Umowa o przetwarzaniu danych
Niniejsza Umowa o Przetwarzaniu Danych, w tym załączniki, („DPA”) stanowi część Umowy między nami a Klientem na zakup usług komunikacyjnych (online) od nas, aby odzwierciedlić uzgodnienie Stron w odniesieniu do przetwarzania Danych Osobowych Klienta. W tej DPA terminy „ty”, „twój” lub „Klient” odnoszą się do Ciebie jako naszego Klienta (zgodnie z punktem 1.2 poniżej), a terminy „my”, „nas” lub „nasz” odnoszą się do nas jako Dostawcy (zgodnie z definicją poniżej). Terminy z dużej litery używane w tej DPA, ale nie zdefiniowane poniżej, są zdefiniowane w naszych Ogólnych Warunkach oraz innych Umowach z nami dotyczących Twojego korzystania z Usług.
1.1 Zakres
Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez nas jako procesora.
1.2 Klienci Partnerscy
Klient wchodzi w tę DPA w imieniu własnym oraz, w zakresie wymaganym przez przepisy o ochronie danych, w imieniu i na rzecz swoich podmiotów powiązanych (jak zdefiniowano w Warunkach), jeśli i w zakresie, w jakim udzielasz takim podmiotom powiązanym dostępu do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których takie podmioty powiązane kwalifikują się jako administrator danych („Podmioty Powiązane Klienta”). Na potrzeby tej DPA, chyba że wskazano inaczej, terminy „Klient” i „ty” będą obejmować Klienta oraz Podmioty Powiązane Klienta.
1.3 Warunki
Niniejsza DPA będzie obowiązywać tak długo, jak przetwarzamy Dane Osobowe Klienta podlegające tej DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
Dane konta
„Dane konta” to wszelkie Dane Osobowe dostarczone przez Ciebie lub dla Ciebie w związku z zawarciem i administracją Umowy oraz Twoim kontem, w tym między innymi informacje kontaktowe, dane dotyczące płatności oraz korespondencja dotycząca zawarcia i administracji Umowy oraz związanych z nią Usług.
CCPA
"CCPA" oznacza Ustawę o prywatności konsumentów w Kalifornii z 2018 roku oraz wszelkie przepisy wykonawcze wprowadzane na jej podstawie, w każdym przypadku, zmieniane od czasu do czasu.
Dane klienta
„Dane Klienta” oznaczają wszelkie dane oraz inne informacje lub treści przesłane przez Ciebie lub w Twoim imieniu (lub przez użytkownika Twojej Aplikacji Klienta) zgodnie z Umową i przetwarzane lub przechowywane przez Usługi.
Dane osobowe klienta
„Dane osobowe klienta” oznaczają dane osobowe zawarte w danych klienta przetwarzanych przez nas jako przetwarzającego, chyba że w niniejszej DPA określono inaczej.
Ustawy o ochronie danych
„Prawo ochrony danych” oznacza wszelkie przepisy i regulacje obowiązujące w danej jurysdykcji, odnoszące się do poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym, na przykład, w stosownych przypadkach, RODO lub CCPA.
EOG
„EOG” oznacza, dla celów niniejszej DPA, Europejski Obszar Gospodarczy oraz Szwajcarię.
RODO
„RODO” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w swobodnym przepływie takich danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o ochronie danych z 2018 roku.
Dane osobowe
„Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, bez względu na to, czy samodzielnie, czy w połączeniu z innymi informacjami.
Naruszenie danych osobowych
„Naruszenie danych osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do danych osobowych klienta oraz wszelkie inne podobne terminy zgodnie z obowiązującymi przepisami o ochronie danych, takie jak „Naruszenie bezpieczeństwa”.
Usługi
„Usługi” oznaczają wszystkie produkty i usługi świadczone przez nas lub nasze Podmioty, które są (a) zamawiane przez Ciebie na podstawie jakiegoś Formularza Zamówienia; lub (b) używane przez Ciebie.
Dostawca
„Dostawca” oznacza nasze podmiot kontraktowy, który jest stroną tej DPA, będący podmiotem kontraktowym wymienionym w Sekcji 15 w Ogólnych Warunkach Umowy (Podmiot Kontraktowy), chyba że w formularzu zamówienia podano inaczej. Ty lub Dostawca możecie być również określani indywidualnie jako „Strona” a razem jako „Strony” w tej DPA.
Standardowe klauzule umowne
Podprocesor
„Sub-przetwórca” oznacza podmiot trzeci, który przetwarza dane osobowe Klienta w imieniu Dostawcy, gdy Dostawca działa jako przetwórca danych lub sub-przetwórca.
Brytyjskie standardowe klauzule umowne
„Standardowe Klauzule Umowne w Wielkiej Brytanii” oznaczają wszelkie lub wszystkie z następujących: (i) międzynarodowa umowa dotycząca transferu danych wydana przez Brytyjskiego Komisarza Informacji na podstawie sekcji 119A Ustawy o Ochronie Danych z 2018 roku; (ii) dodatek do standardowych klauzul umownych Komisji Europejskiej dotyczący międzynarodowych transferów danych wydany przez Brytyjskiego Komisarza Informacji na podstawie sekcji 119A Ustawy o Ochronie Danych z 2018 roku; lub (iii) takie standardowe postanowienia umowne wydane przez Brytyjskiego Komisarza Informacji lub Komisję Europejską, które mogą je zastąpić od czasu do czasu. Terminy takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „osoba, której dane dotyczą” itd. będą miały znaczenie przypisane im zgodnie z RODO. Definicja „administratora danych” obejmuje „biznes”, „konsumenta”, „kontrolera” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesor” i „pośrednika danych”; „osoba, której dane dotyczą” obejmuje „konsumenta” i „indywidualną”; a „Dane osobowe” obejmują „informacje osobiste”, w każdym przypadku zgodnie z definicjami zawartymi w CCPA oraz innych obowiązujących przepisach o ochronie danych. Terminy „cel biznesowy”, „cel komercyjny”, „sprzedaż” i „udział” będą miały to samo znaczenie, co w obowiązujących przepisach o ochronie danych, a w każdym przypadku ich pokrewne terminy będą interpretowane odpowiednio.
3. Przetwarzanie Danych Osobowych Klienta
3.1 Cele
Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, zapewnienia wsparcia oraz opracowywania i wdrażania usprawnień i aktualizacji zgodnie z Państwa udokumentowanymi instrukcjami jako administrator danych, jak określono w punkcie 3.2 tej umowy DPA, (ii) do naszych uzasadnionych celów biznesowych, jak określono w punkcie 3.4 tej umowy DPA jako administrator danych oraz (iii) w inny sposób wymagany przez obowiązujące prawo.
3.2 Instrukcje dla klientów
Umowa oraz ten DPA stanowią Twoje pełne instrukcje dla nas jako podmiotu przetwarzającego dane w momencie podpisania tego DPA. Będziemy przestrzegać innych uzasadnionych dokumentowanych instrukcji, pod warunkiem że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły przetwarzania
Załącznik I, Część B (Opis transferu) załącznika I do tej umowy DPA określa charakter i cel przetwarzania przez nas jako procesora danych lub podprocesora, działania przetwarzania, czas przetwarzania, rodzaje danych osobowych oraz kategorie podmiotów danych.
3.4 Legitymne cele biznesowe
Potwierdzasz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: fakturowanie, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, cyberatakom oraz cyberprzestępczości, które mogą wpływać na Ciebie, nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów oraz strategia produktu), zapobieganie i wykrywanie oszustw, spamu i nadużyć, poprawa naszej suite produktów i usług oraz w celu spełnienia naszych obowiązków prawnych.
4. Obowiązki Klienta
4.1 Zgodność z prawem
Gdzie działasz jako administrator danych Klienta, gwarantujesz, że wszystkie działania związane z przetwarzaniem są zgodne z prawem, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inne odpowiednie podstawy prawne są dostępne, aby umożliwić zgodny z prawem transfer Danych Osobowych Klienta. Jeśli jesteś procesorem danych (w takim przypadku będziemy działać jako podprocesor), upewnisz się, że odpowiedni administrator danych gwarantuje, że warunki wymienione w tej sekcji 4.1 są spełnione.
4.2 Zgodność
Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz obowiązujących przepisów o ochronie danych dotyczących korzystania z Usług oraz własnego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki ochrony Usług spełniają Twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, między innymi, hasła, urządzenia używane z Usługami oraz Aplikacje Klientów).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa
Biorąc pod uwagę stan najnowszej technologii, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko różnego rodzaju możliwości i powagi dla praw i wolności osób fizycznych, wprowadzimy i utrzymamy odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed naruszeniami Danych Osobowych oraz zapewnienia bezpieczeństwa, integralności, dostępności, odporności i poufności Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Środki bezpieczeństwa stosowane przez nas zostały opisane w Załączniku II.
5.2 Aktualizacje dotyczące środków bezpieczeństwa
Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz samodzielną ocenę, czy te informacje spełniają Twoje wymagania i obowiązki prawne wynikające z przepisów o ochronie danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa są uzależnione od postępu technicznego i rozwoju, a my możemy aktualizować lub modyfikować nasze środki bezpieczeństwa od czasu do czasu, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu
Stosujemy zasady "potrzeby wiedzenia" oraz "najmniejszych uprawnień", zapewniając, że dostęp do danych osobowych klientów jest ograniczony tylko do tych pracowników, którzy są potrzebni do świadczenia usług, zgodnie z umową, w tym z tą DPA.
5.4 Poufność przetwarzania
Zapewnimy, że każda osoba lub strona, która jest przez nas upoważniona do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podwykonawcy), zostanie poinformowana o poufnym charakterze tych Danych Osobowych Klienta i będzie miała odpowiednie zobowiązanie do poufności (czy to wynikające z umowy, czy z obowiązku ustawowego), które przetrwa zakończenie ich zaangażowania.
5.5 Reakcja i powiadomienie o naruszeniu danych osobowych
Po staniu się świadomym naruszenia danych osobowych, niezwłocznie (i) powiadomimy Cię, (ii) zbadamy naruszenie danych osobowych, (iii) dostarczymy na czas informacje dotyczące naruszenia danych osobowych, gdy tylko staną się one znane lub gdy zostaną rozsądnie o nie poproszone przez Ciebie, oraz (iv) podejmiemy komercyjnie uzasadnione kroki w celu złagodzenia skutków i zapobieżenia powtórzeniu się naruszenia danych osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych
Zaoferujemy Ci rozsądnie żądaną pomoc, aby umożliwić Ci wypełnienie zobowiązań wynikających z przepisów o ochronie danych, w tym powiadomienie o naruszeniu danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w wykonaniu odpowiedniej oceny wpływu na ochronę danych.
6.2 Wsparcie w prawach osób, których dane dotyczą
Zapewnimy Ci rozsądne wsparcie, aby umożliwić Ci wypełnienie swoich zobowiązań wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów prawa ochrony danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, jako administrator danych, odpowiadasz za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do Danych Osobowych Klienta osoby, której dane dotyczą.
7. Ujawnienie i prośby o ujawnienie
7.1 Ograniczenia w ujawnianiu i dostępie
Nie udostępnimy ani nie ujawnimy Danych Osobowych Klienta, chyba że (i) na Twoje polecenie, (ii) zgodnie z Umową i niniejszym DPA, lub (iii) zgodnie z wymogami prawa.
7.2 Żądania ujawnienia
Poinformujemy Cię najszybciej jak to możliwe, jeśli otrzymamy prośbę od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że taki obowiązek jest zabroniony przez prawo. Będziemy obsługiwać prośby o ujawnienie zgodnie z polityką żądań ujawnienia, dostępną na naszej stronie internetowej tutaj.
8. Podwykonawcy
8.1 Lista bieżących podwykonawców
8.2 Powierzenie zadań podwykonawcom
Na mocy tej DPA udzielasz nam ogólnego pisemnego upoważnienia do zatrudniania podwykonawców do przetwarzania Danych Osobowych Klienta, zgodnie z sekcją 8.3 tej DPA oraz następującymi wymaganiami:
Ograniczymy dostęp do Danych Osobowych Klienta przez podwykonawców do tego, co jest ściśle niezbędne do świadczenia usług określonych w umowie z podwykonawcą;
Uzgodnimy zobowiązania dotyczące ochrony danych z podwykonawcą, które będą zasadniczo takie same jak zobowiązania wynikające z tej DPA; oraz
Zachowujemy odpowiedzialność wobec Ciebie na mocy tej DPA za wykonanie zobowiązań dotyczących ochrony danych przez podwykonawcę.
8.3 Powiadomienie o zmianach w podwykonawcach i prawo do sprzeciwu
Przed zastąpieniem lub zaangażowaniem nowych Podwykonawców („Zmiana Podwykonawcy”) damy Ci możliwość zgłoszenia sprzeciwu wobec Zmiany Podwykonawcy. Możesz zgłosić sprzeciw wobec Zmiany Podwykonawcy, pod warunkiem że (i) sprzeciw zostanie zgłoszony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podwykonawcy oraz (ii) sprzeciw oparty jest na uzasadnionych podstawach dotyczących ochrony Danych Osobowych Klienta. Gdy zgłosisz sprzeciw wobec proponowanej Zmiany Podwykonawcy, będziemy współpracować z Tobą w dobrej wierze, aby wprowadzić komercyjnie rozsądne zmiany w świadczeniu Usług, które unikają korzystania z odpowiedniego Podwykonawcy. Jeśli taka zmiana nie może być rozsądnie wprowadzona w ciągu trzydziestu (30) dni roboczych od otrzymania przez nas Twojego powiadomienia o sprzeciwie, lub jeżeli zmiana jest dla nas komercyjnie nierozsądna, każda ze stron może wypowiedzieć odpowiednie funkcje Usług, które nie mogą być świadczone bez angażowania odpowiedniego Podwykonawcy. To prawo do wypowiedzenia jest Twoim jedynym i wyłącznym środkiem zaradczym, jeśli zgłosisz sprzeciw wobec Zmiany Podwykonawcy.
9. Transgraniczne transfery danych osobowych klientów
9.1 Przekazywanie Danych Osobowych Klientów
Możemy przekazywać dane osobowe Klienta pod warunkiem, że wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych są wprowadzone. Może to obejmować wcześniejszą ocenę wpływu przekazywania danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz dostępność skutecznych środków prawnych dla osób, których dane dotyczą.
9.2 Standardowe klauzule umowne dotyczące podwykonawców
O ile nie ma zastosowania decyzja o adekwatności lub alternatywny mechanizm transferu, taki jak EU-US Data Privacy Framework, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podwykonawcami (w tym naszymi Podmiotami Powiązanymi) zlokalizowanymi poza EOG, stosując się do warunków określonych w sekcji 9.1 niniejszej DPA.
9.3 Mechanizmy transferu danych osobowych klientów
W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych do legalnego eksportu Danych Osobowych Klienta z jurysdykcji (np. EOG, Kalifornii, Singapuru, Szwajcarii lub Zjednoczonego Królestwa) do nas, zlokalizowanych poza tą jurysdykcją, ta sekcja będzie miała zastosowanie. Jeśli podczas wykonywania Usług Dane Osobowe Klienta, które podlegają GDPR lub jakimkolwiek innym prawom odnoszącym się do ochrony lub prywatności osób, które mają zastosowanie do tej DPA, są przesyłane do podmiotu dostawcze znajdującego się w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu Prawa Ochrony Danych, mechanizmy transferu wymienione poniżej będą miały zastosowanie do takich transferów i mogą być egzekwowane bezpośrednio przez strony, w zakresie, w jakim takie transfery podlegają Prawu Ochrony Danych.
9.3.1
Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do Danych Osobowych Klienta, które są przesyłane za pośrednictwem Usług z EEA lub Szwajcarii, bezpośrednio lub poprzez dalsze przekazanie, do podmiotu dostawcy znajdującego się w kraju spoza EEA lub Szwajcarii, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, przez odpowiedni organ w Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1
Kiedy działasz jako administrator danych, a my jako podmiot przetwarzający, do wszelkich transferów Danych Osobowych Klienta z EOG będą miały zastosowanie Zasady Standardowych Klauzul Umownych (Moduł Dwa) w odniesieniu do takiego transferu. Kiedy działasz jako podmiot przetwarzający, a my jako podmiot przetwarzający, do wszelkich transferów Danych Osobowych Klienta z EOG będą miały zastosowanie Zasady Standardowych Klauzul Umownych (Moduł Trzy) w odniesieniu do takiego transferu.
9.3.1.2
Będziemy uznawani za importera danych, a Ty będziesz uznawany za eksportera danych w ramach Standardowych Klauzul Umownych. Podpisanie przez każdą stronę niniejszej DPA zostanie potraktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które będą uznawane za włączone do niniejszej DPA. Szczegóły wymagane w załączniku 1 i załączniku 2 do Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiegokolwiek konfliktu lub niezgodności między niniejszą DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne mają pierwszeństwo w odniesieniu do transferu Danych Osobowych Klienta z EOG.
9.3.1.3
Gdzie Standardowe Klauzule Umowne wymagają od stron wyboru między opcjonalnymi klauzulami i wprowadzenia informacji, strony dokonały tego, jak przedstawiono poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokująca” nie będzie przyjęta.
ii. W odniesieniu do Klauzuli 9 „Wykorzystanie podwykonawców”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne upoważnienie: importer danych ma ogólne upoważnienie administratora do zaangażowania podwykonawców z uzgodnionej listy. Importer danych zobowiązuje się szczególnie informować administratora na piśmie o wszelkich zamierzonych zmianach w tej liście poprzez dodanie lub zastąpienie podwykonawców co najmniej 10 dni roboczych przedtem, dając tym samym administratorowi wystarczający czas na wniesienie zastrzeżeń wobec takich zmian przed zaangażowaniem podwykonawców. Importer danych dostarczy eksporterowi danych informacje niezbędne do umożliwienia eksporterowi danych skorzystania z prawa do wniesienia zastrzeżeń. Importer danych poinformuje eksportera danych o zaangażowaniu podwykonawców.”
iii. W odniesieniu do Klauzuli 11 (a) „Rekompensata”, strony nie przyjmują Opcji.
iv. W odniesieniu do Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że to prawo dopuszcza prawa stron trzecich. Strony zgadzają się, że będzie to prawo Holandii.”
v. W odniesieniu do Klauzuli 18 (b) „Wybór forum i jurysdykcji”: „Strony zgadzają się, że będą to sądy Holandii.”
9.3.2
Strony zgadzają się, że Standardowe Klauzule Umowne Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta, które są przesyłane za pośrednictwem Usług z Zjednoczonego Królestwa, bezpośrednio lub za pośrednictwem dalszego transferu, do podmiotu Dostawcy znajdującego się w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez właściwy organ regulacyjny Zjednoczonego Królestwa lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1
Będziemy uważani za importer danych, a Ty będziesz uważany za eksportera danych zgodnie z UK Standardowymi Klauzulami Umownymi. Podpisanie niniejszej DPA przez każdą stronę będzie traktowane jako podpisanie UK Standardowych Klauzul Umownych, które będą uznane za włączone do tej DPA. Szczegółowe informacje wymagane na podstawie UK Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiejkolwiek sprzeczności lub niezgodności między tą DPA a UK Standardowymi Klauzulami Umownymi, UK Standardowe Klauzule Umowne będą miały pierwszeństwo wyłącznie w odniesieniu do transferu Danych Osobowych Klientów z Wielkiej Brytanii.
10. Audyt
10.1 Raport z audytu
Nasza platforma komunikacyjna będzie regularnie poddawana audytowi zgodnie z normą ISO 27001 (lub równoważną). Audyt może, według naszego wyłącznego uznania, być audytem wewnętrznym lub audytem przeprowadzanym przez stronę trzecią. Na pisemną prośbę dostarczymy Ci streszczenie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować nasze przestrzeganie standardów audytu oraz tej DPA. Takie Raporty z audytu, a także wszelkie wnioski lub ustalenia w nich określone, stanowią nasze Informacje Poufne.
10.2 Informacje o Klientach
Udostępnimy Państwu wszystkie informacje, które są rozsądnie konieczne, aby wykazać zgodność z obowiązkami określonymi w tej umowie o przetwarzaniu danych (DPA). Udzielimy pisemnych odpowiedzi na rozsądne wnioski o informacje składane przez Państwa, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są rozsądne pod względem zakresu i konieczne do potwierdzenia zgodności z tą umową o przetwarzaniu danych, pod warunkiem, że (i) najpierw podjęli Państwo rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów Audytowych i innych informacji dostarczonych lub udostępnionych publicznie przez nas, oraz (ii) nie wykorzystają Państwo tego prawa więcej niż raz w roku, chyba że naruszenie danych osobowych lub znacząca zmiana w naszych działaniach przetwarzania w związku z usługami wymaga, aby dodatkowy kwestionariusz został wypełniony. Wszystkie udzielone odpowiedzi są naszą informacją poufną.
10.3 Audyt Klienta
Jeśli raport audytowy dostarczony przez nas do Ciebie daje Ci uzasadnione powody, aby sądzić, że naruszamy nasze zobowiązania wynikające z tego DPA, związane z danymi osobowymi klientów dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi trzeciej strony, wyznaczonemu przez Ciebie i zatwierdzonemu przez nas, na audyt odpowiednich aktywności przetwarzania danych osobowych, pod warunkiem, że w jak największym zakresie dozwolonym przez obowiązujące prawo spełnione są poniższe wymagania:
Musisz powiadomić nas co najmniej sześćdziesiąt (60) dni przed skorzystaniem z prawa do audytu;
Audytor zgadza się na standardowe obowiązki dotyczące poufności z nami;
Ty i audytor podejmujecie działania mające na celu zminimalizowanie zakłóceń w naszej działalności;
Audyt będzie przeprowadzany w regularnych godzinach pracy;
Nie będziemy zobowiązani do udostępniania dostępu do danych klientów innych klientów lub systemów, które nie są zaangażowane w świadczenie usług; oraz
Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i zwrot danych osobowych klienta
Po zakończeniu lub wygaśnięciu Umowy, my (według Twojego wyboru) usuniemy lub zwrócimy Ci wszystkie dane osobowe Klienta (w tym kopie), które posiadamy lub nad którymi sprawujemy kontrolę, z wyjątkiem sytuacji, w której wymóg ten nie będzie dotyczył w zakresie, w jakim jesteśmy zobowiązani przepisami prawa do zachowania części lub wszystkich danych osobowych Klienta. Jeżeli zażyczysz sobie usunięcia danych osobowych Klienta, dane osobowe Klienta archiwizowane na naszych systemach kopii zapasowej będą chronione przed dalszym przetwarzaniem i usunięte, gdy minie wymagany okres przechowywania.
12. Komunikacja i prawa związane z afiliacją klientów
Zawarcie niniejszej umowy DPA w imieniu i na rzecz podmiotu powiązanego z Klientem, jak określono w Sekcji 1.2, stanowi oddzielną umowę DPA między nami a tym podmiotem powiązanym, podlegającą poniższym warunkom:
12.1. Komunikacja
Klient, który jest stroną umowy, pozostaje odpowiedzialny za koordynację wszelkiej komunikacji z nami na mocy tego DPA i ma prawo do dokonywania i odbierania wszelkiej komunikacji w odniesieniu do tego DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa klientów stowarzyszonych
Gdy klient afiliowany staje się stroną DPA z nami, ma prawo do korzystania z praw i poszukiwania środków zaradczych na mocy tego DPA, w zakresie wymaganym przez przepisy o ochronie danych, z zastrzeżeniem następujących:
(i) O ile przepisy o ochronie danych nie wymagają od klienta afiliowanego samodzielnego wykonywania prawa lub poszukiwania środków zaradczych na mocy tego DPA bezpośrednio przeciwko nam, strony zgadzają się, że (i) wyłącznie klient będący stroną umowy ma prawo wykonywać takie prawo lub poszukiwać takich środków zaradczych w imieniu klienta afiliowanego, oraz (ii) klient będący stroną umowy będzie wykonywał takie prawa na mocy tego DPA nie oddzielnie dla każdego klienta afiliowanego, lecz w sposób skonsolidowany dla siebie i wszystkich swoich klientów afiliowanych razem.
(ii) Strony zgadzają się, że klient będący stroną umowy będzie, gdy na jego rzecz przeprowadzany jest audyt procedur związanych z ochroną danych osobowych klientów, zgodnie z postanowieniami sekcji 10.3 tego DPA, podejmował wszelkie rozsądne środki, aby ograniczyć wszelkie skutki na nas poprzez połączenie, w zakresie rozsądnie możliwym, kilku wniosków audytowych składanych w imieniu siebie i wszystkich swoich klientów afiliowanych w jeden wspólny audyt.
Dla jasności, klient afiliowany nie staje się stroną umowy.
13. Ustawa o prywatności konsumentów w Kalifornii
W zakresie, w jakim ma to zastosowanie, składamy Ci następujące dodatkowe zobowiązania dotyczące przetwarzania danych osobowych klientów w ramach CCPA.
13.1 Nasze obowiązki wynikające z amerykańskich przepisów o ochronie danych osobowych
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedawać” oraz „dzielić się” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. W miarę możliwości będziemy przestrzegać CCPA i traktować wszelkie Dane Osobowe Klienta podlegające CCPA oraz innym obowiązującym amerykańskim przepisom o ochronie danych („Dane Osobowe U.S.”) zgodnie z postanowieniami CCPA oraz innymi amerykańskimi przepisami o ochronie danych. W odniesieniu do Danych Osobowych U.S. jesteśmy dostawcą usług zgodnie z CCPA oraz przetwarzającym dane na mocy innych amerykańskich przepisów o ochronie danych. Nie będziemy sprzedawać Danych Osobowych U.S. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych Osobowych U.S. (i) w żadnym celu innym niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych Osobowych U.S. w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w inny sposób dozwolony przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
13.2 Obowiązki Klienta
Oświadczasz i gwarantujesz, że poinformowałeś Użytkownika Końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z obowiązującymi przepisami o ochronie danych. Jesteś odpowiedzialny za przestrzeganie wymogów przepisów o ochronie danych w zakresie, w jakim mają one zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i rozwiązywanie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spory”) wynikające z lub związane z tą DPA będą regulowane i interpretowane zgodnie z prawem Holandii. Każda Strona zgadza się, że właściwe sądy w Amsterdamie będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z lub związanych z tą DPA.
13.1 Nasze obowiązki wynikające z amerykańskich przepisów o ochronie danych osobowych
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedawać” oraz „dzielić się” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. W miarę możliwości będziemy przestrzegać CCPA i traktować wszelkie Dane Osobowe Klienta podlegające CCPA oraz innym obowiązującym amerykańskim przepisom o ochronie danych („Dane Osobowe U.S.”) zgodnie z postanowieniami CCPA oraz innymi amerykańskimi przepisami o ochronie danych. W odniesieniu do Danych Osobowych U.S. jesteśmy dostawcą usług zgodnie z CCPA oraz przetwarzającym dane na mocy innych amerykańskich przepisów o ochronie danych. Nie będziemy sprzedawać Danych Osobowych U.S. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych Osobowych U.S. (i) w żadnym celu innym niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych Osobowych U.S. w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w inny sposób dozwolony przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, ta Aneks I będzie służył jako Aneks I do Standardowych Klauzul Umownych EOG.
Załącznik I, Część A. Lista Stron
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedawać” oraz „dzielić się” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. W miarę możliwości będziemy przestrzegać CCPA i traktować wszelkie Dane Osobowe Klienta podlegające CCPA oraz innym obowiązującym amerykańskim przepisom o ochronie danych („Dane Osobowe U.S.”) zgodnie z postanowieniami CCPA oraz innymi amerykańskimi przepisami o ochronie danych. W odniesieniu do Danych Osobowych U.S. jesteśmy dostawcą usług zgodnie z CCPA oraz przetwarzającym dane na mocy innych amerykańskich przepisów o ochronie danych. Nie będziemy sprzedawać Danych Osobowych U.S. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych Osobowych U.S. (i) w żadnym celu innym niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych Osobowych U.S. w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w inny sposób dozwolony przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
Eksporter danych
Klient
Szczegóły kontaktowe eksportera danych
Adres wymieniony w koncie Klienta, lub adres e-mail właściciela konta Klienta, lub adres(y) e-mail, na które Klient decyduje się otrzymywać powiadomienia zgodnie z Umową.
Rola eksportera danych
Rola eksportera danych jest opisana w sekcji 4 DPA.
Podpis i data
Jeśli i kiedy to ma zastosowanie, eksporter danych uznaje, że podpisał Standardowe Klauzule Umowne włączone niniejszym od daty wejścia w życie DPA.
Importer danych
Dostawca
Szczegóły kontaktowe importera danych
Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych
Importer danych działa jako przetwórca danych.
Podpis i data
Jeżeli i kiedy ma to zastosowanie, uznaje się, że importer danych podpisał Standardowe Klauzule Umowne włączone niniejszym jako datę wejścia w życie DPA.
Załącznik I, Część B. Opis transferu
1. Kategorie podmiotów danych, których Dane Osobowe są przekazywane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, kontrahenci lub pracownicy tymczasowi (aktualni, potencjalni, byli) Klienta korzystającego z Usług (“Użytkownicy”);
Użytkownicy końcowi. Każda osoba (i) której dane kontaktowe są zawarte w liście kontaktów Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikaty lub w inny sposób angażuje lub komunikuje się za pośrednictwem Usług (łącznie, “Użytkownicy końcowi”). To wy jako Klient decydujecie wyłącznie o kategoriach podmiotów danych zawartych w komunikacji wysyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie danych osobowych przekazywanych
Dane osobowe klienta zawarte w treści komunikacji, danych o ruchu, danych użytkownika końcowego oraz danych o wykorzystaniu przez klienta.
Treść komunikacji, która może zawierać dane osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacji określonej przez Ciebie jako Klienta.
Dane o ruchu, które mogą zawierać dane osobowe klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak rozmowa głosowa, SMS lub e-mail, niezależnie od tego, czy dotyczy to osoby fizycznej, czy firmy.
Dane użytkownika końcowego, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane o wykorzystaniu przez klienta mogą zawierać dane, które można powiązać z Tobą jako osobą fizyczną, zawarte w danych statystycznych oraz informacje związane z Twoim kontem i aktywnościami serwisowymi, wglądami związanymi z usługą oraz raportami analitycznymi dotyczącymi wysyłanej komunikacji i wsparcia dla klientów.
3. Wrażliwe dane przesyłane
Dane wrażliwe przesyłane (jeśli dotyczy) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszych transferów lub dodatkowe środki bezpieczeństwa.
Treść komunikacji. Dane wrażliwe mogą być od czasu do czasu przetwarzane za pośrednictwem Usług, w przypadku gdy Ty lub Twoi Użytkownicy Końcowi zdecydujecie się uwzględnić dane wrażliwe w komunikacji, które są przesyłane z użyciem Usług. Jesteś odpowiedzialny za zapewnienie odpowiednich zabezpieczeń przed przesłaniem lub przetworzeniem, lub przed zezwoleniem swoim Użytkownikom Kończowym na przesyłanie lub przetwarzanie jakichkolwiek danych wrażliwych za pośrednictwem Usług, zgodnie z Sekcją 3.2 Umowy.
Dane o ruchu, dane Użytkownika Końcowego oraz dane o korzystaniu przez klientów. W danych o ruchu, danych Użytkownika Końcowego ani danych o korzystaniu przez klientów nie ma danych wrażliwych.
4. Częstotliwość transferu
Częstotliwość transferu (np. czy dane są transferowane jednorazowo czy na bieżąco): Dane osobowe klienta są transferowane na bieżąco przez cały okres obowiązywania umowy.
5. Charakter przetwarzania
Będziemy przetwarzać Dane Osobowe Klienta w zakresie niezbędnym do świadczenia Usług na podstawie Umowy. Nie sprzedajemy żadnych Danych Osobowych, w tym Danych Osobowych Klienta, i nie udostępniamy Danych Osobowych osobom trzecim w zamian za wynagrodzenie ani w celach biznesowych tych osób trzecich.
6. Cel(e) transferu danych i dalszego przetwarzania
Przetwarzamy dane osobowe Klienta jako processor danych zgodnie z instrukcjami Klienta, jak określono w tej DPA, chyba że przetwarzanie jest konieczne do wypełnienia zobowiązania prawnego, któremu podlegamy, w takim przypadku sklasyfikujemy jako administratora danych.
Zawartość komunikacji, dane dotyczące ruchu, dane Użytkownika Końcowego oraz dane o użytkowaniu przez klienta. Dane osobowe zawarte w zawartości komunikacji, danych dotyczących ruchu, danych Użytkowników Końcowych oraz danych o użytkowaniu przez klienta będą podlegały następującym podstawowym czynnościom przetwarzania:
Zawartość komunikacji. Dostarczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programowania aplikacji (API) lub za pośrednictwem Pulpitu, do Klienta, w tym przesyłanie do lub z aplikacji oprogramowania Klienta z lub do naszej platformy komunikacyjnej oraz innych sieci komunikacyjnych.
Dane dotyczące ruchu. Dane dotyczące ruchu są przetwarzane w celu przesyłania komunikacji w elektronicznej sieci komunikacyjnej lub w celu fakturowania za tę komunikację. Mogą one obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub momentu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, czy odnoszą się do osoby fizycznej, czy firmy.
Dane Użytkownika Końcowego. Dane osobowe Użytkowników Końcowych są wymagane do wykonania Usług i będą przetwarzane tylko w celach związanych z przesyłaniem komunikacji, wsparciem klienta oraz zapewnieniem zgodności z naszymi zobowiązaniami prawnymi.
Dane o użytkowaniu przez klienta. Dane osobowe zawarte w danych o użytkowaniu przez klienta będą podlegały czynnościom przetwarzania związanym z dostarczaniem Usług na mocy Umowy, w celu dostarczenia Klientowi informacji i raportów analitycznych dotyczących wysyłanej komunikacji, wsparcia klienta oraz ciągłego doskonalenia Usług.
7. Okres przechowywania danych osobowych
Okres, przez który będą przechowywane dane osobowe, lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu: Treść komunikacji i dane o ruchu. W przypadku treści komunikacji i danych o ruchu zawartych w usługach SMS i Voice okres przechowywania wynosi sześć miesięcy; W przypadku usług wideo treść komunikacji i dane o ruchu przechowywane są przez co najmniej 30 dni, aż do czasu uzgodnionego z Tobą; W przypadku usług e-mail treść komunikacji i dane o ruchu przechowywane są przez 72 godziny; W przypadku wszystkich innych usług treść komunikacji i dane o ruchu przechowywane są przez czas trwania usług, z wyjątkiem sytuacji, gdy usuniesz treść komunikacji lub dane o ruchu za pomocą dostępnych Ci środków technicznych i organizacyjnych. Dane końcowego użytkownika. Dane końcowego użytkownika będą przetwarzane przez czas określony przez Klienta, gdy dane końcowego użytkownika są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania wynosi przez czas trwania usług, zgodnie z punktem 6(c) tego Załącznika I, Część B. Dane o korzystaniu przez klienta. Po rozwiązaniu umowy możemy zachować, używać i ujawniać dane o korzystaniu przez klienta w celach określonych w punkcie 6(d) tego Załącznika I, Część B, z zastrzeżeniem obowiązków dotyczących poufności określonych w umowie. Zanonimizujemy lub usuniemy dane o korzystaniu przez klienta, gdy nie będziemy ich już potrzebować w celach określonych w punkcie 6(d) tego Załącznika I, Część B.
7. Przechowywanie danych osobowych
Okres, przez który Dane Osobowe będą przechowywane, lub, jeśli to niemożliwe, kryteria używane do określenia tego okresu:
Zawartość komunikacji i dane o ruchu;
Dla zawartości komunikacji i danych o ruchu zawartych w Usługach SMS i Głosowych obowiązuje okres przechowywania wynoszący sześć miesięcy;
Dla Usług Wideo zawartość komunikacji i dane o ruchu są przechowywane przez minimum 30 dni, do czasu ustalonego z Tobą;
Dla usług e-mail zawartość komunikacji i dane o ruchu są przechowywane przez 72 godziny;
Dla wszystkich innych usług zawartość komunikacji i dane o ruchu są przechowywane przez czas trwania Usług, chyba że usuniesz zawartość komunikacji lub dane o ruchu za pomocą odpowiednich technicznych i organizacyjnych środków udostępnionych przez Usługi.
Dane Użytkownika Końcowego będą przetwarzane przez czas ustalony przez Klienta, gdy dane Użytkownika Końcowego są zawarte w twoich profilach kontaktowych, domyślny okres przechowywania wynosi czas trwania Usług, zgodnie z Rozdziałem 6(c) niniejszego Aneksu I, Część B.
Dane o użytkowaniu Klienta: Po rozwiązaniu Umowy możemy przechowywać, używać i ujawniać dane o użytkowaniu Klienta w celach określonych w Rozdziale 6(d) niniejszego Aneksu I, Część B, z zachowaniem obowiązków poufności określonych w Umowie. Zanonimizujemy lub usuniemy dane o użytkowaniu Klienta, gdy nie będziemy ich już potrzebować do celów określonych w Rozdziale 6(d) niniejszego Aneksu I, Część B.
8. Dla transferów do (Sub-)przetwarzających
W przypadku transferów do (pod-)przetwórców, należy również określić przedmiot, charakter i czas trwania przetwarzania: W przypadku transferów do pod-przetwórców, przedmiot i charakter przetwarzania są określone w naszym przeglądzie pod-przetwórców, a czas trwania dotyczy czasu trwania umowy.
Załącznik I, Część C. Komptentny organ nadzoru
Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie odpowiednim organem nadzorczym.
ZAŁĄCZNIK II - Techniczne i Organizacyjne Środki Bezpieczeństwa
Gdzie to ma zastosowanie, ta Załącznik II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej znajdują się dodatkowe informacje dotyczące naszych środków bezpieczeństwa technicznych i organizacyjnych określonych poniżej.
Środki techniczne i organizacyjne dotyczące bezpieczeństwa
Środki pseudonimizacji i ochrony danych osobowych w przechowywaniu i transporcie:
Wszystkie dane osobowe są szyfrowane w trakcie przesyłania i w spoczynku, a w zakresie istotnym z punktu widzenia bezpieczeństwa traktowane są tak, jakby były klasyfikowane jako dane wrażliwe. Informacje są zawsze przesyłane przez TLS z użyciem aktualnych metodologii szyfrowania domyślnie.
Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów przetwarzania oraz usług:
Zawieramy umowy, które zawierają klauzule poufności z naszymi pracownikami, kontrahentami, dostawcami i podwykonawcami. Nasza polityka ciągłości działania polega na przygotowaniu naszej działalności i usług na wypadek długotrwałych przerw spowodowanych czynnikami niezależnymi od nas oraz na jak najszybszym przywróceniu usług w jak najszerszym zakresie. Rozumiemy, że świadczone przez nas usługi są kluczowe dla naszych klientów, dlatego mamy bardzo małą tolerancję na zakłócenia w świadczeniu usług. Nasze ramy czasowe dotyczące odzyskiwania zostały zaprojektowane w celu zapewnienia, że możemy wypełniać nasze zobowiązania wobec wszystkich naszych klientów.
Procedury regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania:
Celem bezpieczeństwa informacji oraz naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów oraz (autoryzowanych) systemów informatycznych, a także minimalizacja ryzyka wystąpienia szkód poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami w zabezpieczeniach. Nasz zespół prawny, Inspektor Ochrony Danych oraz Zespół Bezpieczeństwa dbają o to, aby obowiązujące przepisy i standardy były uwzględniane w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkowników:
Stosujemy zasady „potrzeby wiedzieć” i „najmniejszego przywileju”. Promujemy wykorzystanie opartej na rolach kontroli dostępu. Przydzielanie i odbieranie dostępu nadzorowane jest przez zespół ds. bezpieczeństwa, z włączonym Single-Sign-On i 2FA jako domyślnymi. Dla każdego zasobu informacyjnego określono właścicieli, którzy są odpowiedzialni za zapewnienie odpowiedniego dostępu do swoich systemów oraz regularne przeglądanie tego dostępu. Kiedy mamy do czynienia z wrażliwymi informacjami lub podejmujemy krytyczne działania, stosujemy zasadę czterech oczu.
Środki zapewniające rejestrowanie wydarzeń:
Dzienniki audytu są centralnie przechowywane i monitorowane na bieżąco w poszukiwaniu zdarzeń bezpieczeństwa oraz są chronione, aby uniknąć ryzyka manipulacji. Polityka zarządzania incydentami egzekwuje plan reakcji na incydenty oraz jego procedury. Te wytyczne są przestrzegane, jeśli wystąpi jakikolwiek typ incydentu bezpieczeństwa lub technicznego.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną:
Stosujemy spójny proces zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby bardziej to wyjaśnić, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wskazaną stronę i realizowane zgodnie z formalnym procesem kontroli zmian. Proces kontrolny zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i udostępniane w kontrolowany sposób; oraz że status każdej proponowanej zmiany jest monitorowany. Podstawy konfiguracji są przestrzegane, aby bezpiecznie konfigurować systemy zgodnie z najlepszymi praktykami. Ponadto, w dziale inżynieryjnym, wykorzystywana jest mapa technologii do określenia, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia do zarządzania danymi) mogą być przyjęte lub które należy unikać podczas rozwoju.
Środki bezpieczeństwa fizycznego
Aktywnie promujemy politykę „Pracuj z każdego miejsca”, dzięki czemu naszym pracownikom przysługuje prawo do pracy z dowolnego miejsca, które wybiorą. Mimo to, nadal posiadamy nasze biuro. Na naszych terenach nie ma stref zabezpieczonych/centrum danych, ponieważ jesteśmy całkowicie opartą na chmurze firmą. Nasze biura są chronione fizycznymi kontrolami dostępu, monitoringiem CCTV oraz ochroną osobową.
Środki na wewnętrzne zarządzanie IT i bezpieczeństwo IT:
Utrzymujemy oparty na ryzyku program oceny bezpieczeństwa, który obejmuje zabezpieczenia administracyjne, organizacyjne, techniczne i fizyczne zaprojektowane w celu ochrony Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji jest zorganizowany w systematyczny i dobrze zorganizowany sposób. Ponadto mają zastosowanie wymogi prawne i regulacyjne, aby zapewnić poufność, integralność i dostępność informacji dla organizacji, pracowników, partnerów i klientów. Wszystko to jest przekładane na nasze polityki, procedury i wytyczne dotyczące bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który odpowiada za poziom taktyczny bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie działań strategicznych na działania operacyjne dla naszego bezpieczeństwa oraz naszego ciągłego utrzymania zgodności z przepisami. Wszyscy pracownicy są odpowiedzialni za ochronę aktywów firmy. Wszyscy nasi pracownicy są sprawdzani pod kątem wiedzy, doświadczenia i integralności. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie onboardingu, a także podczas regularnych szkoleń zespołowych oraz w innych prezentacjach dla całej firmy dotyczących znaczenia ochrony danych i zgodności z bezpieczeństwem. Jesteśmy certyfikowani zgodnie z normą ISO 27001, globalnie uznaną normą bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingu są certyfikowani zgodnie z normą ISO 27001.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i całkowicie przejrzyści wobec naszych klientów.
Jesteśmy Członkiem Stowarzyszonym Groupe Speciale Mobile Association (GSMA). GSMA reprezentuje interesy operatorów mobilnych na całym świecie.
Zawsze jesteśmy na bieżąco z wszystkimi obowiązującymi przepisami i regulacjami, w tym z Ogólnym Rozporządzeniem o Ochronie Danych oraz Ramami Ochrony Danych UE-USA.
Środki do certyfikacji/pewności procesów i produktów:
Przechodzimy przez rygorystyczny nadzór oraz audyty certyfikacyjne w ramach naszej zgodności z ISO/IEC 27001 i regularnie wykonujemy testy podatności aplikacji oraz testy penetracyjne.
Środki mające na celu zapewnienie odpowiedzialności:
wprowadzamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami prawa i publikujemy przegląd naszej dokumentacji ISMS (link). Wyznaczyliśmy dedykowanego Dyrektora ds. Bezpieczeństwa, Inspektora Ochrony Danych, Funkcjonariusza ds. Zgodności oraz Inspektora Ochrony Informacji i utrzymujemy dokumentację naszych działań przetwarzania, w tym rejestrowanie i raportowanie incydentów bezpieczeństwa dotyczących Danych Osobowych, w miarę potrzeb.
Środki zapewniające usunięcie danych:
Zapewniamy usunięcie danych poprzez zautomatyzowany proces usuwania w naszym środowisku komunikacyjnym i infrastrukturalnym. Proces usuwania danych zapewnia, że wszystkie dane, które nie są już potrzebne do realizacji określonego celu, są usuwane z naszych systemów po przetworzeniu.