Aneks do Przetwarzania Danych 2019

Załącznik do przetwarzania danych (DPA) dotyczy wszelkiego przetwarzania danych osobowych użytkowników końcowych, które Ty (Klient) dostarczasz MessageBird B.V. (MessageBird) poprzez usługi MessageBird, jak określono oddzielnie w osobnej umowie (Usługi). Ten DPA ma zastosowanie w uzupełnieniu do Ogólnych Warunków Handlowych MessageBird lub Umowy o Świadczenie Usług, w zależności od tego, co jest obowiązujące (Umowa), pomiędzy Klientem a MessageBird (łącznie: Strony). W przypadku konfliktu lub niespójności między postanowieniami Umowy a tym DPA, DPA ma pierwszeństwo.

Terminy takie jak „dane osobowe”, „przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „naruszenie danych osobowych” itp. mają znaczenie przypisane im zgodnie z obowiązującymi przepisami o ochronie danych (Przepisy o Ochronie Danych), z wyjątkiem definicji (pod-)procesora, która wyklucza operatorów telekomunikacyjnych oraz innych dostawców usług telekomunikacyjnych, którzy są uważani za niezbędnych do działania Usług, ale z powodu tego, że takie strony działają jako czysty przewód lub niezależny administrator danych, nie mieszczą się w definicji podmiotów przetwarzających, jak to określa Przepisy o Ochronie Danych.

Klient i MessageBird obaj uznają i rozumieją, że w odniesieniu do przetwarzania danych osobowych użytkowników końcowych („osoby, której dane dotyczą”), które Klient przekazuje MessageBird na podstawie Usług, MessageBird jest podmiotem przetwarzającym dane.

1. Klient niniejszym zleca MessageBird przetwarzanie danych osobowych osób, których dane dotyczą, w zakresie wymaganym do wykonania Usług na podstawie Umowy.

1. MessageBird, w odniesieniu do jakichkolwiek danych osobowych przetwarzanych w związku z Usługami:

   1. przetwarza dane osobowe wyłącznie na udokumentowane instrukcje Klienta, o ile przepisy prawa któregokolwiek państwa członkowskiego Unii Europejskiej lub przepisy prawa Unii Europejskiej obowiązujące MessageBird nie wymagają inaczej;

   2. zapewnia dostęp do danych osobowych tylko tym pracownikom, dla których jest to absolutnie konieczne, oraz zapewnia, że wszyscy pracownicy, którzy mają dostęp do danych osobowych lub je przetwarzają, są prawnie zobowiązani do zachowania ich poufności;

   3. podejmuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieupoważnionym lub nielegalnym przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, zmianą lub ujawnieniem. Środki te powinny być odpowiednie do poziomu ryzyka związanego z przetwarzaniem oraz szkody, jaka może wyniknąć z naruszenia danych osobowych wpływającego na dane osobowe;

   4. zapewnia Klientowi każdą pomoc na uzasadnione życzenie Klienta, aby umożliwić mu spełnienie obowiązków wynikających z Przepisów o Ochronie Danych, w tym zgłaszanie naruszeń danych osobowych, zabezpieczenie przetwarzania oraz pomoc Klientowi w przeprowadzaniu wszelkich ocen skutków dla ochrony danych;

   5. dostarcza Klientowi wszelką rozsądną pomoc, aby umożliwić mu spełnienie jego obowiązków wobec osób, których dane dotyczą, które chcą skorzystać ze swoich praw zgodnie z Przepisami o Ochronie Danych. MessageBird udostępni techniczne i organizacyjne środki, które umożliwią Klientowi spełnienie tych obowiązków za pośrednictwem konta Klienta lub dedykowanego interfejsu API. Klient niniejszym przyjmuje do wiadomości i zgadza się, że żądania wysyłane przez Klienta drogą e-mailową nie są uznawane za ważne sposoby wykonywania jego praw i takie żądania nie będą przetwarzane przez MessageBird. Dla jasności, Klient jako administrator danych ponosi odpowiedzialność za przetwarzanie wszelkich żądań lub skarg otrzymanych od osób, których dane dotyczą, odnośnie do danych osobowych tych osób;

   6. na życzenie Klienta usuwa lub zwraca dane osobowe i ich kopie Klientowi po wygaśnięciu umowy Klienta z MessageBird, chyba że prawo obowiązujące wymaga inaczej;

   7. prowadzi rejestry zgodnie z Przepisami o Ochronie Danych dotyczące działalności przetwarzania prowadzonej na podstawie Umowy i tego DPA;

   8. przynajmniej co dwa lata audytuje bezpieczeństwo i działania przetwarzania danych osobowych MessageBird i zapewnia Klientowi (na zasadzie poufności), na jego pisemne żądanie, streszczenie lub opis wyników takiego audytu. Streszczenie raportu z audytu ISO 27001:2013 uznaje się za wypełnienie żądania Klienta. W celu jasności, audyt może być wewnętrznym lub być przeprowadzony przez stronę trzecią, ta decyzja jednakże leży w wyłącznym uznaniu MessageBird;

   9. jeśli streszczenie lub opis wyników audytu przekazany przez MessageBird Klientowi zgodnie z punktem 2(h) tego DPA daje Klientowi uzasadnione powody, by przypuszczać, że MessageBird narusza swoje obowiązki wynikające z tego DPA związane z danymi osobowymi dostarczonymi przez Klienta, pozwala niezależnej i wykwalifikowanej stronie trzeciej wyznaczonej przez Klienta i zatwierdzonej przez MessageBird, na przeprowadzanie audytu odpowiednich działań przetwarzania danych osobowych przez MessageBird, pod warunkiem spełnienia warunków określonych w Klauzuli 3 tego Załącznika; oraz,

   10. informuje Klienta najszybciej jak to możliwe, jeśli MessageBird otrzyma powiadomienie lub komunikat od organu rządowego lub regulacyjnego, które bezpośrednio odnosi się do przetwarzania danych osobowych, zgodnie z wytycznymi i przekazane przez Klienta, przez MessageBird lub jego (pod-)procesorów, chyba że takie powiadomienie lub komunikat jest zabronione przez prawo.

1. Klient musi:

   1. powiadomić MessageBird na co najmniej dwa (2) miesiące przed wykonaniem przez Klienta prawa do audytu zgodnie z punktem 2(i) tego DPA;

   2. zapewnić, by jakikolwiek audyt nie zakłócał bezpodstawnie działalności operacyjnej MessageBird; oraz,

   3. pokryć wszystkie koszty takiego audytu.

1. Jeśli Klient działa jako administrator danych, gwarantuje, że wszystkie czynności przetwarzania są zgodne z prawem, mają konkretny cel i że wszystkie wymagane zawiadomienia i zgody lub inna odpowiednia podstawa prawna są na miejscu, aby umożliwić zgodne z prawem przekazywanie danych osobowych. Jeśli Klient jest podmiotem przetwarzającym (w takim przypadku MessageBird będzie podprocesorem), Klient zapewnia, że właściwy administrator danych gwarantuje, że warunki wymienione w tej klauzuli są spełnione.

1. Biorąc pod uwagę charakter Usług, korzystanie z Usług przez Klienta i jego użytkowników końcowych może wymagać przekazywania danych osobowych poza EOG; kiedy świadczenie Usług wiąże się z przesyłaniem danych osobowych do (pod-)procesorów poza EOG, Klient niniejszym udziela MessageBird pełnomocnictwa na czas trwania wszystkich umów zawartych między Klientem a MessageBird do zawierania umów o Klauzulach Umownych z (pod-)procesorami poza EOG w imieniu Klienta, jeśli nie stosują się inne odpowiednie mechanizmy przekazywania określone w Przepisach o Ochronie Danych.

1. Na mocy tej klauzuli Klient udziela MessageBird ogólnego pisemnego upoważnienia na zaangażowanie jakichkolwiek innych stron trzecich jako nowych (pod-)procesorów do przetwarzania danych osobowych, z zastrzeżeniem warunków tego Załącznika. MessageBird nie zaangażuje żadnego (pod-)procesora do przetwarzania danych osobowych na podstawie tej Umowy bez wcześniejszego poinformowania Klienta o jakiejkolwiek zamierzonej zmianie dotyczącej dodania lub zastąpienia innych procesorów, dając Klientowi tym samym możliwość wyrażenia sprzeciwu wobec takich zmian. 

1. Klient może sprzeciwić się jakimkolwiek nowym (pod-)procesorom wyłącznie z powodu uzasadnionych przesłanek odnoszących się do ochrony danych poprzez rozwiązanie Umowy i tego Załącznika. Prawo do rozwiązania umowy jest jedynym i wyłącznym środkiem prawnie przysługującym Klientowi, jeśli sprzeciwi się jakimkolwiek nowym (pod-)procesorom.

1. Klient zgadza się na zaangażowanie podmiotów wymienionych na https://www.messagebird.com/en-gb/legal/privacy#processorList jako (pod-)procesorów MessageBird do przetwarzania danych osobowych. MessageBird będzie aktualizować listę (pod-)procesorów, gdy nowy (pod-)procesor zostanie zaangażowany do przetwarzania danych osobowych.

1. MessageBird podejmie wszelkie dostępne i odpowiednie środki umowne, aby zapewnić, że gdy nowy (pod-)procesor jest angażowany:

   1. (pod-)procesor będzie przetwarzać dane osobowe tylko wtedy, gdy takie przetwarzanie jest konieczne do wykonania Usług lub ich części;

   2. na (pod-)procesorze zostaną nałożone obowiązki dotyczące ochrony danych, zapewniające podobną ochronę, jak te w tym DPA na drodze umowy lub innego aktu prawnego zgodnie z prawem UE lub państw członkowskich, w szczególności zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, że przetwarzanie będzie spełniać wymagania Przepisów o Ochronie Danych, oraz;

   3. MessageBird pozostaje odpowiedzialne wobec Klienta na mocy tego DPA za wykonanie obowiązków swojego (pod-)procesora.

1. Szczegóły przetwarzania:

   1. Przedmiot i cel przetwarzania: świadczenie Usług MessageBird dla Klienta.

   2. Kategorie danych osobowych: informacje o użytkownikach końcowych, które Klient dostarcza MessageBird za pośrednictwem Usług.

   3. Kategorie osób, których dane dotyczą: osoby, których dane dotyczą, to klienci Klienta, pracownicy, dostawcy i wszelkie inne osoby fizyczne będące użytkownikami końcowymi usług komunikacyjnych, od których Klient za pośrednictwem Usług dostarcza dane osobowe.

   4. Czas trwania przetwarzania: dane osobowe będą przetwarzane tak długo, jak to wymagane do realizacji Usług lub zgodnie z obowiązującym prawem.

1. Ten Załącznik dotyczący przetwarzania danych jest regulowany przez prawo Niderlandów, a Strony zgadzają się na wyłączną jurysdykcję sądów w Amsterdamie w związku z wszystkimi sprawami związanymi z tym DPA, w tym egzekwowaniem wszelkich orzeczeń lub wyroków wydanych na jego podstawie lub w związku z nim.