Umowa o Przetwarzaniu Danych
Ostatnia aktualizacja: 21 listopada 2024
Ta Umowa o Przetwarzaniu Danych dotyczy Ciebie w przypadku jakichkolwiek Usług, na które się zarejestrujesz (w tym przez któregokolwiek z naszych Partnerów):
Od dnia rejestracji w naszych Usługach, jeśli jest to 21 listopada 2024 lub później.
Od 22 grudnia 2024, jeśli zarejestrowałeś się w naszych Usługach przed 21 listopada 2024.
Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Dokumenty
Zawartość
Ta Umowa o Przetwarzaniu Danych, wraz z załącznikami, („DPA”) stanowi część Umowy między nami a Klientem na zakup (internetowych) usług komunikacyjnych od nas, aby odzwierciedlić umowę Stron w odniesieniu do przetwarzania Danych Osobowych Klienta. W tym DPA terminy „ty”, „twój” lub „Klient” odnoszą się do ciebie jako naszego Klienta (zgodnie z sekcją 1.2 poniżej), a terminy „my”, „nas” lub „nasz” odnoszą się do nas jako Dostawcy (jak zdefiniowano poniżej). Terminy pisane wielką literą użyte w tym DPA, ale niezdefiniowane poniżej, są zdefiniowane w naszych Ogólnych Warunkach lub innych Umowach z nami regulujących korzystanie z Usług przez ciebie.
Strony zgadzają się, że to DPA zastąpi wszelkie istniejące dodatki do ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
1. Zakres, Oddziały Klienta i Okres Obowiązywania
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez nas jako procesora.
1.2 Filie Klienta. Klient wchodzi w niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przepisami o ochronie danych, w imieniu i na rzecz swoich Filie (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim dostarczasz takim Fliom dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których te Filie kwalifikują się jako administratorzy danych („Filie Klienta”). Do celów niniejszej DPA oraz poza sytuacjami wskazanymi inaczej, określenia „Klient” i „ty” będą obejmować Klienta i Filie Klienta.
1.3 Okres Obowiązywania. Niniejsza DPA pozostaje w mocy tak długo, jak długo przetwarzamy Dane Osobowe Klienta zgodnie z niniejszą DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
„Dane Konta” oznaczają wszelkie Dane Osobowe przekazane przez Ciebie lub w Twoim imieniu do nas w związku z zawarciem i zarządzaniem Umową i Twoim kontem, w tym między innymi informacje kontaktowe, szczegóły dotyczące rozliczeń i korespondencję dotyczącą zawarcia i zarządzania Umową oraz związanymi z nią Usługami.
„CCPA” oznacza kalifornijską ustawę o ochronie prywatności konsumentów z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, z późniejszymi zmianami.
„Dane Klienta” oznaczają wszelkie dane oraz inne informacje lub zawartość przesłane przez Ciebie lub w Twoim imieniu (lub przez użytkownika Twojej Aplikacji Klienta) na mocy Umowy i przetwarzane lub przechowywane przez Usługi.
„Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta przetwarzanych przez nas jako procesor, o ile nie określono inaczej w tym DPA.
„Ustawy o Ochronie Danych” oznaczają wszystkie przepisy i regulacje dowolnej jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na mocy Umowy, w tym na przykład i tam gdzie ma to zastosowanie, RODO lub CCPA.
„EEA” oznacza, na potrzeby niniejszego DPA, Europejski Obszar Gospodarczy oraz Szwajcarię.
„RODO” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych i swobodnym przepływem takich danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o ochronie danych z 2018 roku.
„Dane Osobowe” oznaczają wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, samodzielnie lub w połączeniu z innymi informacjami.
„Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub bezprawne zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta oraz wszelkie inne podobne pojęcia na mocy mających zastosowanie Ustaw o Ochronie Danych, takich jak „Naruszenie Bezpieczeństwa”.
„Usługi” oznaczają wszystkie produkty i usługi świadczone przez nas lub naszych Partnerów, które są (a) zamawiane przez Ciebie na mocy dowolnego Formularza Zamówienia; lub (b) używane przez Ciebie.
„Dostawca” oznacza naszą jednostkę kontraktową, która jest stroną tego DPA, będącą podmiotem wymienionym w Sekcji 15 w Ogólnych Warunkach (Jednostka Kontraktująca), o ile nie jest to określone inaczej na Twoim Formularzu Zamówienia. Ty lub Dostawca możecie być również indywidualnie określani jako „Strona”, a razem jako „Strony” w niniejszym DPA.
„Standardowe Klauzule Umowne” oznaczają przejście z Administratora na Procesora (Moduł Drugi) lub z Procesora na Procesora (Moduł Trzeci), w zależności od przypadku, Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonym przez Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 roku, jak obecnie określono w https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
„Podprocesor” oznacza jednostkę trzecią, która przetwarza Dane Osobowe Klienta w imieniu Dostawcy gdzie Dostawca działa jako procesor danych lub podprocesor.
„Standardowe Klauzule Umowne UK” oznaczają dowolne lub wszystkie z następujących: (i) międzynarodową umowę o transferze danych wydaną przez Komisarza Informacji Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; (ii) międzynarodowy dodatek do klauzul standardowych Komisji Europejskiej dotyczący międzynarodowych transferów danych wydany przez Komisarza Informacji Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; lub (iii) takie standardowe postanowienia wydane przez Komisarza Informacji Wielkiej Brytanii lub Komisję Europejską, które mogą je zastąpić od czasu do czasu.
Terminy takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „podmiot danych” itd. mają znaczenie przypisane im przez RODO. Definicja „administratora danych” obejmuje „biznes”, „konsumenta”, „kontrolera” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesor” i „pośrednika danych”; „podmiot danych” obejmuje „konsumenta” i „osobę fizyczną”; a „Dane Osobowe” obejmują „dane osobowe”, w każdym przypadku zdefiniowane zgodnie z CCPA, oraz innymi stosownymi Ustawami o Ochronie Danych. Terminy takie jak „cel biznesowy”, „cel komercyjny”, „sprzedać” i „udzielać” mają takie samo znaczenie jak w stosownych Ustawach o Ochronie Danych i, w każdym przypadku, ich odpowiednie terminy będą interpretowane odpowiednio.
3. Przetwarzanie danych osobowych klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym transmisji komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i raportów dostarczania, świadczenia wsparcia oraz opracowywania i wdrażania ulepszeń i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami dla nas jako podmiotu przetwarzającego dane, jak określono w Sekcji 3.2 tego DPA, (ii) dla naszych uzasadnionych celów biznesowych, jak określono w Sekcji 3.4 tego DPA jako administrator danych, oraz (iii) w inny sposób wymagany zgodnie z obowiązującym prawem.
3.2 Instrukcje Klienta. Umowa i to DPA stanowią Twoje kompletne instrukcje dla nas jako podmiotu przetwarzającego dane w momencie podpisania tego DPA. Będziemy przestrzegać innych uzasadnionych udokumentowanych instrukcji, pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania. Załącznik I, Część B (Opis Transferu) Aneksu I do tego DPA określa charakter i cel przetwarzania przez nas jako podmiotu przetwarzającego dane lub Podprocesora, działania przetwarzania, czas trwania przetwarzania, typy Danych Osobowych oraz kategorie podmiotów danych.
3.4 Uzasadnione Cele Biznesowe. Uznajesz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do osiągnięcia następujących uzasadnionych celów biznesowych: rozliczeń, zarządzania kontem, raportowania finansowego i wewnętrznego, zwalczania i zapobiegania zagrożeniom bezpieczeństwa, cyberatakom i cyberprzestępczości, które mogą dotyczyć Ciebie, nas lub naszych usług, modelowania biznesowego (np. prognozowanie, planowanie wydajności i przychodów oraz strategii produktowej), zapobieganie i wykrywanie oszustw, spamu i nadużyć, ciągłego doskonalenia produktów i usług używanych przez Ciebie oraz w celu spełnienia naszych zobowiązań prawnych.
4. Obowiązki Klienta
4.1 Zgodność z prawem. Jeśli działasz jako administrator danych Osobowych Klientów, gwarantujesz, że wszystkie czynności przetwarzania są zgodne z prawem, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inne odpowiednie podstawy prawne są obecne, aby umożliwić legalny transfer Danych Osobowych Klientów. Jeśli jesteś procesorem danych (w takim przypadku będziemy działać jako Pod-procesor), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w niniejszej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz Ustaw o ochronie danych obowiązujących w odniesieniu do korzystania z Usług i własnego przetwarzania Danych Osobowych Klientów, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki Usług spełniają Twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków ochrony danych i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacjami Klientów).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i sile dla praw i wolności osób fizycznych, wdrożymy i będziemy utrzymywać odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Dane Osobowe Klienta przed Naruszeniami Danych Osobowych oraz zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta i dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i obowiązki prawne wynikające z Praw Ochrony Danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa mogą podlegać postępowi technologicznemu i rozwojowi, i że możemy aktualizować lub modyfikować nasze środki bezpieczeństwa od czasu do czasu, pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „konieczności wiedzy” oraz „najmniejszego uprzywilejowania”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do personelu wymaganego do świadczenia Usług i zgodnie z Umową, w tym tą DPA.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub podmiot, który ma przez nas upoważnienie do przetwarzania Danych Osobowych Klienta (w tym nasz personel, agenci i Podprocesorzy), zostanie poinformowana o poufnym charakterze takich Danych Osobowych Klienta i będzie zobowiązana do odpowiedniego przestrzegania poufności (czy to z obowiązku umownego czy ustawowego), który przetrwa zakończenie ich zatrudnienia.
5.5 Reakcja i powiadomienie o naruszeniu danych osobowych. Po uzyskaniu świadomości o Naruszeniu Danych Osobowych, bez zbędnej zwłoki (i) powiadomimy Cię, (ii) zbadamy Naruszenie Danych Osobowych, (iii) dostarczymy terminowe informacje dotyczące Naruszenia Danych Osobowych, gdy tylko stanie się ono znane lub na Twoje uzasadnione żądanie, oraz (iv) podejmiemy uzasadnione kroki handlowe w celu złagodzenia skutków i zapobieżenia ponownemu wystąpieniu Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym zgłoszenie naruszenia ochrony danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w realizacji stosownej oceny skutków ochrony danych.
6.2 Wsparcie w zakresie praw osób, których dane dotyczą. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów o ochronie danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta.
7. Ujawnianie i Prośby o Ujawnienie
7.1 Ograniczenia ujawniania i dostępu. Nie zapewnimy dostępu do Danych Osobowych Klienta ani nie ujawnimy ich, z wyjątkiem (i) zgodnie z Twoimi instrukcjami, (ii) zgodnie z Umową i niniejszym DPA, lub (iii) gdy wymagane jest to przepisami prawa.
7.2 Żądania ujawnienia. Powiadomimy Cię tak szybko, jak to będzie możliwe, jeśli otrzymamy wniosek od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że takie zawiadomienie jest zabronione przez prawo. Będziemy obsługiwać żądania ujawnienia zgodnie z polityką żądań ujawnienia, dostępną na naszej stronie internetowej tutaj.
8. Podprocesory
8.1 Lista Obecnych Podwykonawców. Zgadzasz się na zaangażowanie Podwykonawców w związku z Usługami, wymienionych w naszym przeglądzie Podwykonawców, który również zawiera procedurę subskrypcji powiadomień o zmianach w naszym użytkowaniu Podwykonawców. Jeśli subskrybujesz takie powiadomienia, biorąc pod uwagę Sekcję 8.3 niniejszego DPA, przekażemy szczegóły każdej zmiany Podwykonawców tak szybko, jak to będzie możliwe.
8.2 Mianowanie Podwykonawców. Na mocy niniejszego DPA, udzielasz nam ogólnego pisemnego upoważnienia do angażowania Podwykonawców do przetwarzania Danych Osobowych Klientów, z zastrzeżeniem Sekcji 8.3 niniejszego DPA oraz następujących wymagań:
Ograniczymy dostęp do Danych Osobowych Klientów przez Podwykonawców do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podwykonawcą;
Uzgodnimy z Podwykonawcą obowiązki dotyczące ochrony danych, które są zasadniczo takie same jak obowiązki wynikające z niniejszego DPA; oraz
Pozostajemy wobec ciebie odpowiedzialni na mocy niniejszego DPA za realizację zobowiązań dotyczących ochrony danych przez Podwykonawcę.
8.3 Powiadomienie o Zmianach Podwykonawców i Prawo do Sprzeciwu. Przed zastąpieniem lub zaangażowaniem nowych Podwykonawców (“Zmiana Podwykonawcy”), damy ci możliwość wyrażenia sprzeciwu wobec Zmiany Podwykonawcy. Możesz wyrazić sprzeciw wobec Zmiany Podwykonawcy, pod warunkiem że (i) sprzeciw zostanie złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podwykonawcy oraz (ii) sprzeciw jest oparty na i wyraźnie wyjaśnia uzasadnione powody dotyczące ochrony Danych Osobowych Klientów. Kiedy sprzeciwiasz się proponowanej Zmianie Podwykonawcy, będziemy współpracować z tobą w dobrej wierze, aby dokonać komercyjnie rozsądnej zmiany w świadczeniu Usług, która unika użycia odpowiedniego Podwykonawcy. Jeśli taka zmiana nie może zostać dokonana w rozsądny sposób w ciągu trzydziestu (30) dni od otrzymania twojego zawiadomienia o sprzeciwie, lub jeśli zmiana jest dla nas komercyjnie nieracjonalna, każda ze stron może zakończyć stosowne funkcje Usług, które nie mogą być świadczone bez użycia odpowiedniego Podwykonawcy. To prawo do wypowiedzenia jest twoim jedynym i wyłącznym środkiem zaradczym, jeśli sprzeciwiasz się Zmianie Podwykonawcy.
9. Transfery transgraniczne danych osobowych klientów
9.1 Przekazywanie Danych Osobowych Klienta. Możemy przekazywać Dane Osobowe Klienta pod warunkiem, że zostaną zachowane wszelkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych. Może to obejmować wcześniejszą ocenę wpływu przekazywania danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, możliwe do egzekwowania prawa podmiotów danych oraz dostępność skutecznych środków prawnych dla podmiotów danych.
9.2 Standardowe klauzule umowne Podprocesorów. O ile nie ma zastosowania decyzja o adekwatności lub alternatywny mechanizm transferu, taki jak EU-US Data Privacy Framework, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podprocesorami (w tym naszymi podmiotami stowarzyszonymi) zlokalizowanymi poza EOG, zgodnie z warunkami określonymi w Sekcji 9.1 niniejszej DPA.
9.3 Mechanizmy Transferu dla Przekazywania Danych Osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznego, aby legalnie eksportować Dane Osobowe Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas zlokalizowanych poza tą jurysdykcją, niniejsza sekcja będzie miała zastosowanie. Jeśli w trakcie świadczenia Usług Dane Osobowe Klienta objęte RODO lub jakimkolwiek innym prawem dotyczącym ochrony prywatności osób, które ma zastosowanie do niniejszej DPA, są przekazywane do jednostki dostawcy zlokalizowanej w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, wymienione poniżej mechanizmy transferu będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony, o ile takie transfery podlegają przepisom o ochronie danych.
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do Danych Osobowych Klienta przekazywanych poprzez Usługi z EOG lub Szwajcarii, bezpośrednio lub poprzez dalsze przekazywanie, do jednostki dostawcy zlokalizowanej w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub w przypadku transferów ze Szwajcarii, przez właściwy urząd Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Kiedy działasz jako administrator danych, a my jako przetwarzający dane, będzie miała zastosowanie do takich transferów Danych Osobowych Klienta z EOG Klauzula EU Controller-to-Processor (Moduł Dwa) Standardowych Klauzul Umownych. Kiedy działasz jako przetwarzający dane, a my jako podprzetwarzający, będzie miała zastosowanie do takich transferów Danych Osobowych Klienta z EOG Klauzula Processor-to-Processor (Moduł Trzy) Standardowych Klauzul Umownych.
9.3.1.2 Będziemy uznawani za importera danych, a Ty za eksportera danych zgodnie ze Standardowymi Klauzulami Umownymi. Podpisanie przez każdą ze stron niniejszej DPA będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które będą uważane za załączone do niniejszej DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych są dostępne w Dodatku I i Dodatku II do niniejszej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały nadrzędne znaczenie wyłącznie w odniesieniu do przekazywania Danych Osobowych Klienta z EOG.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają, aby strony dokonały wyboru między klauzulami opcjonalnymi i wprowadziły informacje, strony dokonały tego, jak opisano poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokująca” nie zostanie przyjęta.
ii. W przypadku Klauzuli 9 „Użycie podprocesorów”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna autoryzacja: importer danych posiada ogólną autoryzację kontrolera na zaangażowanie podprocesora(ów) z uzgodnionej listy. Importer danych musi specjalnie poinformować kontrolera pisemnie o jakichkolwiek planowanych zmianach tej listy poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając kontrolerowi wystarczająco dużo czasu na sprzeciwienie się takim zmianom przed zaangażowaniem podprocesora(ów). Importer danych musi dostarczyć eksporterowi danych niezbędne informacje umożliwiające mu skorzystanie z prawa do sprzeciwu. Importer danych musi poinformować eksportera danych o zaangażowaniu podprocesora(ów).”
iii. W przypadku Klauzuli 11 (a) „Odwołania”, strony nie przyjmują opcji.
iv. W przypadku Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule są regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że takie prawo dopuszcza prawa beneficjenta trzeciego. Strony zgadzają się, że będzie to prawo Niderlandów.”
v. W przypadku Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2 Strony zgadzają się, że Klauzule Standardowe Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta przekazywanych poprzez Usługi z Wielkiej Brytanii, bezpośrednio lub poprzez dalsze przekazywanie, do jednostki dostawcy zlokalizowanej w kraju poza Wielką Brytanią, który nie jest uznawany przez właściwy urząd regulacyjny lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 Będziemy uznawani za importera danych, a Ty za eksportera danych zgodnie z Klauzulami Standardowymi Zjednoczonego Królestwa. Podpisanie przez każdą ze stron niniejszej DPA będzie traktowane jako podpisanie Klauzul Standardowych Zjednoczonego Królestwa, które będą uważane za załączone do niniejszej DPA. Szczegóły wymagane zgodnie z Klauzulami Standardowymi Zjednoczonego Królestwa są dostępne w Dodatku I i Dodatku II do niniejszej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Klauzulami Standardowymi Zjednoczonego Królestwa, Klauzule Standardowe Zjednoczonego Królestwa będą miały nadrzędne znaczenie wyłącznie w odniesieniu do przekazywania Danych Osobowych Klienta z Wielkiej Brytanii.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie audytowana pod kątem zgodności z normą ISO 27001 (lub równoważną). Audyt może być, według naszego uznania, audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie, dostarczymy Ci streszczenie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytowymi i tym DPA. Takie Raporty z audytu, oraz wszelkie zawarte w nich wnioski czy ustalenia, stanowią nasze Informacje Poufne.
10.2 Żądania informacji od klienta. Umożliwimy Ci dostęp do wszelkich informacji niezbędnych do wykazania zgodności z obowiązkami zawartymi w tym DPA. Udzielimy pisemnych odpowiedzi na uzasadnione prośby o informacje złożone przez Ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytów, które są uzasadnione zakresem i niezbędne do potwierdzenia zgodności z tym DPA, pod warunkiem że Ty (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów z audytów i innych informacji dostarczonych lub udostępnionych przez nas publicznie, oraz (ii) nie będziesz korzystać z tego prawa częściej niż raz w roku, chyba że w przypadku Naruszenia Danych Osobowych lub znaczącej zmiany w naszych działaniach przetwarzania danych związanych z Usługami, które wymagają wykonania dodatkowego kwestionariusza. Wszystkie udzielone odpowiedzi stanowią nasze Informacje Poufne.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas do Ciebie daje Ci uzasadnione podstawy do przypuszczeń, że naruszyliśmy nasze zobowiązania wynikające z tego DPA, związane z Danymi Osobowymi Klienta dostarczonymi przez Ciebie, umożliwimy niezależnemu i wykwalifikowanemu audytorowi trzeciej strony, powołanemu przez Ciebie i zatwierdzonemu przez nas, dokonanie audytu odpowiednich działań związanych z przetwarzaniem Danych Osobowych, pod warunkiem że w jak największym zakresie dozwolonym przez obowiązujące prawo spełnione zostaną następujące wymagania:
Musisz dać nam co najmniej sześćdziesiąt (60) dni wcześniej rozsądne powiadomienie przed skorzystaniem z prawa do audytu;
Audytor zgadza się na standardowe rynkowe zobowiązania do zachowania poufności z nami;
Ty i audytor podejmiecie działania, aby zminimalizować zakłócenia naszych operacji biznesowych;
Audyt będzie przeprowadzony w regularnych godzinach pracy;
Nie będziemy zobowiązani do zapewnienia dostępu do danych klientów innych klientów lub systemów niezwiązanych z świadczeniem Usług; oraz
Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Po rozwiązaniu lub wygaśnięciu Umowy, usuniemy lub zwrócimy Ci wszystkie Dane Osobowe Klienta (wraz z kopiami) będące w naszym posiadaniu lub pod naszą kontrolą, z zastrzeżeniem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim jesteśmy zobowiązani prawem do zachowania części lub całości Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta zarchiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte, gdy minie wymagany okres przechowywania.
12. Komunikacja i prawa partnerskiego klienta
Podpisanie niniejszej DPA w imieniu i na rzecz Podmiotu Powiązanego Klienta zgodnie z postanowieniami Sekcji 1.2 stanowi odrębną DPA między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem poniższych postanowień:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację całej komunikacji z nami zgodnie z niniejszą DPA i jest upoważniony do dokonywania i odbierania wszelkich komunikatów związanych z niniejszym DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa Podmiotów Powiązanych Klienta. Jeżeli Podmiot Powiązany Klienta staje się stroną DPA z nami, będzie uprawniony, w zakresie wymaganym przez przepisy o ochronie danych, do wykonywania praw i dochodzenia roszczeń zgodnie z niniejszą DPA, z zastrzeżeniem poniższych postanowień:
(i) O ile przepisy o ochronie danych nie wymagają, aby Podmiot Powiązany Klienta samodzielnie wykonywał prawo lub dochodził roszczenia izt tego DPA bezpośrednio wobec nas, strony uzgadniają, że (i) wyłącznie Klient będący stroną umowy wykonywał takie prawo lub dochodził takiego roszczenia w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną umowy nie wykonywał takich praw wynikających z niniejszej DPA oddzielnie dla każdego Podmiotu Powiązanego Klienta, ale w sposób zbiorowy dla siebie i wszystkich swoich Podmiotów Powiązanych Klienta łącznie.
(ii) Strony uzgadniają, że Klient będący stroną umowy, w przypadku przeprowadzania na miejscu audytu procedur dotyczących ochrony Danych Osobowych Klienta w jego imieniu zgodnie z postanowieniami Sekcji 10.3 niniejszej DPA, podejmie wszelkie rozsądne działania w celu ograniczenia wpływu na nas poprzez, w miarę możliwości, połączenie kilku żądań audytowych przeprowadzanych w imieniu siebie i wszystkich swoich Podmiotów Powiązanych Klienta w jedną pojedynczą kontrolę.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów z Kalifornii.
W zakresie, w jakim to ma zastosowanie, składamy Ci następujące dodatkowe zobowiązania dotyczące przetwarzania Danych Osobowych Klientów w zakresie CCPA.
13.1 Nasze Zobowiązania na Mocy Amerykańskich Przepisów o Ochronie Danych. Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” i „udostępnianie” użyte w tej Sekcji 13.1 mają znaczenie nadane im w CCPA. W zakresie, w jakim to ma zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym obowiązującym amerykańskim Przepisom o Ochronie Danych („Amerykańskie Dane Osobowe”) zgodnie z postanowieniami CCPA i innych Amerykańskich Przepisów o Ochronie Danych. W odniesieniu do Amerykańskich Danych Osobowych jesteśmy dostawcą usług zgodnie z CCPA i podmiotem przetwarzającym dane na mocy innych amerykańskich przepisów o ochronie danych. Nie będziemy sprzedawać Amerykańskich Danych Osobowych. Nie będziemy przechowywać, używać ani ujawniać żadnych Amerykańskich Danych Osobowych (i) do jakiegokolwiek celu innego niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Amerykańskich Danych Osobowych do celu komercyjnego innego niż cel biznesowy określony w Umowie lub jak zostało to inaczej dozwolone przez CCPA lub obowiązujące przepisy prawa); lub (ii) poza bezpośrednią relacją biznesową z Tobą i nami.
13.2 Zobowiązania Klienta. Oświadczasz i gwarantujesz, że powiadomiłeś Użytkownika Końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z obowiązującymi Przepisami o Ochronie Danych. Jesteś odpowiedzialny za przestrzeganie wymagań Przepisów o Ochronie Danych w zakresie, w jakim są one do Ciebie zastosowane jako administrator danych.
14. Prawo właściwe i rozstrzyganie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spór”) wynikające z lub związane z niniejszym DPA będą regulowane i interpretowane zgodnie z prawem Niderlandów. Każda ze Stron zgadza się, że właściwe sądy w Amsterdamie, Niderlandy będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z lub związanych z niniejszym DPA.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, ten Załącznik I będzie służył jako Załącznik I do Standardowych Klauzul Umownych.
Załącznik I, Część A. Lista Stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres podany w koncie Klienta lub adres e-mail właściciela konta Klienta, lub adres e-mail/e, na które Klient wybiera otrzymywanie powiadomień w ramach Umowy.
Rola eksportera danych: Rola eksportera danych jest opisana w Sekcji 4 DPA.
Podpis i data: Jeżeli ma to zastosowanie, eksportera danych uznaje się za podpisującego Standardowe Klauzule Umowne włączone do niniejszego dokumentu z dniem wejścia w życie DPA.
Importer danych: Dostawca
Dane kontaktowe importera danych: Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeżeli ma to zastosowanie, importera danych uznaje się za podpisującego Standardowe Klauzule Umowne włączone do niniejszego dokumentu z dniem wejścia w życie DPA.
Załącznik I, Część B. Opis Transmisji
1. Kategorie osób, których dane osobowe są przekazywane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, kontrahenci lub pracownicy tymczasowi (obecni, potencjalni, byli) Klienta korzystający z Usług („Użytkownicy”).
Końcowi użytkownicy. Każda osoba, której (i) dane kontaktowe są zawarte na liście kontaktów Klienta; (ii) której informacje są przechowywane lub gromadzone za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikaty bądź angażuje się lub komunikuje za pośrednictwem Usług (zbiorczo „Końcowi użytkownicy”). To Klient samodzielnie określa kategorie osób uwzględnionych w komunikacji przesyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie Przekazywanych Danych Osobowych.
Dane osobowe Klienta zawarte w treści komunikacji, dane o ruchu, dane końcowych użytkowników i dane dotyczące korzystania z usług przez klienta.
Zawartość komunikacji, która może zawierać dane osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacji określonej przez Ciebie jako Klienta.
Dane o ruchu, które mogą obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenia głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą osoby fizycznej czy firmy.
Dane końcowego użytkownika, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane dotyczące korzystania z usług przez klienta mogą zawierać dane, które można powiązać z Tobą jako osobą fizyczną, zawarte w danych statystycznych i informacjach związanych z Twoim kontem i aktywnościami usługowymi, wglądami dotyczącymi usług i raportami analitycznymi dotyczącymi przesyłanej komunikacji oraz wsparcia klienta.
3. Przekazywane dane wrażliwe (jeśli dotyczy) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszych transferów czy dodatkowe środki bezpieczeństwa.
Zawartość komunikacji. Dane wrażliwe mogą być od czasu do czasu przetwarzane za pośrednictwem Usług, jeśli Ty lub Twoi użytkownicy końcowi zdecydujecie się na włączenie danych wrażliwych do komunikacji przesyłanej za pomocą Usług. To Ty jesteś odpowiedzialny za zapewnienie odpowiednich zabezpieczeń przed przesyłaniem lub przetwarzaniem, lub przed zezwoleniem swoim użytkownikom końcowym na przesyłanie lub przetwarzanie jakichkolwiek danych wrażliwych za pośrednictwem Usług, zgodnie z Sekcją 3.2 Umowy.
Dane o ruchu, dane końcowego użytkownika i dane dotyczące korzystania z usług przez klienta. W danych o ruchu, danych końcowego użytkownika lub danych dotyczących korzystania z usług przez klienta nie zawierają się dane wrażliwe.
4. Częstotliwość przekazu (np. czy dane są przekazywane jednorazowo, czy na podstawie ciągłej): Dane osobowe Klienta są przekazywane na podstawie ciągłej na czas trwania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać dane osobowe Klienta do zakresu niezbędnego do świadczenia Usług zgodnie z Umową. Nie sprzedajemy żadnych danych osobowych, w tym danych osobowych Klienta, i nie udostępniamy danych osobowych stronom trzecim za wynagrodzeniem lub dla celów własnych biznesowych tych stron.
6. Cel(e) transferu danych i dalszego przetwarzania: Będziemy przetwarzać dane osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w niniejszym DPA, chyba że przetwarzanie jest konieczne do spełnienia obowiązku prawnego, któremu podlegamy, w takim przypadku zostaniemy zaklasyfikowani jako kontroler danych.
Zawartość komunikacji, dane o ruchu, dane końcowego użytkownika i dane dotyczące korzystania z usług przez klienta. Dane osobowe zawarte w zawartości komunikacji, danych o ruchu, danych końcowego użytkownika i danych dotyczących korzystania z usług przez klienta będą podlegały następującym podstawowym czynnościom przetwarzania:
Zawartość komunikacji. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w postaci interfejsów programowania aplikacji (API) lub za pośrednictwem Dashboardu, do Klienta, w tym przesyłanie do lub z aplikacji oprogramowania Klienta z lub do naszej platformy komunikacyjnej i innych sieci komunikacyjnych.
Dane o ruchu. Dane o ruchu są przetwarzane w celu przesyłania komunikacji w sieci komunikacji elektronicznej lub do fakturowania tej komunikacji. Może to obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenia głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą osoby fizycznej czy firmy.
Dane końcowego użytkownika. Dane osobowe użytkowników końcowych są wymagane w celu realizacji Usług i będą przetwarzane wyłącznie w celach przesyłania komunikacji, wsparcia klienta oraz zapewnienia zgodności z naszymi obowiązkami prawnymi.
Dane dotyczące korzystania z usług przez klienta. Dane osobowe zawarte w danych dotyczących korzystania z usług przez klienta będą podlegać czynnościom przetwarzania związanym ze świadczeniem Usług zgodnie z Umową, z celem dostarczenia Klientowi wglądów związanych z usługami i raportów analitycznych dotyczących przesyłanej komunikacji, wsparcia klienta i ciągłego doskonalenia Usług.
7. Okres, przez który dane osobowe będą przechowywane, lub, jeśli nie jest to możliwe, kryteria używane do określenia tego okresu:
Zawartość komunikacji i dane o ruchu.
Dla zawartości komunikacji i danych o ruchu zawartych w Usługach SMS i Voice obowiązuje okres przechowywania wynoszący sześć miesięcy;
Dla Usług Wideo zawartość komunikacji i dane o ruchu są przechowywane przez minimum 30 dni do okresu uzgodnionego z Tobą;
Dla usług e-mailowych zawartość komunikacji i dane o ruchu są przechowywane przez 72 godziny;
Dla wszystkich innych usług zawartość komunikacji i dane o ruchu są przechowywane przez cały okres trwania Usług, chyba że usuniesz zawartość komunikacji lub dane o ruchu za pomocą dostępnych technologicznych i organizacyjnych środków dostarczonych Ci przez Usługi.
Dane końcowego użytkownika. Dane końcowego użytkownika będą przetwarzane przez okres określony przez Klienta, gdy dane końcowego użytkownika są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania to czas trwania Usług, z uwzględnieniem postanowień Sekcji 6(c) niniejszego Załącznika I, Części B.
Dane dotyczące korzystania z usług przez klienta. Po rozwiązaniu Umowy możemy zatrzymać, używać i ujawniać dane dotyczące korzystania z usług przez klienta do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Części B, z zastrzeżeniem zobowiązań dotyczących poufności określonych w Umowie. Zanonimizujemy lub usuniemy dane dotyczące korzystania z usług przez klienta, gdy nie będą już nam potrzebne do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Części B.
8. Dla transferów do (Sub-)procesorów, również określ przedmiot, charakter i czas trwania przetwarzania: Dla transferów do Sub-procesorów, przedmiot i charakter przetwarzania jest opisany na naszej stronie przeglądu Sub-procesorów a czas trwania to czas trwania Umowy.
Załącznik I, Część C. Właściwy organ nadzorczy
Niderlandzki Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie właściwym organem nadzorczym.
ZAŁĄCZNIK II - ŚRODKI TECHNICZNE I ORGANIZACYJNE DOTYCZĄCE BEZPIECZEŃSTWA
W odpowiednich przypadkach, ten Załącznik II będzie służyć jako Załącznik II do Standardowych Klauzul Umownych. Poniższe informacje dostarczają więcej informacji na temat naszych technicznych i organizacyjnych środków bezpieczeństwa określonych poniżej.
Techniczne i organizacyjne środki bezpieczeństwa:
Środki pseudonimizacji i ochrony Danych Osobowych w magazynowaniu i transporcie: wszystkie Dane Osobowe są szyfrowane podczas transportu i w stanie spoczynku, i, w zakresie istotnym z punktu widzenia bezpieczeństwa, traktowane jak dane wrażliwe. Informacje są zawsze przesyłane przez TLS z aktualnymi metodami szyfrowania w standardzie.
Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów przetwarzania i usług: zawieramy umowy zawierające klauzule o poufności z naszymi pracownikami, kontrahentami, dostawcami i Podwykonawcami. Nasza polityka ciągłości działania to przygotowanie naszego biznesu i usług na wypadek długotrwałych awarii spowodowanych czynnikami poza naszą kontrolą i przywrócenie usług w jak najszerszym zakresie w możliwie najkrótszym czasie. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów, dlatego mamy bardzo małą tolerancję dla zakłóceń w świadczeniu usług. Nasze harmonogramy odzyskiwania są zaprojektowane tak, abyśmy mogli spełnić nasze zobowiązania wobec wszystkich naszych klientów
Procesy regularnego testowania, oceny i weryfikacji skuteczności technicznych i organizacyjnych środków, aby zapewnić bezpieczeństwo przetwarzania: celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów i (autoryzowanych) systemów informacyjnych, oraz minimalizowanie ryzyka uszkodzeń poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami bezpieczeństwa. Nasz zespół prawny, Inspektor Ochrony Danych i Zespół ds. Bezpieczeństwa dbają o to, aby obowiązujące przepisy i normy były uwzględniane w naszych ramach bezpieczeństwa.
Środki identyfikacji użytkowników i autoryzacji: przestrzegamy zasad „potrzeby poznania“ i „najmniejszych uprawnień“. Promujemy stosowanie kontroli dostępu opartej na rolach. Zarządzanie dostępem i jego cofanie jest nadzorowane przez zespół ds. bezpieczeństwa, z domyślnym Single-Sign-On i 2FA. Właściciele zostali zdefiniowani dla każdego zasobu informacyjnego, są odpowiedzialni za zapewnienie odpowiedniego dostępu do swoich systemów i regularne przeglądy tego dostępu. Przy pracy z informacjami wrażliwymi lub podejmowaniu działań krytycznych stosujemy zasadę czterech oczu.
Środki zapewniające logowanie zdarzeń: dzienniki audytowe są centralnie przechowywane i regularnie monitorowane pod kątem zdarzeń bezpieczeństwa, a także są zabezpieczone w celu uniknięcia ryzyka manipulacji. Polityka Zarządzania Incydentami wymusza plan reagowania na incydenty i jego procedury. Te wytyczne są przestrzegane, jeśli wystąpi jakikolwiek rodzaj incydentu bezpieczeństwa lub technicznego.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: przestrzegamy spójnego procesu zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby to wyjaśnić, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i wykonane zgodnie z formalnym procesem kontrolnym zmiany. Proces kontrolny zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wydawane w kontrolowany sposób; a status każdej proponowanej zmiany jest monitorowany. Konfiguracyjne podstawy są przestrzegane, aby bezpiecznie skonfigurować systemy, stosując się do najlepszych praktyk. Ponadto wewnątrz departamentu Inżynierii używane jest radar technologiczny do definiowania, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia zarządzania danymi) można przyjąć lub należy unikać podczas rozwoju.
Środki dla bezpieczeństwa fizycznego: Wszyscy pracownicy Bird pracują zdalnie. Z powodu polityki pracy zdalnej Bird, Bird wdrożył i wymusił politykę telepracy, która zapewnia, że pracownicy pracują zdalnie w bezpieczny sposób. Polityka wymusza minimalne środki dotyczące bezpieczeństwa fizycznego, bezpieczeństwa dostępu, bezpieczeństwa połączeń i komunikacji.
Środki dla wewnętrznego IT i zarządzania bezpieczeństwem i zarządzaniem IT: utrzymujemy oparte na ocenie program bezpieczeństwa, który obejmuje środki administracyjne, organizacyjne, techniczne i fizyczne zaprojektowane do ochrony Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji jest zorganizowany w sposób systematyczny i dobrze zorganizowany. Dodatkowo stosują się wymogi prawne i regulacyjne, które zapewniają poufność, integralność i dostępność informacji dla organizacji, pracowników, partnerów i klientów. Wszystkie te elementy są przetłumaczone na nasze polityki, procedury i wytyczne bezpieczeństwa informacji. Posiadamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Oznacza to koordynację działań dotyczących bezpieczeństwa informacji oraz tłumaczenie działań strategicznych na działania operacyjne dla naszego bezpieczeństwa oraz ciągłe utrzymanie zgodności z przepisami. Wszyscy pracownicy są odpowiedzialni za zabezpieczanie zasobów firmy. Wszyscy nasi pracownicy są weryfikowani pod kątem kompetencji, doświadczenia i uczciwości. Pracownicy są informowani o bezpieczeństwie i ochronie danych podczas onboardingu, a także przez regularne szkolenia specyficzne dla zespołu oraz inne prezentacje dla całej firmy dotyczące znaczenia ochrony danych i zgodności z bezpieczeństwem. Posiadamy certyfikat ISO 27001, globalnie uznany standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy usług hostingowych posiadają certyfikat ISO 27001.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i w pełni transparentni wobec naszych klientów.
Jesteśmy Członkiem Stowarzyszonym Grupy Specjalnej Mobile Association (GSMA). GSMA reprezentuje interesy operatorów mobilnych na całym świecie.
Zawsze jesteśmy na bieżąco z wszystkimi obowiązującymi przepisami i regulacjami, w tym Ogólnym rozporządzeniem o ochronie danych oraz unijnym amerykańskim ramowym porozumieniem w sprawie ochrony danych.
Środki certyfikacji/poświadczenia procesów i produktów: przechodzimy rygorystyczne audyty nadzoru oraz audyty certyfikacyjne w ramach naszej zgodności z normą ISO/IEC 27001 i regularnie wykonujemy testy odporności na wrażliwość aplikacji i testy penetracyjne.
Środki zapewniające odpowiedzialność: wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami i publikujemy przegląd istotnych informacji o naszym ISMS (link). Wyznaczyliśmy dedykowanego Dyrektora ds. Bezpieczeństwa, Inspektora Bezpieczeństwa Informacji, Inspektora ds. Zgodności i Inspektora Ochrony Danych oraz utrzymujemy dokumentację naszych czynności przetwarzania, w tym rejestrowanie i zgłaszanie incydentów bezpieczeństwa dotyczących Danych Osobowych, jeśli jest to konieczne.
Środki zapewniające usunięcie danych: zapewniamy usunięcie danych poprzez zautomatyzowany proces usuwania w naszym środowisku komunikacyjnym i infrastrukture. Ten proces usuwania danych zapewnia, że wszystkie dane, które nie są już potrzebne do spełnienia określonego celu, są usunięte z naszych systemów po przetworzeniu.
