Umowa o Przetwarzaniu Danych
Ostatnia aktualizacja: 21 listopada 2024
Ta Umowa o Przetwarzaniu Danych ma zastosowanie do Ciebie w przypadku jakichkolwiek Usług, do których się rejestrujesz (w tym przez któregokolwiek z naszych Partnerów):
Od dnia, w którym zarejestrujesz się na nasze Usługi, jeśli jest to dzień 21 listopada 2024 lub późniejszy.
Od 22 grudnia 2024, jeśli zarejestrowałeś się na nasze Usługi przed 21 listopada 2024.
Nasza archiwalna Umowa o Przetwarzaniu Danych jest dostępna na stronie archiwum Umowy o Przetwarzaniu Danych.
Dokumenty
Zawartość
Ta Umowa o Przetwarzaniu Danych, wraz z załącznikami, („DPA”) stanowi część Umowy między nami a Klientem na zakup (internetowych) usług komunikacyjnych od nas, aby odzwierciedlić umowę Stron w odniesieniu do przetwarzania Danych Osobowych Klienta. W tym DPA terminy „ty”, „twój” lub „Klient” odnoszą się do ciebie jako naszego Klienta (zgodnie z sekcją 1.2 poniżej), a terminy „my”, „nas” lub „nasz” odnoszą się do nas jako Dostawcy (jak zdefiniowano poniżej). Terminy pisane wielką literą użyte w tym DPA, ale niezdefiniowane poniżej, są zdefiniowane w naszych Ogólnych Warunkach lub innych Umowach z nami regulujących korzystanie z Usług przez ciebie.
Strony zgadzają się, że to DPA zastąpi wszelkie istniejące dodatki do ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
1. Zakres, Oddziały Klienta i Okres Obowiązywania
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez nas jako procesora.
1.2 Filie Klienta. Klient wchodzi w niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przepisami o ochronie danych, w imieniu i na rzecz swoich Filie (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim dostarczasz takim Fliom dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których te Filie kwalifikują się jako administratorzy danych („Filie Klienta”). Do celów niniejszej DPA oraz poza sytuacjami wskazanymi inaczej, określenia „Klient” i „ty” będą obejmować Klienta i Filie Klienta.
1.3 Okres Obowiązywania. Niniejsza DPA pozostaje w mocy tak długo, jak długo przetwarzamy Dane Osobowe Klienta zgodnie z niniejszą DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
„Dane Konta” oznaczają wszelkie Dane Osobowe przekazane przez Ciebie lub dla Ciebie nam w związku z zawarciem i zarządzaniem Umową oraz Twoim kontem, w tym, ale nie wyłącznie, informacje kontaktowe, szczegóły dotyczące rozliczeń i korespondencję dotyczącą zawarcia i zarządzania Umową oraz związanymi z nią Usługami.
„CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku zmieniane od czasu do czasu.
„Dane Klienta” oznaczają wszelkie dane i inne informacje lub treści przekazane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy i przetwarzane lub przechowywane przez Usługi.
„Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta przetwarzane przez nas jako procesor, chyba że określono inaczej w niniejszym DPA.
„Ustawy o Ochronie Danych” oznaczają wszystkie przepisy i regulacje dowolnej jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym na przykład i tam, gdzie mają zastosowanie, RODO lub CCPA.
„EEA” oznacza, do celów niniejszego DPA, Europejski Obszar Gospodarczy i Szwajcarię.
„GDPR” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych i swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawa o Ochronie Danych z 2018 roku.
„Dane Osobowe” oznaczają wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czy to samodzielnie czy w połączeniu z innymi informacjami.
„Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta oraz wszelkie inne podobne pojęcia zgodnie z obowiązującymi Ustawami o Ochronie Danych, takie jak „Naruszenie Bezpieczeństwa”.
„Usługi” oznaczają wszystkie produkty i usługi dostarczane przez nas lub naszych Partnerów, które są (a) zamówione przez Ciebie w ramach dowolnego Formularza Zamówienia; lub (b) używane przez Ciebie.
„Dostawca” oznacza nasz podmiot zawierający umowę, który jest stroną niniejszego DPA, będący podmiotem zawierającym umowę wymienionym w Sekcji 15 Ogólnych Warunków i Zasad (Podmiot Zawierający Umowę), chyba że na Formularzu Zamówienia podano inaczej. Ty lub Dostawca mogą być również pojedynczo nazywani „Stroną” a razem „Stronami” w niniejszym DPA.
„Standardowe Klauzule Umowne” oznaczają Transfer Z Kontrolera do Procesora (Moduł Dwa) lub Procesora do Procesora (Moduł Trzy), stosownie do przypadku, Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich na mocy rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r., aktualnie zamieszczonych w Dzienniku Urzędowym Unii Europejskiej.
„Podprzetwarzający” oznacza podmiot zewnętrzny, który przetwarza Dane Osobowe Klienta w imieniu Dostawcy tam, gdzie Dostawca działa jako procesor danych lub podprzetwarzający.
„Brytyjskie Standardowe Klauzule Umowne” oznaczają dowolne lub wszystkie z poniższych: (i) międzynarodowa umowa o transferze danych wydana przez Komisarza Informacji Wielkiej Brytanii na mocy sekcji 119A DPA 2018; (ii) dodatki do międzynarodowego transferu danych do standardowych klauzul umownych Komisji Europejskiej dla międzynarodowych transferów danych wydane przez Komisarza Informacji Wielkiej Brytanii na mocy sekcji 119A DPA 2018; lub (iii) takie standardowe postanowienia umowne wydane czasami przez Komisarza Informacji Wielkiej Brytanii lub Komisję Europejską, które mogą je zastąpić.
Pojęcia takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „podmiot danych” itp. będą miały znaczenie nadane im w ramach RODO. Definicja „administratora danych” obejmuje „przedsiębiorstwo”, „konsumenta”, „kontrolera” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesor” i „pośrednika danych”; „podmiot danych” obejmuje „konsumenta” i „indywidualnego”; oraz „Dane Osobowe” obejmują „informacje osobowe”, w każdym przypadku zgodnie z definicją w CCPA i innych obowiązujących Ustawach o Ochronie Danych. Terminy „cel biznesowy”, „cel komercyjny”, „sprzedawać”, i „dzielić się” będą miały takie same znaczenie jak w obowiązujących Ustawach o Ochronie Danych i w każdym przypadku ich pokrewne terminy będą interpretowane odpowiednio.
3. Przetwarzanie danych osobowych klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym transmisji komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i raportów dostarczania, świadczenia wsparcia oraz opracowywania i wdrażania ulepszeń i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami dla nas jako podmiotu przetwarzającego dane, jak określono w Sekcji 3.2 tego DPA, (ii) dla naszych uzasadnionych celów biznesowych, jak określono w Sekcji 3.4 tego DPA jako administrator danych, oraz (iii) w inny sposób wymagany zgodnie z obowiązującym prawem.
3.2 Instrukcje Klienta. Umowa i to DPA stanowią Twoje kompletne instrukcje dla nas jako podmiotu przetwarzającego dane w momencie podpisania tego DPA. Będziemy przestrzegać innych uzasadnionych udokumentowanych instrukcji, pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania. Załącznik I, Część B (Opis Transferu) Aneksu I do tego DPA określa charakter i cel przetwarzania przez nas jako podmiotu przetwarzającego dane lub Podprocesora, działania przetwarzania, czas trwania przetwarzania, typy Danych Osobowych oraz kategorie podmiotów danych.
3.4 Uzasadnione Cele Biznesowe. Uznajesz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do osiągnięcia następujących uzasadnionych celów biznesowych: rozliczeń, zarządzania kontem, raportowania finansowego i wewnętrznego, zwalczania i zapobiegania zagrożeniom bezpieczeństwa, cyberatakom i cyberprzestępczości, które mogą dotyczyć Ciebie, nas lub naszych usług, modelowania biznesowego (np. prognozowanie, planowanie wydajności i przychodów oraz strategii produktowej), zapobieganie i wykrywanie oszustw, spamu i nadużyć, ciągłego doskonalenia produktów i usług używanych przez Ciebie oraz w celu spełnienia naszych zobowiązań prawnych.
4. Obowiązki Klienta
4.1 Zgodność z prawem. Jeśli działasz jako administrator danych Osobowych Klientów, gwarantujesz, że wszystkie czynności przetwarzania są zgodne z prawem, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inne odpowiednie podstawy prawne są obecne, aby umożliwić legalny transfer Danych Osobowych Klientów. Jeśli jesteś procesorem danych (w takim przypadku będziemy działać jako Pod-procesor), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w niniejszej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz Ustaw o ochronie danych obowiązujących w odniesieniu do korzystania z Usług i własnego przetwarzania Danych Osobowych Klientów, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki Usług spełniają Twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków ochrony danych i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacjami Klientów).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i sile dla praw i wolności osób fizycznych, wdrożymy i będziemy utrzymywać odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Dane Osobowe Klienta przed Naruszeniami Danych Osobowych oraz zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta i dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i obowiązki prawne wynikające z Praw Ochrony Danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa mogą podlegać postępowi technologicznemu i rozwojowi, i że możemy aktualizować lub modyfikować nasze środki bezpieczeństwa od czasu do czasu, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „konieczności wiedzy” oraz „najmniejszego uprzywilejowania”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do personelu wymaganego do świadczenia Usług i zgodnie z Umową, w tym tą DPA.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub podmiot, który ma przez nas upoważnienie do przetwarzania Danych Osobowych Klienta (w tym nasz personel, agenci i Podprocesorzy), zostanie poinformowana o poufnym charakterze takich Danych Osobowych Klienta i będzie zobowiązana do odpowiedniego przestrzegania poufności (czy to z obowiązku umownego czy ustawowego), który przetrwa zakończenie ich zatrudnienia.
5.5 Reakcja i powiadomienie o naruszeniu danych osobowych. Po uzyskaniu świadomości o Naruszeniu Danych Osobowych, bez zbędnej zwłoki (i) powiadomimy Cię, (ii) zbadamy Naruszenie Danych Osobowych, (iii) dostarczymy terminowe informacje dotyczące Naruszenia Danych Osobowych, gdy tylko stanie się ono znane lub na Twoje uzasadnione żądanie, oraz (iv) podejmiemy uzasadnione kroki handlowe w celu złagodzenia skutków i zapobieżenia ponownemu wystąpieniu Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym zgłoszenie naruszenia ochrony danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w realizacji stosownej oceny skutków ochrony danych.
6.2 Wsparcie w zakresie praw osób, których dane dotyczą. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów o ochronie danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta.
7. Ujawnianie i Prośby o Ujawnienie
7.1 Ograniczenia dotyczące ujawniania i dostępu. Nie udostępnimy dostępu do Danych Osobowych Klienta ani nie ujawnimy tych danych za wyjątkiem sytuacji (i) zgodnie z Twoimi wytycznymi, (ii) zgodnie z postanowieniami Umowy i tego DPA, lub (iii) gdy wymaga tego prawo.
7.2 Wnioski o ujawnienie. Poinformujemy Cię tak szybko, jak to możliwe, jeśli otrzymamy wniosek od organu rządowego lub regulacyjnego dotyczący ujawnienia Danych Osobowych Klienta, chyba że takiego powiadomienia zabrania prawo. Będziemy obsługiwać wnioski o ujawnienie zgodnie z polityką wniosków o ujawnienie, dostępną na naszej stronie internetowej na stronie Polityka Wniosków o Ujawnienie.
8. Podprocesory
8.1 Lista Obecnych Podwykonawców. Zgadzasz się na zaangażowanie Podwykonawców w związku z Usługami, wymienionych w naszym przeglądzie Podwykonawców, który również zawiera procedurę subskrypcji powiadomień o zmianach w naszym użytkowaniu Podwykonawców. Jeśli subskrybujesz takie powiadomienia, biorąc pod uwagę Sekcję 8.3 niniejszego DPA, przekażemy szczegóły każdej zmiany Podwykonawców tak szybko, jak to będzie możliwe.
8.2 Mianowanie Podwykonawców. Na mocy niniejszego DPA, udzielasz nam ogólnego pisemnego upoważnienia do angażowania Podwykonawców do przetwarzania Danych Osobowych Klientów, z zastrzeżeniem Sekcji 8.3 niniejszego DPA oraz następujących wymagań:
Ograniczymy dostęp do Danych Osobowych Klientów przez Podwykonawców do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podwykonawcą;
Uzgodnimy z Podwykonawcą obowiązki dotyczące ochrony danych, które są zasadniczo takie same jak obowiązki wynikające z niniejszego DPA; oraz
Pozostajemy wobec ciebie odpowiedzialni na mocy niniejszego DPA za realizację zobowiązań dotyczących ochrony danych przez Podwykonawcę.
8.3 Powiadomienie o Zmianach Podwykonawców i Prawo do Sprzeciwu. Przed zastąpieniem lub zaangażowaniem nowych Podwykonawców (“Zmiana Podwykonawcy”), damy ci możliwość wyrażenia sprzeciwu wobec Zmiany Podwykonawcy. Możesz wyrazić sprzeciw wobec Zmiany Podwykonawcy, pod warunkiem że (i) sprzeciw zostanie złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podwykonawcy oraz (ii) sprzeciw jest oparty na i wyraźnie wyjaśnia uzasadnione powody dotyczące ochrony Danych Osobowych Klientów. Kiedy sprzeciwiasz się proponowanej Zmianie Podwykonawcy, będziemy współpracować z tobą w dobrej wierze, aby dokonać komercyjnie rozsądnej zmiany w świadczeniu Usług, która unika użycia odpowiedniego Podwykonawcy. Jeśli taka zmiana nie może zostać dokonana w rozsądny sposób w ciągu trzydziestu (30) dni od otrzymania twojego zawiadomienia o sprzeciwie, lub jeśli zmiana jest dla nas komercyjnie nieracjonalna, każda ze stron może zakończyć stosowne funkcje Usług, które nie mogą być świadczone bez użycia odpowiedniego Podwykonawcy. To prawo do wypowiedzenia jest twoim jedynym i wyłącznym środkiem zaradczym, jeśli sprzeciwiasz się Zmianie Podwykonawcy.
9. Transfery transgraniczne danych osobowych klientów
9.1 Przekazywanie Danych Osobowych Klienta. Możemy przekazywać Dane Osobowe Klienta pod warunkiem, że zostaną zachowane wszelkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych. Może to obejmować wcześniejszą ocenę wpływu przekazywania danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, możliwe do egzekwowania prawa podmiotów danych oraz dostępność skutecznych środków prawnych dla podmiotów danych.
9.2 Standardowe klauzule umowne Podprocesorów. O ile nie ma zastosowania decyzja o adekwatności lub alternatywny mechanizm transferu, taki jak EU-US Data Privacy Framework, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podprocesorami (w tym naszymi podmiotami stowarzyszonymi) zlokalizowanymi poza EOG, zgodnie z warunkami określonymi w Sekcji 9.1 niniejszej DPA.
9.3 Mechanizmy Transferu dla Przekazywania Danych Osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznego, aby legalnie eksportować Dane Osobowe Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas zlokalizowanych poza tą jurysdykcją, niniejsza sekcja będzie miała zastosowanie. Jeśli w trakcie świadczenia Usług Dane Osobowe Klienta objęte RODO lub jakimkolwiek innym prawem dotyczącym ochrony prywatności osób, które ma zastosowanie do niniejszej DPA, są przekazywane do jednostki dostawcy zlokalizowanej w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, wymienione poniżej mechanizmy transferu będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony, o ile takie transfery podlegają przepisom o ochronie danych.
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do Danych Osobowych Klienta przekazywanych poprzez Usługi z EOG lub Szwajcarii, bezpośrednio lub poprzez dalsze przekazywanie, do jednostki dostawcy zlokalizowanej w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub w przypadku transferów ze Szwajcarii, przez właściwy urząd Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Kiedy działasz jako administrator danych, a my jako przetwarzający dane, będzie miała zastosowanie do takich transferów Danych Osobowych Klienta z EOG Klauzula EU Controller-to-Processor (Moduł Dwa) Standardowych Klauzul Umownych. Kiedy działasz jako przetwarzający dane, a my jako podprzetwarzający, będzie miała zastosowanie do takich transferów Danych Osobowych Klienta z EOG Klauzula Processor-to-Processor (Moduł Trzy) Standardowych Klauzul Umownych.
9.3.1.2 Będziemy uznawani za importera danych, a Ty za eksportera danych zgodnie ze Standardowymi Klauzulami Umownymi. Podpisanie przez każdą ze stron niniejszej DPA będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które będą uważane za załączone do niniejszej DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych są dostępne w Dodatku I i Dodatku II do niniejszej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały nadrzędne znaczenie wyłącznie w odniesieniu do przekazywania Danych Osobowych Klienta z EOG.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają, aby strony dokonały wyboru między klauzulami opcjonalnymi i wprowadziły informacje, strony dokonały tego, jak opisano poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokująca” nie zostanie przyjęta.
ii. W przypadku Klauzuli 9 „Użycie podprocesorów”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna autoryzacja: importer danych posiada ogólną autoryzację kontrolera na zaangażowanie podprocesora(ów) z uzgodnionej listy. Importer danych musi specjalnie poinformować kontrolera pisemnie o jakichkolwiek planowanych zmianach tej listy poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając kontrolerowi wystarczająco dużo czasu na sprzeciwienie się takim zmianom przed zaangażowaniem podprocesora(ów). Importer danych musi dostarczyć eksporterowi danych niezbędne informacje umożliwiające mu skorzystanie z prawa do sprzeciwu. Importer danych musi poinformować eksportera danych o zaangażowaniu podprocesora(ów).”
iii. W przypadku Klauzuli 11 (a) „Odwołania”, strony nie przyjmują opcji.
iv. W przypadku Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule są regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że takie prawo dopuszcza prawa beneficjenta trzeciego. Strony zgadzają się, że będzie to prawo Niderlandów.”
v. W przypadku Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2 Strony zgadzają się, że Klauzule Standardowe Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta przekazywanych poprzez Usługi z Wielkiej Brytanii, bezpośrednio lub poprzez dalsze przekazywanie, do jednostki dostawcy zlokalizowanej w kraju poza Wielką Brytanią, który nie jest uznawany przez właściwy urząd regulacyjny lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 Będziemy uznawani za importera danych, a Ty za eksportera danych zgodnie z Klauzulami Standardowymi Zjednoczonego Królestwa. Podpisanie przez każdą ze stron niniejszej DPA będzie traktowane jako podpisanie Klauzul Standardowych Zjednoczonego Królestwa, które będą uważane za załączone do niniejszej DPA. Szczegóły wymagane zgodnie z Klauzulami Standardowymi Zjednoczonego Królestwa są dostępne w Dodatku I i Dodatku II do niniejszej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Klauzulami Standardowymi Zjednoczonego Królestwa, Klauzule Standardowe Zjednoczonego Królestwa będą miały nadrzędne znaczenie wyłącznie w odniesieniu do przekazywania Danych Osobowych Klienta z Wielkiej Brytanii.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie audytowana pod kątem zgodności z normą ISO 27001 (lub równoważną). Audyt może być, według naszego uznania, audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie, dostarczymy Ci streszczenie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytowymi i tym DPA. Takie Raporty z audytu, oraz wszelkie zawarte w nich wnioski czy ustalenia, stanowią nasze Informacje Poufne.
10.2 Żądania informacji od klienta. Umożliwimy Ci dostęp do wszelkich informacji niezbędnych do wykazania zgodności z obowiązkami zawartymi w tym DPA. Udzielimy pisemnych odpowiedzi na uzasadnione prośby o informacje złożone przez Ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytów, które są uzasadnione zakresem i niezbędne do potwierdzenia zgodności z tym DPA, pod warunkiem że Ty (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów z audytów i innych informacji dostarczonych lub udostępnionych przez nas publicznie, oraz (ii) nie będziesz korzystać z tego prawa częściej niż raz w roku, chyba że w przypadku Naruszenia Danych Osobowych lub znaczącej zmiany w naszych działaniach przetwarzania danych związanych z Usługami, które wymagają wykonania dodatkowego kwestionariusza. Wszystkie udzielone odpowiedzi stanowią nasze Informacje Poufne.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas do Ciebie daje Ci uzasadnione podstawy do przypuszczeń, że naruszyliśmy nasze zobowiązania wynikające z tego DPA, związane z Danymi Osobowymi Klienta dostarczonymi przez Ciebie, umożliwimy niezależnemu i wykwalifikowanemu audytorowi trzeciej strony, powołanemu przez Ciebie i zatwierdzonemu przez nas, dokonanie audytu odpowiednich działań związanych z przetwarzaniem Danych Osobowych, pod warunkiem że w jak największym zakresie dozwolonym przez obowiązujące prawo spełnione zostaną następujące wymagania:
Musisz dać nam co najmniej sześćdziesiąt (60) dni wcześniej rozsądne powiadomienie przed skorzystaniem z prawa do audytu;
Audytor zgadza się na standardowe rynkowe zobowiązania do zachowania poufności z nami;
Ty i audytor podejmiecie działania, aby zminimalizować zakłócenia naszych operacji biznesowych;
Audyt będzie przeprowadzony w regularnych godzinach pracy;
Nie będziemy zobowiązani do zapewnienia dostępu do danych klientów innych klientów lub systemów niezwiązanych z świadczeniem Usług; oraz
Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Po rozwiązaniu lub wygaśnięciu Umowy, usuniemy lub zwrócimy Ci wszystkie Dane Osobowe Klienta (wraz z kopiami) będące w naszym posiadaniu lub pod naszą kontrolą, z zastrzeżeniem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim jesteśmy zobowiązani prawem do zachowania części lub całości Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta zarchiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte, gdy minie wymagany okres przechowywania.
12. Komunikacja i prawa partnerskiego klienta
Podpisanie niniejszej DPA w imieniu i na rzecz Podmiotu Powiązanego Klienta zgodnie z postanowieniami Sekcji 1.2 stanowi odrębną DPA między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem poniższych postanowień:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację całej komunikacji z nami zgodnie z niniejszą DPA i jest upoważniony do dokonywania i odbierania wszelkich komunikatów związanych z niniejszym DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa Podmiotów Powiązanych Klienta. Jeżeli Podmiot Powiązany Klienta staje się stroną DPA z nami, będzie uprawniony, w zakresie wymaganym przez przepisy o ochronie danych, do wykonywania praw i dochodzenia roszczeń zgodnie z niniejszą DPA, z zastrzeżeniem poniższych postanowień:
(i) O ile przepisy o ochronie danych nie wymagają, aby Podmiot Powiązany Klienta samodzielnie wykonywał prawo lub dochodził roszczenia izt tego DPA bezpośrednio wobec nas, strony uzgadniają, że (i) wyłącznie Klient będący stroną umowy wykonywał takie prawo lub dochodził takiego roszczenia w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną umowy nie wykonywał takich praw wynikających z niniejszej DPA oddzielnie dla każdego Podmiotu Powiązanego Klienta, ale w sposób zbiorowy dla siebie i wszystkich swoich Podmiotów Powiązanych Klienta łącznie.
(ii) Strony uzgadniają, że Klient będący stroną umowy, w przypadku przeprowadzania na miejscu audytu procedur dotyczących ochrony Danych Osobowych Klienta w jego imieniu zgodnie z postanowieniami Sekcji 10.3 niniejszej DPA, podejmie wszelkie rozsądne działania w celu ograniczenia wpływu na nas poprzez, w miarę możliwości, połączenie kilku żądań audytowych przeprowadzanych w imieniu siebie i wszystkich swoich Podmiotów Powiązanych Klienta w jedną pojedynczą kontrolę.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów z Kalifornii.
W zakresie, w jakim to ma zastosowanie, składamy Ci następujące dodatkowe zobowiązania dotyczące przetwarzania Danych Osobowych Klientów w zakresie CCPA.
13.1 Nasze Zobowiązania na Mocy Amerykańskich Przepisów o Ochronie Danych. Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” i „udostępnianie” użyte w tej Sekcji 13.1 mają znaczenie nadane im w CCPA. W zakresie, w jakim to ma zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym obowiązującym amerykańskim Przepisom o Ochronie Danych („Amerykańskie Dane Osobowe”) zgodnie z postanowieniami CCPA i innych Amerykańskich Przepisów o Ochronie Danych. W odniesieniu do Amerykańskich Danych Osobowych jesteśmy dostawcą usług zgodnie z CCPA i podmiotem przetwarzającym dane na mocy innych amerykańskich przepisów o ochronie danych. Nie będziemy sprzedawać Amerykańskich Danych Osobowych. Nie będziemy przechowywać, używać ani ujawniać żadnych Amerykańskich Danych Osobowych (i) do jakiegokolwiek celu innego niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Amerykańskich Danych Osobowych do celu komercyjnego innego niż cel biznesowy określony w Umowie lub jak zostało to inaczej dozwolone przez CCPA lub obowiązujące przepisy prawa); lub (ii) poza bezpośrednią relacją biznesową z Tobą i nami.
13.2 Zobowiązania Klienta. Oświadczasz i gwarantujesz, że powiadomiłeś Użytkownika Końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z obowiązującymi Przepisami o Ochronie Danych. Jesteś odpowiedzialny za przestrzeganie wymagań Przepisów o Ochronie Danych w zakresie, w jakim są one do Ciebie zastosowane jako administrator danych.
14. Prawo właściwe i rozstrzyganie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spór”) wynikające z lub związane z niniejszym DPA będą regulowane i interpretowane zgodnie z prawem Niderlandów. Każda ze Stron zgadza się, że właściwe sądy w Amsterdamie, Niderlandy będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z lub związanych z niniejszym DPA.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, ten Załącznik I będzie służył jako Załącznik I do Standardowych Klauzul Umownych.
Załącznik I, Część A. Lista Stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres podany w koncie Klienta lub adres e-mail właściciela konta Klienta, lub adres e-mail/e, na które Klient wybiera otrzymywanie powiadomień w ramach Umowy.
Rola eksportera danych: Rola eksportera danych jest opisana w Sekcji 4 DPA.
Podpis i data: Jeżeli ma to zastosowanie, eksportera danych uznaje się za podpisującego Standardowe Klauzule Umowne włączone do niniejszego dokumentu z dniem wejścia w życie DPA.
Importer danych: Dostawca
Dane kontaktowe importera danych: Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeżeli ma to zastosowanie, importera danych uznaje się za podpisującego Standardowe Klauzule Umowne włączone do niniejszego dokumentu z dniem wejścia w życie DPA.
Załącznik I, Część B. Opis Transmisji
1. Kategorie osób, których dane osobowe są przekazywane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, kontrahenci lub pracownicy tymczasowi (obecni, potencjalni, byli) Klienta korzystający z Usług („Użytkownicy”).
Końcowi użytkownicy. Każda osoba, której (i) dane kontaktowe są zawarte na liście kontaktów Klienta; (ii) której informacje są przechowywane lub gromadzone za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikaty bądź angażuje się lub komunikuje za pośrednictwem Usług (zbiorczo „Końcowi użytkownicy”). To Klient samodzielnie określa kategorie osób uwzględnionych w komunikacji przesyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie Przekazywanych Danych Osobowych.
Dane osobowe Klienta zawarte w treści komunikacji, dane o ruchu, dane końcowych użytkowników i dane dotyczące korzystania z usług przez klienta.
Zawartość komunikacji, która może zawierać dane osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacji określonej przez Ciebie jako Klienta.
Dane o ruchu, które mogą obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenia głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą osoby fizycznej czy firmy.
Dane końcowego użytkownika, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane dotyczące korzystania z usług przez klienta mogą zawierać dane, które można powiązać z Tobą jako osobą fizyczną, zawarte w danych statystycznych i informacjach związanych z Twoim kontem i aktywnościami usługowymi, wglądami dotyczącymi usług i raportami analitycznymi dotyczącymi przesyłanej komunikacji oraz wsparcia klienta.
3. Przekazywane dane wrażliwe (jeśli dotyczy) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszych transferów czy dodatkowe środki bezpieczeństwa.
Zawartość komunikacji. Dane wrażliwe mogą być od czasu do czasu przetwarzane za pośrednictwem Usług, jeśli Ty lub Twoi użytkownicy końcowi zdecydujecie się na włączenie danych wrażliwych do komunikacji przesyłanej za pomocą Usług. To Ty jesteś odpowiedzialny za zapewnienie odpowiednich zabezpieczeń przed przesyłaniem lub przetwarzaniem, lub przed zezwoleniem swoim użytkownikom końcowym na przesyłanie lub przetwarzanie jakichkolwiek danych wrażliwych za pośrednictwem Usług, zgodnie z Sekcją 3.2 Umowy.
Dane o ruchu, dane końcowego użytkownika i dane dotyczące korzystania z usług przez klienta. W danych o ruchu, danych końcowego użytkownika lub danych dotyczących korzystania z usług przez klienta nie zawierają się dane wrażliwe.
4. Częstotliwość przekazu (np. czy dane są przekazywane jednorazowo, czy na podstawie ciągłej): Dane osobowe Klienta są przekazywane na podstawie ciągłej na czas trwania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać dane osobowe Klienta do zakresu niezbędnego do świadczenia Usług zgodnie z Umową. Nie sprzedajemy żadnych danych osobowych, w tym danych osobowych Klienta, i nie udostępniamy danych osobowych stronom trzecim za wynagrodzeniem lub dla celów własnych biznesowych tych stron.
6. Cel(e) transferu danych i dalszego przetwarzania: Będziemy przetwarzać dane osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w niniejszym DPA, chyba że przetwarzanie jest konieczne do spełnienia obowiązku prawnego, któremu podlegamy, w takim przypadku zostaniemy zaklasyfikowani jako kontroler danych.
Zawartość komunikacji, dane o ruchu, dane końcowego użytkownika i dane dotyczące korzystania z usług przez klienta. Dane osobowe zawarte w zawartości komunikacji, danych o ruchu, danych końcowego użytkownika i danych dotyczących korzystania z usług przez klienta będą podlegały następującym podstawowym czynnościom przetwarzania:
Zawartość komunikacji. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w postaci interfejsów programowania aplikacji (API) lub za pośrednictwem Dashboardu, do Klienta, w tym przesyłanie do lub z aplikacji oprogramowania Klienta z lub do naszej platformy komunikacyjnej i innych sieci komunikacyjnych.
Dane o ruchu. Dane o ruchu są przetwarzane w celu przesyłania komunikacji w sieci komunikacji elektronicznej lub do fakturowania tej komunikacji. Może to obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenia głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą osoby fizycznej czy firmy.
Dane końcowego użytkownika. Dane osobowe użytkowników końcowych są wymagane w celu realizacji Usług i będą przetwarzane wyłącznie w celach przesyłania komunikacji, wsparcia klienta oraz zapewnienia zgodności z naszymi obowiązkami prawnymi.
Dane dotyczące korzystania z usług przez klienta. Dane osobowe zawarte w danych dotyczących korzystania z usług przez klienta będą podlegać czynnościom przetwarzania związanym ze świadczeniem Usług zgodnie z Umową, z celem dostarczenia Klientowi wglądów związanych z usługami i raportów analitycznych dotyczących przesyłanej komunikacji, wsparcia klienta i ciągłego doskonalenia Usług.
7. Okres, przez który dane osobowe będą przechowywane, lub, jeśli nie jest to możliwe, kryteria używane do określenia tego okresu:
Zawartość komunikacji i dane o ruchu.
Dla zawartości komunikacji i danych o ruchu zawartych w Usługach SMS i Voice obowiązuje okres przechowywania wynoszący sześć miesięcy;
Dla Usług Wideo zawartość komunikacji i dane o ruchu są przechowywane przez minimum 30 dni do okresu uzgodnionego z Tobą;
Dla usług e-mailowych zawartość komunikacji i dane o ruchu są przechowywane przez 72 godziny;
Dla wszystkich innych usług zawartość komunikacji i dane o ruchu są przechowywane przez cały okres trwania Usług, chyba że usuniesz zawartość komunikacji lub dane o ruchu za pomocą dostępnych technologicznych i organizacyjnych środków dostarczonych Ci przez Usługi.
Dane końcowego użytkownika. Dane końcowego użytkownika będą przetwarzane przez okres określony przez Klienta, gdy dane końcowego użytkownika są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania to czas trwania Usług, z uwzględnieniem postanowień Sekcji 6(c) niniejszego Załącznika I, Części B.
Dane dotyczące korzystania z usług przez klienta. Po rozwiązaniu Umowy możemy zatrzymać, używać i ujawniać dane dotyczące korzystania z usług przez klienta do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Części B, z zastrzeżeniem zobowiązań dotyczących poufności określonych w Umowie. Zanonimizujemy lub usuniemy dane dotyczące korzystania z usług przez klienta, gdy nie będą już nam potrzebne do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Części B.
8. Dla transferów do (Sub-)procesorów, również określ przedmiot, charakter i czas trwania przetwarzania: Dla transferów do Sub-procesorów, przedmiot i charakter przetwarzania jest opisany na naszej stronie przeglądu Sub-procesorów a czas trwania to czas trwania Umowy.
Załącznik I, Część C. Właściwy organ nadzorczy
Niderlandzki Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie właściwym organem nadzorczym.
ZAŁĄCZNIK II - ŚRODKI TECHNICZNE I ORGANIZACYJNE DOTYCZĄCE BEZPIECZEŃSTWA
Gdy ma to zastosowanie, niniejszy Załącznik II będzie służyć jako Załącznik II do Standardowych Klauzul Umownych. Poniżej przedstawiono więcej informacji dotyczących naszych poniżej określonych środków technicznych i organizacyjnych.
Techniczne i Organizacyjne Środki Bezpieczeństwa:
Środki pseudonimizacji i ochrony Danych Osobowych w magazynowaniu i przesyłaniu: wszystkie Dane Osobowe są szyfrowane w trakcie przesyłania i podczas spoczynku oraz, w zakresie istotnym z punktu widzenia bezpieczeństwa, traktowane tak, jakby były klasyfikowane jako dane wrażliwe. Informacje są zawsze przesyłane przez TLS z domyślnie najnowszymi metodologiami szyfrowania.
Środki zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów przetwarzania i usług: zawieramy umowy zawierające postanowienia o poufności z naszymi pracownikami, kontrahentami, dostawcami i Podprocesorami. Nasza polityka ciągłości działania ma na celu przygotowanie naszego biznesu i usług w przypadku przedłużających się przerw spowodowanych czynnikami pozostającymi poza naszą kontrolą i przywrócenie usług w najszerszym możliwym zakresie w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów, dlatego mamy bardzo małą tolerancję na zakłócenia w świadczeniu usług. Nasze ramy czasowe na odzyskiwanie są zaprojektowane tak, abyśmy mogli spełnić nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnych testów, oceny i weryfikacji skuteczności technicznych i organizacyjnych środków bezpieczeństwa w celu zapewnienia bezpieczeństwa przetwarzania: celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów i (autoryzowanych) systemów informatycznych oraz minimalizacja ryzyka uszkodzeń poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami w zabezpieczeniach. Nasz zespół prawny, Inspektor Ochrony Danych i Zespół ds. Bezpieczeństwa zapewniają, że obowiązujące regulacje i standardy są uwzględnione w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkowników: stosujemy zasady „potrzeby wiedzy” i „najmniejszego przywileju”. Promujemy stosowanie kontroli dostępu opartej na rolach. Zarządzanie przydzielaniem i odbieraniem uprawnień jest nadzorowane przez zespół ds. bezpieczeństwa z domyślnym użyciem Single-Sign-On i 2FA. Dla każdego zasobu informacyjnego wyznaczono właścicieli, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie przeglądany. Zawsze, gdy mamy do czynienia z informacjami wrażliwymi lub podejmujemy działania krytyczne, stosujemy zasadę „czterech oczu”.
Środki zapewnienia rejestrowania zdarzeń: dzienniki audytu są centralnie przechowywane i monitorowane na bieżąco pod kątem zdarzeń bezpieczeństwa oraz są zabezpieczone, aby uniknąć ryzyka manipulacji. Polityka Zarządzania Incydentami egzekwuje plan reagowania na incydenty i jego procedury. Wytyczne te są przestrzegane, jeśli wystąpi jakikolwiek rodzaj incydentu bezpieczeństwa lub technicznego.
Środki zapewnienia konfiguracji systemów, w tym konfiguracja domyślna: stosujemy spójny proces zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługa. Aby szczegółowo wyjaśnić, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i realizowane zgodnie z formalnym procesem kontroli zmian. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, zatwierdzane, testowane, wdrażane i wydawane w kontrolowany sposób, oraz że status każdej proponowanej zmiany jest monitorowany. Baza konfiguracji jest przestrzegana, aby bezpiecznie konfigurować systemy zgodnie z najlepszymi praktykami. Ponadto w departamencie inżynierii używana jest techniczna rada do definiowania, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia zarządzania danymi) mogą być przyjęte lub muszą być unikanie podczas rozwoju.
Środki dotyczące bezpieczeństwa fizycznego: Wszyscy pracownicy Bird pracują zdalnie. Z powodu polityki pracy zdalnej Bird wdrożył i egzekwuje politykę telepracy, która zapewnia, że pracownicy pracują zdalnie w bezpieczny sposób. Polityka ta egzekwuje minimalne środki dotyczące bezpieczeństwa fizycznego, bezpieczeństwa dostępu, bezpieczeństwa połączeń i komunikacji.
Środki dotyczące zarządzania i nadzoru wewnętrznego IT i bezpieczeństwa IT: utrzymujemy program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje środki administracyjne, organizacyjne, techniczne i fizyczne mające na celu ochronę Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji jest zorganizowany w systematyczny i dobrze zorganizowany sposób. Ponadto mają zastosowanie wymagania prawne i regulacyjne, aby zapewnić poufność, integralność i dostępność informacji dla organizacji, pracowników, partnerów i klientów. Wszystko to są tłumaczone na nasze polityki bezpieczeństwa informacji, procedury i wytyczne. Mamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. To obejmuje koordynację działań związanych z bezpieczeństwem informacji i tłumaczenie działań strategicznych na działania operacyjne dla naszego bezpieczeństwa oraz naszą ciągłą utrzymanie zgodności z przepisami. Wszyscy pracownicy są odpowiedzialni za ochronę majątku firmy. Wszyscy nasi pracownicy są sprawdzani pod kątem umiejętności, doświadczenia i etyki. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie przyjęcia do pracy, a także w ramach regularnych szkoleń zespołowych oraz ogólnofirmowych prezentacji o znaczeniu ochrony danych i zgodności z bezpieczeństwem. Posiadamy certyfikat ISO 27001, uznawany na całym świecie standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingu są certyfikowani zgodnie z ISO 27001.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. To oznacza, że jesteśmy zawsze odpowiedzialni i w pełni transparentni wobec naszych klientów.
Zawsze jesteśmy na bieżąco z wszelkimi obowiązującymi przepisami i regulacjami, w tym Ogólnym Rozporządzeniem o Ochronie Danych (RODO) oraz Ramami Ochrony Danych UE-USA.
Środki dotyczące certyfikacji/zapewnienia procesów i produktów: podlegamy rygorystycznym inspekcjom oraz audytom certyfikacyjnym w ramach naszej zgodności z ISO/IEC 27001 i regularnie wykonujemy testy podatności aplikacji i testy penetracyjne.
Środki zapewniające odpowiedzialność: wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami i publikujemy przegląd naszych informacji dotyczących ISMS w naszym MessageBird Security Overview. Wyznaczyliśmy dedykowanego Dyrektora ds. Bezpieczeństwa, Inspektora Bezpieczeństwa Informacji, Inspektora ds. Zgodności, oraz Inspektora Ochrony Danych, i prowadzimy dokumentację naszych działań przetwarzania, w tym rejestrację i raportowanie incydentów związanych z danymi osobowymi, jeśli ma to zastosowanie.
Środki zapewniania usuwania danych: zapewniamy usuwanie danych poprzez automatyczny proces usuwania w naszym środowisku komunikacyjnym i infrastruktury. Proces ten zapewnia, że wszystkie dane, które nie są już potrzebne do spełnienia określonego celu, są usuwane z naszych systemów po przetworzeniu.
