Umowa o Przetwarzaniu Danych
Ta Umowa o Przetwarzaniu Danych dotyczy Ciebie, jeśli zarejestrowałeś się w naszych Usługach (w tym za pośrednictwem dowolnych naszych podmiotów powiązanych) przed, w dniu lub po 1 lutego 2024 o 13:00 CET. Nasza archiwalna Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Ta Umowa o Przetwarzaniu Danych, w tym załączniki, („DPA”) stanowi część Umowy między nami a Klientem na zakup (online) usług komunikacyjnych od nas, aby odzwierciedlić uzgodnienie Stron w odniesieniu do przetwarzania Danych Osobowych Klienta. W niniejszym DPA terminy „ty”, „twój” lub „Klient” odnoszą się do ciebie jako naszego Klienta (z zastrzeżeniem punktu 1.2 poniżej), a terminy „my”, „nas” lub „nasz” odnoszą się do nas jako Dostawcy (jak zdefiniowano poniżej). Terminy pisane wielką literą użyte w tym DPA, ale niezdefiniowane poniżej, są zdefiniowane w naszych Ogólnych Warunkach lub innej Umowie z nami regulującej korzystanie z Usług przez ciebie.
Strony zgadzają się, że niniejsze DPA zastąpi wszelkie istniejące uzupełnienie ochrony danych lub podobną umowę, jaką strony mogły wcześniej zawrzeć w związku z Usługami.
1. Zakres, Oddziały Klienta i Okres Obowiązywania
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez nas jako procesora.
1.2 Filie Klienta. Klient wchodzi w niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przepisami o ochronie danych, w imieniu i na rzecz swoich Filie (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim dostarczasz takim Fliom dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których te Filie kwalifikują się jako administratorzy danych („Filie Klienta”). Do celów niniejszej DPA oraz poza sytuacjami wskazanymi inaczej, określenia „Klient” i „ty” będą obejmować Klienta i Filie Klienta.
1.3 Okres Obowiązywania. Niniejsza DPA pozostaje w mocy tak długo, jak długo przetwarzamy Dane Osobowe Klienta zgodnie z niniejszą DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
„Dane Konta” to wszelkie Dane Osobowe dostarczone przez lub dla Ciebie do nas w związku z zawarciem i zarządzaniem Umową oraz Twoim kontem, w tym między innymi informacje kontaktowe, dane rozliczeniowe i korespondencja dotycząca zawarcia i zarządzania Umową oraz powiązanych Usług.
„CCPA” oznacza California Consumer Privacy Act z 2018 r. oraz wszelkie przepisy wydane na jego podstawie, w każdym przypadku z późniejszymi zmianami.
„Dane Klienta” oznaczają wszelkie dane oraz inne informacje lub treści przesłane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy i przetwarzane lub przechowywane przez Usługi.
„Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta przetwarzanych przez nas jako procesora, chyba że w niniejszym DPA określono inaczej.
„Ustawy o Ochronie Danych” oznaczają wszystkie przepisy prawa i regulacje dowolnej jurysdykcji dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym na przykład i tam, gdzie ma to zastosowanie, RODO lub CCPA.
„EEA” oznacza w celach niniejszego DPA Europejski Obszar Gospodarczy i Szwajcarię.
„RODO” oznacza (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem Danych Osobowych oraz swobodnym przepływem takich danych (Ogólne rozporządzenie o ochronie danych); lub (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawa o ochronie danych z 2018 r.
„Dane Osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej bezpośrednio lub pośrednio, pojedynczo lub w połączeniu z innymi informacjami.
„Naruszenie Danych Osobowych” oznacza jakiekolwiek przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta oraz wszelkie inne podobne terminy zgodnie z mającymi zastosowanie Ustawami o Ochronie Danych, takie jak „Narodziny Bezpieczeństwa”.
„Usługi” oznaczają wszystkie produkty i usługi dostarczane przez nas lub naszych Partnerów, które są (a) zamówione przez Ciebie na podstawie jakiegokolwiek Formularza Zamówienia; lub (b) używane przez Ciebie.
„Dostawca” oznacza naszą jednostkę kontraktującą będącą stroną niniejszego DPA, będącą jednostką kontraktującą wymienioną w Sekcji 15 w Ogólnych Warunkach Handlowych (Jednostka Kontraktująca), chyba że na Twoim Formularzu Zamówienia wskazano inaczej. Ty lub Dostawca możemy być również indywidualnie określani jako „Strona” i wspólnie jako „Strony” w niniejszym DPA.
„Standardowe Klauzule Umowne” oznaczają Stronę Kontrolera do Procesora (Moduł Drugi) lub Procesor do Procesora (Moduł Trzeci), w zależności od przypadku, Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich na podstawie Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonych przez Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r., aktualnie określonych na https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
„Podprocesor” oznacza podmiot trzeciej strony przetwarzający Dane Osobowe Klienta w imieniu Dostawcy, gdy Dostawca działa jako procesor danych lub podeksperymentator danych.
„UK Standard Contractual Clauses” oznaczają jeden lub wszystkie z następujących: (i) umowa międzynarodowego transferu danych wydana przez Komisarza Informacyjnego Zjednoczonego Królestwa na podstawie sekcji 119A DPA 2018; (ii) międzynarodowy dodatek transferu danych do standardowych klauzul umownych Komisji Europejskiej dotyczących międzynarodowych transferów danych wydany przez Komisarza Informacyjnego Zjednoczonego Królestwa na podstawie sekcji 119A DPA 2018; lub (iii) takie standardowe przepisy umowne wydane przez Komisarza Informacyjnego Zjednoczonego Królestwa lub Komisję Europejską, które mogą je być zastąpione od czasu do czasu.
Terminy takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „podmiot danych” itp. będą miały znaczenie nadane im na mocy RODO. Definicja „administratora danych” obejmuje „przedsiębiorstwo”, „konsumenta”, „kontrolera” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesora” i „pośrednika danych”; „podmiot danych” obejmuje „konsumenta” i „jednostkę”; a „Dane Osobowe” obejmują „informacje osobowe”, w każdym przypadku zgodnie z definicją w CCPA oraz innych mających zastosowanie Ustawach o Ochronie Danych. Terminy „cel biznesowy”, „cel komercyjny”, „sprzedaż” i „udostępnianie” będą miały takie samo znaczenie jak w mających zastosowanie Ustawach o Ochronie Danych, a ich odpowiednie formy będą interpretowane odpowiednio.
3. Przetwarzanie danych osobowych klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klientów tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przekazywania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, zapewniania wsparcia oraz opracowywania i wdrażania ulepszeń i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami dla nas jako przetwarzającego dane, zgodnie z opisem w punkcie 3.2 niniejszej DPA, (ii) dla naszych uzasadnionych celów biznesowych określonych w punkcie 3.4 tej DPA jako administratora danych i (iii) w inny sposób wymagany przez obowiązujące prawo.
3.2 Instrukcje Klienta. Umowa i niniejsza DPA stanowią Twoje kompletne instrukcje dla nas jako przetwarzającego dane w chwili podpisania niniejszej DPA. Będziemy przestrzegać innych rozsądnie udokumentowanych instrukcji pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania. Załącznik I, Część B (Opis transferu) Załącznika I do tej DPA określa charakter i cel przetwarzania przez nas jako przetwarzającego dane lub Podprzetwarzającego, czynności przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych i kategorie osób, których dane dotyczą.
3.4 Uzasadnione Cele Biznesowe. Przyznajesz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: rozliczenia, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą wpłynąć na Ciebie, nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów oraz strategia produktowa), zapobieganie oszustwom, spamowi i nadużyciom oraz ich wykrywanie, poprawa naszego zestawu produktów i usług oraz zapewnienie zgodności z naszymi obowiązkami prawnymi.
4. Obowiązki Klienta
4.1 Zgodność z prawem. Tam, gdzie działasz jako administrator danych Osobowych Klienta, gwarantujesz, że wszystkie działania przetwarzania są zgodne z prawem, mają określony cel i wszelkie wymagane powiadomienia oraz zgody lub inne odpowiednie podstawy prawne są zapewnione w celu umożliwienia zgodnego z prawem przekazywania Danych Osobowych Klienta. Jeśli jesteś podmiotem przetwarzającym dane (w takim przypadku my będziemy działać jako Podprocesor), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w tej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie zgodności z Prawem Ochrony Danych mającym zastosowanie do twojego korzystania z Usług i twojego własnego przetwarzania Danych Osobowych Klienta, (b) dokonywanie niezależnej oceny, czy techniczne i organizacyjne środki Usług spełniają twoje wymagania, i (c) wdrażanie oraz utrzymywanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, ale nie tylko, hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Z uwzględnieniem stanu wiedzy, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka o różnym prawdopodobieństwie i ciężkości dla praw i wolności osób fizycznych, wdrożymy i utrzymamy odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed Naruszeniami Danych Osobowych oraz zachowania bezpieczeństwa, integralności, dostępności, odporności i poufności Danych Klienta używanych przez nasze systemy do przetwarzania Danych Osobowych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przegląd informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i zobowiązania prawne wynikające z Praw Ochrony Danych. Potwierdzasz, że środki bezpieczeństwa są przedmiotem postępu technicznego i rozwoju, a my możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrola dostępu. Stosujemy zasady „potrzeba wiedzy” i „minimalna liczba uprawnień”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do tych Pracowników, którzy są niezbędni do świadczenia usług i zgodnie z Umową, w tym niniejszym DPA.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub strona upoważniona przez nas do przetwarzania Danych Osobowych Klienta (w tym nasze personel, agenci i Pod-procesorzy) zostanie poinformowana o poufnym charakterze takich Danych Osobowych Klienta i będzie mieć odpowiedni obowiązek zachowania poufności (czy to kontraktowy, czy ustawowy), który przetrwa zakończenie ich zaangażowania.
5.5 Reakcja i powiadomienie o naruszeniu danych osobowych. Po uzyskaniu informacji o Naruszeniu Danych Osobowych, bez nieuzasadnionej zwłoki (i) powiadomimy Cię, (ii) zbadamy Naruszenie Danych Osobowych, (iii) zapewnimy terminowe informacje dotyczące Naruszenia Danych Osobowych, gdy stanie się ono znane lub gdy będzie to rozsądnie wymagane przez Ciebie, oraz (iv) podejmiemy komercyjnie uzasadnione kroki w celu złagodzenia skutków i zapobieżenia ponownemu wystąpieniu Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym zgłoszenie naruszenia ochrony danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w realizacji stosownej oceny skutków ochrony danych.
6.2 Wsparcie w zakresie praw osób, których dane dotyczą. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów o ochronie danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta.
7. Ujawnianie i Prośby o Ujawnienie
7.1 Ograniczenia ujawniania i dostępu. Nie udostępnimy ani nie ujawnimy Danych Osobowych Klienta, z wyjątkiem sytuacji (i) zgodnie z Twoimi instrukcjami, (ii) określonych w Umowie i niniejszym DPA lub (iii) wymaganych przez prawo.
7.2 Wnioski o ujawnienie. Powiadomimy Cię tak szybko, jak to możliwe, jeśli otrzymamy wniosek od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że takie powiadomienie jest zabronione przez prawo. Wnioski o ujawnienie będziemy obsługiwać zgodnie z polityką wniosków o ujawnienie dostępną na naszej stronie internetowej tutaj.
8. Podprocesory
8.1 Lista Aktualnych Podprocesorów. Zgadzasz się na zaangażowanie Podprocesorów w odniesieniu do Usług, wymienionych w naszym przeglądzie Podprocesorów, który zawiera również procedurę subskrypcji powiadomień o zmianach w naszym korzystaniu z Podprocesorów. Jeśli subskrybujesz takie powiadomienia, uwzględniając Sekcję 8.3 niniejszego DPA, przekażemy szczegóły wszelkich zmian w Podprocesorach tak szybko, jak to racjonalnie możliwe.
8.2 Powołanie Podprocesorów. Na podstawie niniejszego DPA, udzielasz nam ogólnego pisemnego upoważnienia do angażowania Podprocesorów do przetwarzania Danych Osobowych Klienta, z zastrzeżeniem Sekcji 8.3 niniejszego DPA oraz następujących wymagań:
Ograniczymy dostęp Podprocesorów do Danych Osobowych Klienta do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z Podprocesorem;
Uzgodnimy z Podprocesorem obowiązki w zakresie ochrony danych, które są zasadniczo takie same jak obowiązki wynikające z niniejszego DPA; oraz
Pozostajemy wobec ciebie odpowiedzialni na mocy niniejszego DPA za wykonanie przez Podprocesora obowiązków w zakresie ochrony danych.
8.3 Powiadomienie o Zmianach w Podprocesorach i Prawo do Sprzeciwu. Przed zastąpieniem lub zaangażowaniem nowych Podprocesorów („Zmiana Podprocesora”), damy ci możliwość zgłoszenia sprzeciwu wobec Zmiany Podprocesora. Możesz zgłosić sprzeciw wobec Zmiany Podprocesora pod warunkiem, że (i) sprzeciw jest zgłoszony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podprocesora oraz (ii) sprzeciw jest oparty na i wyraźnie wyjaśnia uzasadnione podstawy dotyczące ochrony Danych Osobowych Klienta. Kiedy zgłaszasz sprzeciw wobec proponowanej Zmiany Podprocesora, będziemy z tobą współpracować w dobrej wierze, aby dokonać komercyjnie uzasadnionej zmiany w świadczeniu Usług, która unika korzystania z odpowiedniego Podprocesora. Jeśli taka zmiana nie może zostać racjonalnie dokonana w ciągu trzydziestu (30) dni roboczych od otrzymania przez nas twojego zawiadomienia o sprzeciwie lub jeśli zmiana jest dla nas komercyjnie nieuzasadniona, każda ze stron może zakończyć świadczenie odpowiednich funkcji Usług, które nie mogą być realizowane bez wykorzystania odpowiedniego Podprocesora. To prawo do rozwiązania umowy jest jedynym i wyłącznym środkiem zaradczym, jeśli zgłosisz sprzeciw wobec Zmiany Podprocesora.
9. Transfery transgraniczne danych osobowych klientów
9.1 Przekazywanie Danych Osobowych Klienta. Możemy przekazywać Dane Osobowe Klienta pod warunkiem, że zostaną zachowane wszelkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych. Może to obejmować wcześniejszą ocenę wpływu przekazywania danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, możliwe do egzekwowania prawa podmiotów danych oraz dostępność skutecznych środków prawnych dla podmiotów danych.
9.2 Standardowe klauzule umowne Podprocesorów. O ile nie ma zastosowania decyzja o adekwatności lub alternatywny mechanizm transferu, taki jak EU-US Data Privacy Framework, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podprocesorami (w tym naszymi podmiotami stowarzyszonymi) zlokalizowanymi poza EOG, zgodnie z warunkami określonymi w Sekcji 9.1 niniejszej DPA.
9.3 Mechanizmy Transferu dla Przekazywania Danych Osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznego, aby legalnie eksportować Dane Osobowe Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas zlokalizowanych poza tą jurysdykcją, niniejsza sekcja będzie miała zastosowanie. Jeśli w trakcie świadczenia Usług Dane Osobowe Klienta objęte RODO lub jakimkolwiek innym prawem dotyczącym ochrony prywatności osób, które ma zastosowanie do niniejszej DPA, są przekazywane do jednostki dostawcy zlokalizowanej w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, wymienione poniżej mechanizmy transferu będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony, o ile takie transfery podlegają przepisom o ochronie danych.
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do Danych Osobowych Klienta przekazywanych poprzez Usługi z EOG lub Szwajcarii, bezpośrednio lub poprzez dalsze przekazywanie, do jednostki dostawcy zlokalizowanej w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub w przypadku transferów ze Szwajcarii, przez właściwy urząd Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Kiedy działasz jako administrator danych, a my jako przetwarzający dane, będzie miała zastosowanie do takich transferów Danych Osobowych Klienta z EOG Klauzula EU Controller-to-Processor (Moduł Dwa) Standardowych Klauzul Umownych. Kiedy działasz jako przetwarzający dane, a my jako podprzetwarzający, będzie miała zastosowanie do takich transferów Danych Osobowych Klienta z EOG Klauzula Processor-to-Processor (Moduł Trzy) Standardowych Klauzul Umownych.
9.3.1.2 Będziemy uznawani za importera danych, a Ty za eksportera danych zgodnie ze Standardowymi Klauzulami Umownymi. Podpisanie przez każdą ze stron niniejszej DPA będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które będą uważane za załączone do niniejszej DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych są dostępne w Dodatku I i Dodatku II do niniejszej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały nadrzędne znaczenie wyłącznie w odniesieniu do przekazywania Danych Osobowych Klienta z EOG.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają, aby strony dokonały wyboru między klauzulami opcjonalnymi i wprowadziły informacje, strony dokonały tego, jak opisano poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokująca” nie zostanie przyjęta.
ii. W przypadku Klauzuli 9 „Użycie podprocesorów”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna autoryzacja: importer danych posiada ogólną autoryzację kontrolera na zaangażowanie podprocesora(ów) z uzgodnionej listy. Importer danych musi specjalnie poinformować kontrolera pisemnie o jakichkolwiek planowanych zmianach tej listy poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając kontrolerowi wystarczająco dużo czasu na sprzeciwienie się takim zmianom przed zaangażowaniem podprocesora(ów). Importer danych musi dostarczyć eksporterowi danych niezbędne informacje umożliwiające mu skorzystanie z prawa do sprzeciwu. Importer danych musi poinformować eksportera danych o zaangażowaniu podprocesora(ów).”
iii. W przypadku Klauzuli 11 (a) „Odwołania”, strony nie przyjmują opcji.
iv. W przypadku Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule są regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że takie prawo dopuszcza prawa beneficjenta trzeciego. Strony zgadzają się, że będzie to prawo Niderlandów.”
v. W przypadku Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2 Strony zgadzają się, że Klauzule Standardowe Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta przekazywanych poprzez Usługi z Wielkiej Brytanii, bezpośrednio lub poprzez dalsze przekazywanie, do jednostki dostawcy zlokalizowanej w kraju poza Wielką Brytanią, który nie jest uznawany przez właściwy urząd regulacyjny lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 Będziemy uznawani za importera danych, a Ty za eksportera danych zgodnie z Klauzulami Standardowymi Zjednoczonego Królestwa. Podpisanie przez każdą ze stron niniejszej DPA będzie traktowane jako podpisanie Klauzul Standardowych Zjednoczonego Królestwa, które będą uważane za załączone do niniejszej DPA. Szczegóły wymagane zgodnie z Klauzulami Standardowymi Zjednoczonego Królestwa są dostępne w Dodatku I i Dodatku II do niniejszej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Klauzulami Standardowymi Zjednoczonego Królestwa, Klauzule Standardowe Zjednoczonego Królestwa będą miały nadrzędne znaczenie wyłącznie w odniesieniu do przekazywania Danych Osobowych Klienta z Wielkiej Brytanii.
10. Audyt
10.1 Raport Audytowy. Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001 (lub jej odpowiednikiem). Audyt może, według naszego własnego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie, dostarczymy Ci streszczenie raportu z audytu („Raport Audytowy”), abyś mógł zweryfikować naszą zgodność z normami audytu oraz tym DPA. Takie Raporty Audytowe, jak również wszelkie wnioski lub ustalenia w nich zawarte, są naszą Informacją Poufną.
10.2 Żądania informacji od Klienta. Udostępnimy Ci wszelkie informacje, które są racjonalnie niezbędne do wykazania zgodności z obowiązkami określonymi w tym DPA. Dostarczymy pisemne odpowiedzi na rozsądne żądania informacji złożone przez Ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytów, które są rozsądne co do zakresu i niezbędne do potwierdzenia zgodności z tym DPA, pod warunkiem, że (i) najpierw podejmiesz rozsądne starania, by uzyskać żądane informacje z Dokumentacji, Raportów Audytowych i innych informacji udostępnianych lub publikowanych przez nas, oraz (ii) nie będziesz korzystać z tego prawa więcej niż raz w roku, chyba że Naruszenie Danych Osobowych lub istotna zmiana w naszych działaniach przetwarzania w odniesieniu do Usług wymaga dodatkowego wykonania kwestionariusza. Wszystkie dostarczone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt Klienta. Jeśli Raport Audytowy dostarczony przez nas do Ciebie da Ci uzasadnione powody, by sądzić, że naruszamy nasze zobowiązania wynikające z tego DPA, związane z danymi osobowymi Klienta dostarczonymi przez Ciebie, umożliwimy przeprowadzenie audytu przez niezależnego i wykwalifikowanego audytora wyznaczonego przez Ciebie i zaakceptowanego przez nas, w odniesieniu do odpowiednich działań przetwarzania danych osobowych, pod warunkiem, że w największym zakresie dopuszczanym przez obowiązujące prawo, spełnione zostaną następujące wymogi:
Musisz poinformować nas co najmniej sześćdziesiąt (60) dni wcześniej przed skorzystaniem z prawa do audytu;
Audytor zgodzi się na standardowe obowiązki poufności z nami;
Ty i audytor podejmiecie środki w celu zminimalizowania zakłóceń w naszej działalności;
Audyt zostanie przeprowadzony w regularnych godzinach pracy;
Nie będziemy zobowiązani do udzielania dostępu do danych klientów innych klientów lub systemów niezwiązanych ze świadczeniem Usług; oraz
Ty pokryjesz wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Po rozwiązaniu lub wygaśnięciu Umowy, usuniemy lub zwrócimy Ci wszystkie Dane Osobowe Klienta (wraz z kopiami) będące w naszym posiadaniu lub pod naszą kontrolą, z zastrzeżeniem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim jesteśmy zobowiązani prawem do zachowania części lub całości Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta zarchiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte, gdy minie wymagany okres przechowywania.
12. Komunikacja i prawa partnerskiego klienta
Podpisanie niniejszej DPA w imieniu i na rzecz Podmiotu Powiązanego Klienta zgodnie z postanowieniami Sekcji 1.2 stanowi odrębną DPA między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem poniższych postanowień:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację całej komunikacji z nami zgodnie z niniejszą DPA i jest upoważniony do dokonywania i odbierania wszelkich komunikatów związanych z niniejszym DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa Podmiotów Powiązanych Klienta. Jeżeli Podmiot Powiązany Klienta staje się stroną DPA z nami, będzie uprawniony, w zakresie wymaganym przez przepisy o ochronie danych, do wykonywania praw i dochodzenia roszczeń zgodnie z niniejszą DPA, z zastrzeżeniem poniższych postanowień:
(i) O ile przepisy o ochronie danych nie wymagają, aby Podmiot Powiązany Klienta samodzielnie wykonywał prawo lub dochodził roszczenia izt tego DPA bezpośrednio wobec nas, strony uzgadniają, że (i) wyłącznie Klient będący stroną umowy wykonywał takie prawo lub dochodził takiego roszczenia w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną umowy nie wykonywał takich praw wynikających z niniejszej DPA oddzielnie dla każdego Podmiotu Powiązanego Klienta, ale w sposób zbiorowy dla siebie i wszystkich swoich Podmiotów Powiązanych Klienta łącznie.
(ii) Strony uzgadniają, że Klient będący stroną umowy, w przypadku przeprowadzania na miejscu audytu procedur dotyczących ochrony Danych Osobowych Klienta w jego imieniu zgodnie z postanowieniami Sekcji 10.3 niniejszej DPA, podejmie wszelkie rozsądne działania w celu ograniczenia wpływu na nas poprzez, w miarę możliwości, połączenie kilku żądań audytowych przeprowadzanych w imieniu siebie i wszystkich swoich Podmiotów Powiązanych Klienta w jedną pojedynczą kontrolę.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów z Kalifornii.
W zakresie, w jakim ma to zastosowanie, zobowiązujemy się do poniższych dodatkowych zobowiązań wobec Ciebie w odniesieniu do przetwarzania Danych Osobowych Klienta w ramach zakresu CCPA.
13.1 Nasze Zobowiązania Zgodnie z Amerykańskimi Przepisami o Ochronie Danych. Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedać” i „dzielić się” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. O ile ma to zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym odpowiednim Amerykańskim Przepisom o Ochronie Danych („Dane Osobowe USA”) zgodnie z postanowieniami CCPA i innych Amerykańskich Przepisów o Ochronie Danych. W odniesieniu do Danych Osobowych USA jesteśmy dostawcą usług w ramach CCPA i podmiotem przetwarzającym dane na mocy innych Amerykańskich Przepisów o Ochronie Danych. Nie będziemy sprzedawać Danych Osobowych USA. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych Osobowych USA (i) dla żadnego celu innego niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych Osobowych USA w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w inny sposób dozwolony przez CCPA lub odpowiednie przepisy prawne); lub (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
13.2 Zobowiązania Klienta. Oświadczasz i gwarantujesz, że poinformowałeś Użytkownika Końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z obowiązującymi Przepisami o Ochronie Danych. Jesteś odpowiedzialny za zgodność z wymogami Przepisów o Ochronie Danych w zakresie, w jakim mają one zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spory”) wynikające z lub związane z tą DPA będą regulowane i interpretowane zgodnie z prawem Niderlandów. Każda ze Stron zgadza się, że właściwe sądy w Amsterdamie będą mieć wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z lub związanych z tą DPA.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma zastosowanie, niniejszy Dodatek I będzie służył jako Załącznik I do Standardowych Klauzul Umownych EOG.
Załącznik I, Część A. Lista Stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres podany na koncie Klienta lub adres e-mail właściciela konta Klienta lub adres(e) e-mail, na które Klient wybiera otrzymywanie powiadomień na mocy Umowy.
Rola eksportera danych: Rola eksportera danych jest określona w Sekcji 4 DPA.
Podpis i data: Jeżeli i kiedy ma to zastosowanie, eksporter danych uznaje się za podpisującego Standardowe Klauzule Umowne zawarte w niniejszym dokumencie od Daty Wejścia w Życie DPA.
Importer danych: Dostawca
Dane kontaktowe importera danych: Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeżeli i kiedy ma to zastosowanie, importer danych uznaje się za podpisującego Standardowe Klauzule Umowne zawarte w niniejszym dokumencie od Daty Wejścia w Życie DPA.
Załącznik I, Część B. Opis Transferu
1. Kategorie podmiotów danych, których dane osobowe są przekazywane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, kontrahenci lub pracownicy tymczasowi (aktualni, potencjalni, byli) klienta korzystający z Usług („Użytkownicy”);
Użytkownicy końcowi. Każda osoba (i), której dane kontaktowe są zawarte w listach kontaktów Klienta; (ii) której informacje są przechowywane lub zbierane przez Usługi, lub (ii) do której Klient wysyła komunikaty lub w inny sposób angażuje się lub komunikuje za pomocą Usług (łącznie „Użytkownicy końcowi”). Klient jako jedyny określa kategorie podmiotów danych uwzględnionych w komunikacji przesyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie przekazywanych danych osobowych.
Dane osobowe Klienta zawarte w treści komunikacji, danych o ruchu, danych Użytkowników końcowych i danych o użytkowaniu Klienta.
Treść komunikacji, która może obejmować dane osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacji według ustaleń Klienta.
Dane o ruchu, które mogą zawierać dane osobowe Klienta dotyczące trasowania, czasu trwania lub czasu połączenia, takie jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą one osoby fizycznej, czy firmy.
Dane Użytkowników końcowych, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane o użytkowaniu Klienta mogą zawierać dane, które mogą być powiązane z Klientem jako osobą fizyczną, uwzględniając dane statystyczne i informacje związane z kontem i aktywnościami serwisowymi, wglądy serwisowe i raporty analityczne dotyczące przesyłanej komunikacji oraz wsparcia klienta.
3. Przekazywane dane wrażliwe (jeżeli ma to zastosowanie) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych oraz związane z nimi ryzyko, takie jak np. ścisłe ograniczenia celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), utrzymywanie rejestru dostępu do danych, ograniczenia dotyczące dalszych przekazów lub dodatkowe środki bezpieczeństwa.
Treść komunikacji. Dane wrażliwe mogą być przetwarzane przez Usługi, jeżeli Klient lub jego Użytkownicy końcowi zdecydują się uwzględnić dane wrażliwe w komunikacje przekazywanej przez Usługi. Klient jest odpowiedzialny za zapewnienie odpowiednich zabezpieczeń przed przesyłaniem lub przetwarzaniem, lub przed zezwoleniem swoim Użytkownikom końcowym na przesyłanie lub przetwarzanie jakichkolwiek danych wrażliwych przez Usługi, zgodnie z Sekcją 3.2 Umowy.
Dane o ruchu, dane Użytkowników końcowych i dane o użytkowaniu Klienta. W danych o ruchu, danych Użytkowników końcowych ani danych o użytkowaniu Klienta nie są zawarte żadne dane wrażliwe.
4. Częstotliwość przekazu (np. czy dane są przesyłane jednorazowo, czy w sposób ciągły): Dane osobowe Klienta są przesyłane w sposób ciągły przez okres trwania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać dane osobowe Klienta w zakresie niezbędnym do zapewnienia Usług na mocy Umowy. Nie sprzedajemy żadnych danych osobowych, w tym danych osobowych Klienta, i nie udostępniamy danych osobowych stronom trzecim w zamian za wynagrodzenie ani w celach biznesowych tych stron trzecich.
6. Cel(e) transferu danych i dalszego przetwarzania: Będziemy przetwarzać dane osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w niniejszym DPA, chyba że przetwarzanie jest konieczne do przestrzegania prawnego obowiązku, któremu podlegamy, w którym to przypadku zaklasyfikujemy się jako administrator danych.
Treść komunikacji, dane o ruchu, dane Użytkowników końcowych i dane o użytkowaniu Klienta. Dane osobowe zawarte w treści komunikacji, danych o ruchu, danych Użytkowników końcowych i danych o użytkowaniu Klienta będą podlegać następującym podstawowym działaniom przetwarzania:
Treść komunikacji. Świadczenie produktów komunikacji programowalnej i usług, oferowanych w postaci interfejsów programowania aplikacji (API) lub za pośrednictwem Dashboard, dla Klienta, w tym przesyłanie do lub z aplikacji oprogramowania Klienta z lub do naszej platformy komunikacyjnej i innych sieci komunikacyjnych.
Dane o ruchu. Dane o ruchu są przetwarzane w celu przesyłania komunikacji w sieci telekomunikacyjnej lub do celów rozliczeniowych tej komunikacji. Może to obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub czasu połączenia, takie jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą one osoby fizycznej, czy firmy.
Dane Użytkowników końcowych. Dane osobowe Użytkowników końcowych są niezbędne do wykonania Usług i będą przetwarzane wyłącznie w celach przesyłania komunikacji, wsparcia klienta, i zapewnienia zgodności z naszymi obowiązkami prawnymi.
Dane o użytkowaniu Klienta. Dane osobowe zawarte w danych o użytkowaniu Klienta będą podlegać działaniom przetwarzania mającym na celu zapewnienie Klientowi wglądu w Usługi i raporty analityczne dotyczące przesyłanej komunikacji, wsparcia klienta i ciągłego doskonalenia Usług.
7. Okres, na jaki dane osobowe będą przechowywane, lub, jeśli jest to niemożliwe, kryteria używane do ustalenia tego okresu:
Treść komunikacji i dane o ruchu.
Dla treści komunikacji i danych o ruchu zawartych w usługach SMS i głosowych okres przechowywania wynosi sześć miesięcy;
W przypadku Usług Wideo treść komunikacji i dane o ruchu są przechowywane przez co najmniej 30 dni aż do czasu ustalonego z Klientem;
W przypadku usług e-mailowych treść komunikacji i dane o ruchu są przechowywane przez 72 godziny;
Dla wszystkich innych usług, treść komunikacji i dane o ruchu są przechowywane przez czas trwania Usług, chyba że Klient usunie treść komunikacji lub dane o ruchu za pomocą technicznych i organizacyjnych środków udostępnionych za pośrednictwem Usług.
Dane Użytkowników końcowych. Dane Użytkowników końcowych będą przetwarzane przez okres ustalony przez Klienta, gdy dane Użytkowników końcowych są uwzględnione w profilach kontaktowych Klienta, domyślny okres przechowywania to okres trwania Usług, zgodnie z Sekcją 6(c) w tym Załączniku I, Część B.
Dane o użytkowaniu Klienta. Po rozwiązaniu Umowy możemy zachować, używać i ujawniać dane o użytkowaniu Klienta dla celów określonych w Sekcji 6(d) tego Załącznika I, Część B, pod warunkiem zachowania poufności określonego w Umowie. Zanonimizujemy lub usuniemy dane o użytkowaniu Klienta, gdy nie będą one już potrzebne do celów określonych w Sekcji 6(d) tego Załącznika I, Część B.
8. Dla przekazów do pod-procesorów, należy określić przedmiot, charakter i czas trwania przetwarzania: Dla przekazów do pod-procesorów, przedmiot i charakter przetwarzania określono w naszym przeglądzie pod-procesorów a czas trwania to okres trwania Umowy.
Załącznik I, Część C. Właściwy Organ Nadzorczy
Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie właściwym organem nadzorczym.
ZAŁĄCZNIK II - ŚRODKI TECHNICZNE I ORGANIZACYJNE ZAPEWNIAJĄCE BEZPIECZEŃSTWO
Gdzie ma to zastosowanie, niniejszy Załącznik II będzie pełnił rolę Załącznika II do Standardowych Klauzul Umownych. Poniżej przedstawiamy dodatkowe informacje dotyczące naszych technicznych i organizacyjnych środków zabezpieczeń przedstawionych poniżej.
Techniczne i organizacyjne środki bezpieczeństwa:
Środki pseudonimizacji i ochrony danych osobowych podczas przechowywania i transmisji: wszystkie dane osobowe są szyfrowane w trakcie transmisji i podczas przechowywania, a w zakresie istotnym z punktu widzenia bezpieczeństwa, traktowane jakby były sklasyfikowane jako dane wrażliwe. Informacje są zawsze transmitowane za pomocą TLS z aktualnymi metodami szyfrowania domyślnie.
Środki zapewniające ciągłość poufności, integralności, dostępności i odporności systemów przetwarzania i usług: zawieramy umowy z naszymi pracownikami, kontrahentami, dostawcami i Podprocesorami, które zawierają postanowienia dotyczące poufności. Nasza polityka ciągłości działania ma na celu przygotowanie naszej działalności i usług na wypadek długotrwałych awarii spowodowanych czynnikami poza naszą kontrolą oraz przywrócenie usług w możliwie najszerszym zakresie w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są krytyczne dla naszych klientów, dlatego dopuszczamy bardzo niewielką tolerancję na przerwy w świadczeniu usług. Nasze ramy czasowe dla odzyskiwania są zaprojektowane tak, aby zapewnić, że możemy spełnić nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceniania i oceny skuteczności technicznych i organizacyjnych środków w celu zapewnienia bezpieczeństwa przetwarzania: celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów i (autoryzowanych) systemów informacyjnych oraz minimalizacja ryzyka powstania szkód poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami bezpieczeństwa. Nasz zespół prawny, Inspektor Ochrony Danych oraz zespół ds. bezpieczeństwa dbają o to, aby odpowiednie przepisy i standardy były uwzględnione w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkowników: stosujemy zasady „need to know” i „least privilege”. Promujemy użycie kontroli dostępu opartej na rolach. Udostępnianie i rejestrowanie jest nadzorowane przez zespół ds. bezpieczeństwa, z domyślnym użyciem Single-Sign-On i 2FA. Właściciele zostali zdefiniowani dla każdego zasobu informacyjnego, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie przeglądany. Zawsze przy pracy z wrażliwymi informacjami lub podjęciu krytycznych działań stosujemy zasadę czterech oczu.
Środki zapewniające logowanie zdarzeń: dzienniki audytów są centralnie przechowywane i monitorowane regularnie dla zdarzeń związanych z bezpieczeństwem i są zabezpieczone, aby zapobiec ryzyku manipulacji. Polityka zarządzania incydentami wzmacnia plan reagowania na incydenty i jego procedury. Te wytyczne są stosowane, jeśli występuje jakikolwiek rodzaj incydentu bezpieczeństwa lub technicznego.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: stosujemy spójny proces zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby wyjaśnić, wszystkie wnioski o zmiany (RFC) muszą zostać zaakceptowane przez wyznaczoną stronę i wykonane zgodnie z formalnym procesem kontroli zmian. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i uruchamiane w kontrolowany sposób; oraz że status każdej proponowanej zmiany jest monitorowany. Stosuje się konfiguracje podstawowe, aby bezpiecznie konfigurować systemy zgodnie z najlepszymi praktykami. Ponadto w dziale Inżynierii wykorzystywany jest radar techniczny, aby określić, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia do zarządzania danymi) mogą być przyjęte lub należy ich unikać podczas rozwoju.
Środki dotyczące bezpieczeństwa fizycznego: aktywnie promujemy politykę „Praca z Dowolnego Miejsca”, dzięki czemu nasi pracownicy mogą pracować z dowolnego miejsca, które wybierają. Jednakże nadal mamy nasze biura. Nie posiadamy bezpiecznych obszarów/centrum danych na terenie naszych biur, ponieważ jesteśmy całkowicie firmą opartą na chmurze. Nasze piętra biurowe są chronione zabezpieczeniami dostępu fizycznego, CCTV i ochroną fizyczną.
Środki dotyczące wewnętrznego zarządzania IT oraz zarządzania bezpieczeństwem IT: utrzymujemy program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje zabezpieczenia administracyjne, organizacyjne, techniczne i fizyczne, zaprojektowane w celu ochrony Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji został zorganizowany w sposób systematyczny i dobrze zorganizowany. Ponadto, obowiązują wymogi prawne i regulacyjne, aby zapewnić poufność, integralność i dostępność informacji dla organizacji, pracowników, partnerów i klientów. Wszystko to jest przekształcone w nasze polityki, procedury i wytyczne dotyczące bezpieczeństwa informacji. Posiadamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz przekształcenie działań strategicznych w działania operacyjne na rzecz naszego bezpieczeństwa oraz ciągłe utrzymanie zgodności regulacyjnej. Wszyscy pracownicy są odpowiedzialni za ochronę zasobów firmy. Wszyscy nasi pracownicy są badani pod kątem wiedzy, doświadczenia i integralności. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie wprowadzania, a także poprzez regularne szkolenia zespołowe i inne prezentacje zaprezentowane całej firmie na temat znaczenia ochrony danych i zgodności z normami bezpieczeństwa. Posiadamy certyfikat ISO 27001, ogólnie uznany standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy usług hostingowych posiadają certyfikat ISO 27001.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i w pełni transparentni wobec naszych klientów.
Jesteśmy członkiem stowarzyszonym z Groupe Speciale Mobile Association (GSMA). GSMA reprezentuje interesy operatorów telefonii komórkowej na całym świecie.
Zawsze jesteśmy na bieżąco z wszystkimi obowiązującymi prawami i regulacjami, w tym Ogólnym Rozporządzeniem o Ochronie Danych i Ramowym Porozumieniem o Uregulowaniach Transatlantyckich.
Środki dotyczące certyfikacji/zgodności procesów i produktów: przechodzimy rygorystyczne audyty nadzorujące oraz certyfikacyjne w ramach zgodności z ISO/IEC 27001 i regularnie prowadzimy testy odporności i testy penetracyjne aplikacji.
Środki zapewniające rozliczalność: wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami i publikujemy przegląd istotnych informacji naszego ISMS (link). Mamy wyznaczonego Dyrektora do spraw Bezpieczeństwa, Inspektora Bezpieczeństwa Informacji, Oficera Zgodności i Inspektora Ochrony Danych oraz utrzymujemy dokumentację naszych działań przetwarzania, w tym rejestrowanie i raportowanie incydentów bezpieczeństwa dotyczących Danych Osobowych tam, gdzie to ma zastosowanie.
Środki zapewniające usuwanie danych: zapewniamy usuwanie danych za pomocą automatycznego procesu kasowania w naszym środowisku komunikacyjno-infrastrukturalnym. Ten proces usuwania danych zapewnia, że wszystkie dane, które nie są już potrzebne do osiągnięcia określonego celu, są usuwane z naszych systemów po przetworzeniu.