelkiej komunikacji w związku z tą DPA w imieniu swoich podmiotów stowarzyszonych z Klientem.
12.2. Prawa podmiotów stowarzyszonych z Klientem. Gdy podmiot stowarzyszony z Klientem staje się stroną DPA z nami, w zakresie wymaganym przez prawo ochrony danych ma prawo do wykonywania praw i ubiegania się o środki zaradcze na mocy tej DPA, pod warunkiem następującym:
(i) O ile prawo ochrony danych nie wymaga, aby podmiot stowarzyszony z Klientem skorzystał z prawa lub ubiegał się o środek zaradczy na mocy tej DPA bezpośrednio przeciwko nam, strony zgadzają się, że (i) wyłącznie Klient, który jest stroną umowy, będzie wykonywał takie prawo lub ubiegał się o taki środek w imieniu podmiotu stowarzyszonego z Klientem, oraz (ii) Klient, który jest stroną umowy, będzie wykonywał takie prawa na mocy tej DPA, nie oddzielnie dla każdego podmiotu stowarzyszonego z Klientem indywidualnie, lecz w zintegrowany sposób dla siebie i wszystkich swoich podmiotów stowarzyszonych z Klientem.
(ii) Strony zgadzają się, że Klient, który jest stroną umowy, w przypadku gdy na jego zlecenie prowadzone jest audytowanie procedur związanych z ochroną danych osobowych Klienta, jak określono w Sekcji 10.3 tej DPA, podejmie wszelkie rozsądne kroki w celu ograniczenia wpływu na nas, łącząc, w miarę rozsądnej możliwości, kilka żądań audytowych realizowanych w imieniu siebie i wszystkich swoich podmiotów stowarzyszonych z Klientem w jeden wspólny audyt.
Aby doprecyzować, podmiot stowarzyszony z Klientem nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów w Kalifornii.
W zakresie, w jakim ma to zastosowanie, składamy następujące dodatkowe zobowiązania względem Państwa dotyczące przetwarzania Danych Osobowych Klienta w zakresie CCPA.
13.1 Nasze zobowiązania na mocy amerykańskich przepisów o ochronie danych. Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” oraz „udział” użyte w tej sekcji 13.1 mają znaczenie nadane im w CCPA. W miarę możliwości będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klienta podlegające CCPA oraz innym obowiązującym amerykańskim przepisom o ochronie danych („Dane Osobowe w USA”) zgodnie z postanowieniami CCPA oraz innymi amerykańskimi przepisami o ochronie danych. W odniesieniu do Danych Osobowych w USA jesteśmy dostawcą usług na mocy CCPA i administratorem danych na mocy innych amerykańskich przepisów o ochronie danych. Nie sprzedamy Danych Osobowych w USA. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych Osobowych w USA (i) w żadnym innym celu niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych Osobowych w USA w celach komercyjnych innych niż cel biznesowy określony w Umowie lub w inny sposób dozwolony przez CCPA lub obowiązujące prawo); ani (ii) poza bezpośrednim stosunkiem biznesowym między Państwem a nami.
13.2 Zobowiązania Klienta. Oświadcza Pan/i i gwarantuje, że poinformował/a Użytkownika Końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z obowiązującymi przepisami o ochronie danych. Jesteście Państwo odpowiedzialni za przestrzeganie wymagań przepisów o ochronie danych w zakresie, w jakim mają one zastosowanie do Państwa jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spór”) wynikające z lub związane z niniejszą DPA będą regulowane i interpretowane zgodnie z prawem Holandii. Każda Strona zgadza się, że właściwe sądy w Amsterdamie, Holandia, będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z lub związanych z niniejszą DPA.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
W odpowiednich przypadkach, ten Dodatek I będzie stanowił Aneks I do Standardowych Klauzul Umownych.
Aneks I, Część A. Lista Stron
Eksporter danych: Klient
Kontakt do eksportera danych: Adres podany w koncie Klienta lub adres e-mail właściciela konta Klienta, lub adres e-mail, na który Klient wybiera otrzymywanie powiadomień zgodnie z Umową.
Rola eksportera danych: Rola eksportera danych jest określona w Rozdziale 4 DPA.
Podpis i data: Jeśli i kiedy to będzie stosowne, eksporter danych uznaje się za podpisanego Standardowe Klauzule Umowne włączone tutaj z dniem rozpoczęcia obowiązywania DPA.
Import danych: Dostawca
Kontakt do importera danych: Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeśli i kiedy to będzie stosowne, importer danych uznaje się za podpisanego Standardowe Klauzule Umowne włączone tutaj z dniem rozpoczęcia obowiązywania DPA.
Aneks I, Część B. Opis Transferu
1. Kategorie osób, których Dane Osobowe są przekazywane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, wykonawcy lub pracownicy tymczasowi (obecni, potencjalni, byli) Klienta korzystający z Usług (“Użytkownicy”).
Użytkownicy końcowi. Każda osoba (i) której dane kontaktowe są zawarte w liście kontaktów Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikację lub w inny sposób angażuje się lub komunikuje za pośrednictwem Usług (łącznie, “Użytkownicy końcowi”). To Ty, jako Klient, decydujesz, jakie kategorie osób są zawarte w komunikacji wysyłanej poprzez naszą platformę komunikacyjną.
2. Kategorie Danych Osobowych, które są przekazywane.
Dane Osobowe Klienta zawarte w treści komunikacji, dane o ruchu, dane Użytkowników końcowych oraz dane dotyczące korzystania przez Klienta.
Treść komunikacji, która może zawierać Dane Osobowe lub inne cechy osobiste, w zależności od treści komunikacji określonej przez Ciebie jako Klienta.
Dane ruchu, które mogą zawierać Dane Osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczy to osoby fizycznej czy firmy.
Dane Użytkowników końcowych, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane dotyczące korzystania przez Klienta, które mogą zawierać dane, które można powiązać z Tobą jako indywidualnością zawartą w danych statystycznych oraz informacji dotyczących Twojego konta i działań serwisowych, insights dotyczące usług oraz analityczne raporty dotyczące komunikacji wysyłanej oraz wsparcia klienta.
3. Wrażliwe dane przekazywane (jeśli dotyczy) oraz zastosowane ograniczenia lub środki ochronne, które w pełni uwzględniają charakter danych oraz związane z nimi ryzyko, takie jak, na przykład, ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia transferów dalej lub dodatkowe środki bezpieczeństwa.
Treść komunikacji. Wrażliwe dane mogą sporadycznie być przetwarzane za pośrednictwem Usług, gdy Ty lub Twoi Użytkownicy końcowi zdecydujecie się dołączyć wrażliwe dane w komunikacji, które są przesyłane za pomocą Usług. Jesteś odpowiedzialny za zapewnienie, że odpowiednie środki ochrony są wdrożone przed wysłaniem lub przetwarzaniem, lub przed zezwoleniem swoim Użytkownikom końcowym na przesyłanie lub przetwarzanie jakichkolwiek wrażliwych danych za pośrednictwem Usług, zgodnie z Rozdziałem 3.2 Umowy.
Dane ruchu, dane Użytkowników końcowych, oraz dane dotyczące korzystania przez Klienta. Żadne wrażliwe dane nie są zawarte w danych ruchu, danych Użytkowników końcowych ani w danych dotyczących korzystania przez Klienta.
4. Częstotliwość transferu (np. czy dane są przekazywane jednorazowo czy w sposób ciągły): Dane Osobowe Klienta są przekazywane w sposób ciągły przez cały czas obowiązywania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać Dane Osobowe Klienta w zakresie niezbędnym do świadczenia Usług zgodnie z Umową. Nie sprzedajemy żadnych Danych Osobowych, w tym Danych Osobowych Klienta, i nie dzielimy się Danymi Osobowymi z stronami trzecimi w celach odszkodowawczych ani dla własnych interesów biznesowych tych stron trzecich.
6. Cel(e) transferu danych i dalszego przetwarzania: Będziemy przetwarzać Dane Osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta, tak jak określono w tym DPA, chyba że przetwarzanie jest niezbędne do spełnienia zobowiązań prawnych, którym podlegamy, w takim przypadku zostaniemy sklasyfikowani jako administrator danych.
Treść komunikacji, dane ruchu, dane Użytkowników końcowych i dane dotyczące korzystania przez Klienta. Dane Osobowe zawarte w treści komunikacji, danych ruchu, danych Użytkowników końcowych oraz danych dotyczących korzystania przez Klienta będą podlegały następującym podstawowym działaniom przetwarzania:
Treść komunikacji. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programistycznych (API) lub za pośrednictwem Dashboardu, dla Klienta, w tym przesyłanie do lub z aplikacji oprogramowania Klienta z naszej platformy komunikacyjnej i innych sieci komunikacyjnych.
Dane ruchu. Dane ruchu są przetwarzane w celu przesyłania komunikacji w elektronicznej sieci komunikacyjnej lub do celów rozliczeniowych w związku z tą komunikacją. Może to obejmować Dane Osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczy to osoby fizycznej czy firmy.
Dane Użytkowników końcowych. Dane Osobowe Użytkowników końcowych są wymagane do realizacji Usług i będą przetwarzane tylko w celach przesyłania komunikacji, wsparcia klienta i zapewnienia zgodności z naszymi zobowiązaniami prawnymi.
Dane dotyczące korzystania przez Klienta. Dane Osobowe zawarte w danych dotyczących korzystania przez Klienta będą podlegały działaniom przetwarzania związanym ze świadczeniem Usług zgodnie z Umową, mając na celu dostarczenie Klientowi insightów związanych z Usługami oraz analitycznych raportów dotyczących przesyłanej komunikacji, wsparcia klienta oraz ciągłego doskonalenia Usług.
7. Okres, przez który Dana Osobowa będzie przechowywana, lub, jeśli to niemożliwe, kryteria używane do określenia tego okresu:
Treść komunikacji i dane ruchu.
W przypadku treści komunikacji i danych ruchu zawartych w Usługach SMS i Głosowych obowiązuje okres przechowywania sześciu miesięcy;
W przypadku Usług Wideo treść komunikacji i dane ruchu są przechowywane przez minimum 30 dni do okresu uzgodnionego z Tobą;
W przypadku Usług E-mail treść komunikacji oraz dane ruchu są przechowywane przez 72 godziny;
W przypadku wszystkich innych usług treść komunikacji i dane ruchu są przechowywane przez okres obowiązywania Usług, chyba że usuniesz treść komunikacji lub dane ruchu za pomocą technicznych i organizacyjnych środków udostępnionych Ci za pośrednictwem Usług.
Dane Użytkowników końcowych. Dane Użytkowników końcowych będą przetwarzane przez okres określony przez Klienta, gdy dane Użytkowników końcowych są zawarte w Twoich profilach kontaktowych domyślny okres przechowywania wynosi przez czas trwania Usług, z zastrzeżeniem Rozdziału 6(c) tego Aneksu I, Część B.
Dane dotyczące korzystania przez Klienta. Po zakończeniu Umowy możemy zachować, korzystać i ujawniać dane dotyczące korzystania przez Klienta w celach określonych w Rozdziale 6(d) tego Aneksu I, Część B, z zastrzeżeniem obowiązków dotyczących poufności określonych w Umowie. Zanonimizujemy lub usuniemy dane dotyczące korzystania przez Klienta, kiedy już nie będziemy ich potrzebować do celów określonych w Rozdziale 6(d) tego Aneksu I, Część B.
8. W przypadku transferów do (pod-)przetwarzających, określić również przedmiot, charakter i czas trwania przetwarzania: W przypadku transferów do pod-przetwarzających przedmiot i charakter przetwarzania są określone w naszej przeglądzie pod-przetwarzających a czas trwania dotyczy czasu obowiązywania Umowy.
Aneks I, Część C. Kompetentny organ nadzorczy
Niderlandzki Urząd Ochrony Danych (Autoriteit Persoonsgegevens) będzie kompetentnym organem nadzorczym.
ZAŁĄCZNIK II - ŚRODKI BEZPIECZEŃSTWA TECHNICZNE I ORGANIZACYJNE
W przypadku zastosowania, ten Aneks II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej przedstawiamy więcej informacji dotyczących naszych ustaleń technicznych i organizacyjnych w zakresie środków bezpieczeństwa.
Środki techniczne i organizacyjne w zakresie bezpieczeństwa:
Środki pseudonimizacji i ochrony Danych Osobowych w przechowywaniu i tranzycie: wszystkie Dane Osobowe są szyfrowane w tranzycie i w spoczynku, a w zakresie relewantnym z punktu widzenia bezpieczeństwa, traktowane są jak dane wrażliwe. Informacje są zawsze przesyłane za pośrednictwem TLS z wykorzystaniem nowoczesnych metod szyfrowania domyślnie.
Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów przetwarzania i usług: zawieramy umowy, które zawierają klauzule poufności z naszymi pracownikami, wykonawcami, dostawcami i podwykonawcami. Nasza polityka ciągłości działania polega na przygotowaniu naszej działalności i usług na wypadek wydłużonych przestojów spowodowanych czynnikami niezależnymi od nas oraz na przywróceniu usług w najszerszym zakresie możliwym w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są krytyczne dla naszych klientów, dlatego mamy bardzo małą tolerancję na zakłócenia w świadczeniu usług. Nasze terminy na odzyskiwanie są zaprojektowane w celu zapewnienia, że możemy spełnić nasze zobowiązania wobec wszystkich naszych klientów
Procesy regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: celem bezpieczeństwa informacji oraz naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji w organizacji, pracownikach, partnerach, klientach oraz (autoryzowanych) systemach informacyjnych, oraz minimalizowanie ryzyka wystąpienia szkód poprzez zapobieganie incydentom bezpieczeństwa i zarządzanie zagrożeniami oraz lukami w bezpieczeństwie. Nasz zespół prawny, Inspektor Ochrony Danych oraz Zespół Bezpieczeństwa dbają o to, aby obowiązujące przepisy i standardy były uwzględniane w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkowników: stosujemy zasady "potrzeby wiedzy" oraz "najniższych uprawnień". Promujemy stosowanie kontroli dostępu opartej na rolach. Przydzielanie i odbieranie uprawnień jest nadzorowane przez zespół ds. bezpieczeństwa, z domyślnym wykorzystaniem jednego logowania i 2FA. Dla każdego zasobu informacyjnego określono właścicieli odpowiedzialnych za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie weryfikowany. Zawsze, gdy mamy do czynienia z informacjami wrażliwymi lub podejmujemy istotne działania, stosujemy zasadę czterech oczu.
Środki zapewniające rejestrowanie zdarzeń: dzienniki audytowe są przechowywane w sposób centralny i regularnie monitorowane pod kątem zdarzeń bezpieczeństwa, a ich bezpieczeństwo jest zapewnione, aby uniknąć ryzyka manipulacji. Polityka Zarządzania Incydentami egzekwuje plan reakcji na incydenty oraz jego procedury. Te wytyczne są przestrzegane, gdy jakikolwiek rodzaj incydentu bezpieczeństwa lub technicznego wystąpi.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: stosujemy spójny proces zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby to doprecyzować, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i zrealizowane zgodnie z formalnym procesem kontroli zmian. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wprowadzane w kontrolowany sposób; oraz że status każdej proponowanej zmiany jest monitorowany. Ustalono punkty odniesienia dotyczące konfiguracji, aby bezpiecznie konfigurować systemy zgodnie z najlepszymi praktykami. Ponadto w dziale inżynieryjnym korzysta się z technicznego radaru do określenia, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia do zarządzania danymi) mogą być przyjęte lub które należy unikać w trakcie rozwoju.
Środki bezpieczeństwa fizycznego: Wszyscy pracownicy Bird pracują zdalnie. Z powodu polityki pracy zdalnej Bird wdrożył i egzekwował politykę telepracy, która zapewnia, że pracownicy pracują zdalnie w bezpieczny sposób. Polityka wymusza minimalne środki dotyczące bezpieczeństwa fizycznego, bezpieczeństwa dostępu oraz bezpieczeństwa połączeń i komunikacji.
Środki wewnętrznego zarządzania IT i bezpieczeństem IT: utrzymujemy program ocen bezpieczeństwa oparty na ryzyku, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne zabezpieczenia mające na celu ochronę Usług oraz poufność, integralność i dostępność Danych Klientów. Nasz program bezpieczeństwa informacji jest zorganizowany w sposób systematyczny i dobrze zorganizowany. Dodatkowo, obowiązują przepisy prawne i regulacyjne mające na celu zapewnienie poufności, integralności i dostępności informacji w organizacji, pracownikach, partnerach i klientach. Wszystko to zostało przetłumaczone na nasze polityki, procedury i wytyczne dotyczące bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz przekładanie działań strategicznych na operacyjne dla naszego bezpieczeństwa oraz ciągłe utrzymywanie zgodności z regulacjami. Wszyscy pracownicy są odpowiedzialni za ochronę aktywów firmy. Wszyscy nasi pracownicy są oceniani pod kątem wiedzy, doświadczenia i integralności. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie wprowadzania do pracy, a także w ramach regularnych szkoleń specyficznych dla zespołów oraz innych prezentacji dla wszystkich pracowników dotyczących znaczenia ochrony danych i zgodności z bezpieczeństwem. Jesteśmy certyfikowani zgodnie z normą ISO 27001, globalnie uznawanymi standardami bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingu są certyfikowani zgodnie z normą ISO 27001.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze ponosimy odpowiedzialność i jesteśmy w pełni przejrzystymi wobec naszych klientów.
Jesteśmy zawsze na bieżąco ze wszystkimi obowiązującymi przepisami prawnymi, w tym ogólnym rozporządzeniem o ochronie danych oraz ramami ochrony danych UE-USA.
Środki dotyczące certyfikacji/gwarancji procesów i produktów: przechodzimy rygorystyczne nadzorowanie oraz audyty certyfikacyjne w ramach naszej zgodności z ISO/IEC 27001 i regularnie przeprowadzamy testy podatności aplikacji oraz testy penetracyjne.
Środki zapewniające odpowiedzialność: wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami prawnymi i publikujemy przegląd naszych informacji dotyczących ISMS w naszym Przeglądzie Bezpieczeństwa MessageBird. Wyznaczyliśmy dedykowanego Dyrektora ds. Bezpieczeństwa, Inspektora Ochrony Informacji, Inspektora ds. Zgodności oraz Inspektora Ochrony Danych i utrzymujemy dokumentację naszych działań przetwarzających, w tym rejestrowanie i raportowanie incydentów bezpieczeństwa związanych z Danymi Osobowymi, gdzie to możliwe.
Środki zapewniające usuwanie danych: zapewniamy usuwanie danych poprzez automatyczny proces usuwania w naszym środowisku komunikacyjnym i infrastrukturalnym. Proces usuwania danych zapewnia, że wszystkie dane, które nie są już potrzebne do realizacji konkretnego celu, są usuwane z naszych systemów po przetworzeniu.
