Ten Aneks dotyczący przetwarzania danych (DPA) ma zastosowanie do wszelkiego przetwarzania danych osobowych użytkowników końcowych, które ty (Klient) przekazujesz MessageBird B.V. (MessageBird) za pośrednictwem usług MessageBird, jak osobno zdefiniowano w odrębnej umowie (Usługi). Ten DPA ma zastosowanie w dodatkowy sposób do Ogólnych Warunków i Zasad MessageBird lub Umowy Ramowej o Świadczenie Usług, w zależności od tego, która z nich ma zastosowanie (Umowa) dla Klienta i MessageBird (razem: Strony). W przypadku konfliktu lub niezgodności między postanowieniami Umowy a tym DPA, DPA będzie mieć pierwszeństwo.

Terminy takie jak „dane osobowe”, „przetwarzanie”, „administrator danych”, „procesor danych”, „naruszenie danych osobowych” itd. mają znaczenie nadane im na mocy obowiązującego ustawodawstwa w zakresie ochrony danych (Ustawodawstwo w zakresie ochrony danych), z wyjątkiem definicji (pod-)procesora, która wyraźnie wyklucza operatorów telekomunikacyjnych oraz innych dostawców usług telekomunikacyjnych, którzy są niezbędni do działania Usług, jednakże z uwagi na to, że takie strony działają jako jedynie kanał lub jako niezależny administrator danych, nie są objęte definicją procesora danych, jaką określa Ustawodawstwo w zakresie ochrony danych.

Klient i MessageBird oboje uznają i rozumieją, że w odniesieniu do przetwarzania danych osobowych użytkowników końcowych (‘podmiot danych’), które Klient przekazuje MessageBird na podstawie Usług, MessageBird jest procesorem danych.

1. Klient niniejszym instruuje MessageBird do przetwarzania danych osobowych podmiotów danych w zakresie wymaganym do realizacji Usług na podstawie Umowy.

1. MessageBird w odniesieniu do wszelkich danych osobowych przetwarzanych w związku z Usługami:

   1. przetwarza dane osobowe tylko na udokumentowane instrukcje Klienta, chyba że prawo któregokolwiek z państw członkowskich Unii Europejskiej lub przepisy Unii Europejskiej wymagają od MessageBird przetwarzania danych osobowych;

   2. zapewnia, że tylko personel z dostępem „na potrzeby” do danych osobowych ma dostęp do tych danych i zapewnia, że cały taki personel mający dostęp do danych osobowych lub przetwarzający je jest zobowiązany prawnie do zachowania poufności tych danych;

   3. podejmuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, zmianą lub ujawnieniem. Środki te będą adekwatne do poziomu ryzyka, jakie stwarza przetwarzanie (z uwzględnieniem charakteru danych osobowych) oraz do szkód, które mogłyby wyniknąć z naruszenia danych osobowych dotyczących danych osobowych;

   4. zapewnia Klientowi wszelką pomoc, o którą Klient rozsądnie prosi, aby umożliwić Klientowi spełnienie obowiązków Klienta na podstawie Ustawodawstwa w zakresie ochrony danych, w tym zawiadomienie o naruszeniach danych osobowych, bezpieczeństwo przetwarzania oraz pomoc Klientowi w realizacji wszelkiej odpowiedniej oceny wpływu na ochronę danych;

   5. zapewnia Klientowi rozsądne wsparcie w celu umożliwienia Klientowi spełnienia jego zobowiązań wobec podmiotów danych, które korzystają ze swoich praw na podstawie Ustawodawstwa w zakresie ochrony danych. MessageBird udostępni techniczne i organizacyjne środki, aby umożliwić Klientowi wypełnienie tych zobowiązań poprzez konto Klienta lub dedykowane API. Klient niniejszym uznaje i zgadza się, że żądania wysyłane przez Klienta pocztą elektroniczną nie są uznawane za ważny środek w celu skorzystania ze swoich praw i że takie żądania nie będą przetwarzane przez MessageBird. Dla uniknięcia wątpliwości, Klient jako administrator danych jest odpowiedzialny za przetwarzanie wszelkich żądań lub skarg od podmiotów danych dotyczących danych osobowych podmiotów danych;

   6. według wyboru Klienta, usunąć lub zwrócić dane osobowe i ich kopie do Klienta po rozwiązaniu umowy Klienta z MessageBird, chyba że wymagają tego obowiązkowe przepisy prawne;

   7. prowadzić dokumentację zgodnie z wymogami Ustawodawstwa w zakresie ochrony danych o działaniach przetwarzania wykonywanych na podstawie Umowy i tego DPA;

   8. co najmniej co dwa lata, przeprowadzać audyt bezpieczeństwa i działań przetwarzania danych osobowych MessageBird oraz dostarczać Klientowi (na zasadzie poufności), na jego pisemne żądanie, podsumowanie lub opis wyników takiego audytu. Podsumowanie raportu z audytu ISO 27001:2013 będzie uważane za spełnienie żądania Klienta. Dla uniknięcia wątpliwości, audyt może być audytem wewnętrznym lub audytem wykonanym przez stronę trzecią, której decyzja będzie jednak w wyłącznej gestii MessageBird;

   9. jeśli podsumowanie lub opis wyników audytu dostarczone przez MessageBird Klientowi zgodnie z paragrafem 2(h) tego DPA daje Klientowi uzasadnione powody do przypuszczenia, że MessageBird narusza swoje zobowiązania na podstawie tego DPA związane z danymi osobowymi przekazanymi przez Klienta, pozwoli niezależnej i wykwalifikowanej stronie trzeciej, wyznaczonej przez Klienta i zatwierdzonej przez MessageBird, na audyt odpowiednich działań przetwarzania danych osobowych MessageBird, pod warunkiem że spełnione są warunki określone w Klauzuli 3 tego Aneksu; oraz,

   10. niezwłocznie powiadomi Klienta, jeżeli MessageBird otrzyma powiadomienie lub komunikację od organu rządowego lub regulacyjnego, które odnosi się bezpośrednio do przetwarzania danych osobowych, zgodnie z instrukcją i dostarczoną przez Klienta, przez MessageBird lub jego (pod-)procesorów, chyba że takie powiadomienie lub komunikacja są zabronione przez prawo.

1. Klient powinien:

   1. powiadomić MessageBird co najmniej dwa (2) miesiące przed skorzystaniem z prawa audytu Klienta na podstawie paragrafu 2(i) tego DPA;

   2. zapewnić, że żaden audyt nie zakłóca w sposób nieuzasadniony operacji biznesowych MessageBird; oraz,

   3. ponosić i opłacać wszelkie koszty takiego audytu.

1. Jeśli Klient działa jako administrator danych, Klient gwarantuje, że wszystkie działania przetwarzania są zgodne z prawem, mają określony cel i wszelkie wymagane powiadomienia oraz zgody lub inny odpowiedni podstaw prawny są wdrożone, aby umożliwić zgodny z prawem transfer danych osobowych. Jeżeli Klient jest procesorem danych (w przypadku, gdy MessageBird będzie pod-procesorem), Klient zapewnia, że odpowiedni administrator danych gwarantuje, że warunki wymienione w tej klauzuli są spełnione.

1. W związku z charakterem Usług, korzystanie z Usług przez Klienta i użytkowników końcowych Klienta może wymagać transferu danych osobowych poza EOG; gdy wykonanie Usług wiąże się z transferem danych osobowych do (pod-)procesorów poza EOG, Klient niniejszym udziela MessageBird pełnomocnictwa przez okres obowiązywania wszystkich umów między Klientem a MessageBird do zawarcia Klauzul Modelowych UE z (pod-)procesorami poza EOG w imieniu Klienta, jeśli nie stosują się inne odpowiednie mechanizmy transferowe na podstawie Ustawodawstwa w zakresie ochrony danych.

1. Na mocy tej Klauzuli Klient udziela MessageBird ogólnego pisemnego pełnomocnictwa do zaangażowania jakichkolwiek innych stron trzecich jako nowych (pod-)procesorów do przetwarzania danych osobowych, z zastrzeżeniem warunków tego Aneksu. MessageBird nie zaangażuje żadnego (pod-)procesora w przetwarzaniu danych osobowych na podstawie tej Umowy bez uprzedniego poinformowania Klienta o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych procesorów, dając w ten sposób Klientowi możliwość sprzeciwienia się takim zmianom. 

1. Klient może sprzeciwić się wszelkiemu nowemu (pod-)procesorowi jedynie na podstawie uzasadnionych podstaw dotyczących ochrony danych, rozwiązując Umowę i ten Aneks. Prawo do rozwiązania w taki sposób jest wyłącznym i jedynym środkiem zaradczym Klienta w przypadku sprzeciwu wobec takiego nowego (pod-)procesora.

1. Klient wyraźnie zgadza się na zaangażowanie podmiotów wymienionych na https://www.messagebird.com/en-gb/legal/privacy#processorList jako (pod-)procesorów MessageBird do przetwarzania danych osobowych. MessageBird zaktualizuje listę (pod-)procesorów, gdy zostanie zaangażowany nowy (pod-)procesor do przetwarzania danych osobowych.

1. MessageBird podejmie wszelkie dostępne i odpowiednie środki umowne, aby zapewnić, że gdy zaangażowany jest (pod-)procesor:

   1. (pod-)procesor przetwarza dane osobowe tylko wtedy, gdy takie przetwarzanie jest konieczne do realizacji Usług lub ich części;

   2. obowiązki dotyczące ochrony danych zapewniające podobną ochronę jak te w tym DPA będą nakładane na (pod-)procesora w drodze umowy lub innego aktu prawnego zgodnie z prawem UE lub państwa członkowskiego, w szczególności zapewniając wystarczające gwarancje do wdrażania odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie spełniało wymagania Ustawodawstwa w zakresie ochrony danych, oraz;

   3. MessageBird pozostaje odpowiedzialny wobec Klienta na podstawie tego DPA za realizację zobowiązań swojego (pod-)procesora.

1. Szczegóły przetwarzania:

   1. Przedmiot i cel przetwarzania: świadczenie Usług MessageBird dla Klienta.

   2. Kategorie danych osobowych: informacje o użytkownikach końcowych, które Klient przekazuje MessageBird za pośrednictwem Usług.

   3. Kategorie podmiotów danych: podmioty danych obejmują klientów Klienta, pracowników, dostawców oraz każdą inną osobę fizyczną będącą użytkownikiem końcowym usług komunikacyjnych, od której Klient przekazuje dane osobowe za pośrednictwem Usług.

   4. Czas trwania przetwarzania: dane osobowe będą przetwarzane tak długo, jak to wymagane do realizacji Usług lub zgodnie z obowiązującym prawem.

1. Niniejszy Aneks dotyczący przetwarzania danych podlega prawu Holandii, a Strony poddają się wyłącznej jurysdykcji sądów w Amsterdamie dla wszystkich celów związanych z tym DPA, w tym egzekwowania wszelkich nagród lub wyroków wydanych na jego mocy lub w związku z nim.