Aneks do Przetwarzania Danych 2019
Załącznik do Przetwarzania Danych (DPA) ma zastosowanie do wszystkich operacji przetwarzania danych osobowych użytkowników końcowych, które Ty (Klient) dostarczasz do MessageBird B.V. (MessageBird) za pośrednictwem usług MessageBird, zdefiniowanych oddzielnie w odrębnej umowie (Usługi). Ten DPA ma zastosowanie obok Ogólnych Warunków MessageBird lub Umowy Głównej, w zależności od tego, która jest stosowana (Umowa) do Klienta i MessageBird (razem: Strony). W przypadku konfliktu lub niespójności między postanowieniami Umowy a niniejszym DPA, DPA ma pierwszeństwo.
Terminy takie jak „dane osobowe”, „przetwarzanie”, „administrator danych”, „podmiot przetwarzający dane”, „naruszenie ochrony danych osobowych” itp. mają znaczenie nadane im na mocy obowiązujących przepisów o ochronie danych (Legislacja o Ochronie Danych), z wyjątkiem definicji (pod-)procesora, która wyraźnie wyklucza operatorów telekomunikacyjnych i podobnych dostawców usług telekomunikacyjnych, którzy są uznawani za niezbędnych do działania Usług, ale ze względu na fakt, że takie strony działają jako zwykły kanał lub jako niezależni administratorzy danych, nie spełniają definicji podmiotu przetwarzającego dane, określonej w Legislacji o Ochronie Danych.
Klient i MessageBird obaj uznają i rozumieją, że w odniesieniu do przetwarzania danych osobowych użytkowników końcowych (‚podmioty danych’), które Klient dostarcza do MessageBird na podstawie Usług, MessageBird jest podmiotem przetwarzającym dane.
Klient niniejszym instruuje MessageBird do przetwarzania danych osobowych podmiotów danych w zakresie wymaganym do realizacji Usług na mocy Umowy.
MessageBird, w odniesieniu do jakichkolwiek danych osobowych przetwarzanych w związku z Usługami:
przetwarza dane osobowe wyłącznie na udokumentowane instrukcje Klienta, chyba że przepisy prawa któregokolwiek z członków Unii Europejskiej lub prawa Unii Europejskiej mają zastosowanie wobec MessageBird do przetwarzania danych osobowych;
zapewnia, aby tylko personel o „potrzebie poznania” miał dostęp do danych osobowych i zapewnia, że cały personel, który ma dostęp do danych osobowych lub je przetwarza, jest zobowiązany prawnie do zachowania poufności danych osobowych;
podejmuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, zmianą lub ujawnieniem. Te środki powinny odpowiadać poziomowi ryzyka przedstawionego przez przetwarzanie (z uwzględnieniem charakteru danych osobowych) oraz szkody, która może wyniknąć z naruszenia ochrony danych osobowych wpływającego na dane osobowe;
zapewnia Klientowi wszelką pomoc, o którą Klient rozsądnie prosi, aby umożliwić Klientowi spełnienie obowiązków Klienta wynikających z Legislacji o Ochronie Danych, w tym zgłaszanie naruszeń ochrony danych osobowych, bezpieczeństwo przetwarzania oraz pomoc Klientowi w realizacji odpowiednich ocen skutków ochrony danych;
zapewnia Klientowi rozsądną pomoc, aby umożliwić Klientowi spełnienie obowiązków wobec podmiotów danych, które korzystają z przysługujących im praw na mocy Legislacji o Ochronie Danych. MessageBird udostępnia techniczne i organizacyjne środki umożliwiające Klientowi spełnienie tych obowiązków za pośrednictwem konta Klienta lub dedykowanego API. Klient niniejszym uznaje i zgadza się, że prośby przesyłane przez Klienta poprzez e-mail nie są uznawane za ważny sposób korzystania z jego praw i że takie prośby nie będą przetwarzane przez MessageBird. Dla rozwiania wątpliwości, Klient jako administrator danych jest odpowiedzialny za przetwarzanie wszelkich próśb lub skarg podmiotów danych w związku z danymi osobowymi podmiotów danych;
według wyboru Klienta, usuwa lub zwraca dane osobowe i ich kopie do Klienta po zakończeniu umowy z MessageBird, chyba że przepisy obowiązującego prawa wymagają inaczej;
prowadzi ewidencję przetwarzania danych wymaganą na mocy Legislacji o Ochronie Danych umówionych czynności przetwarzania na mocy Umowy i tego DPA;
co najmniej co dwa lata, przeprowadza audyt bezpieczeństwa i przetwarzania danych osobowych w MessageBird i przekazuje Klientowi (na zasadzie poufności), na jego pisemny wniosek, streszczenie lub opis wyników takiego audytu. Streszczenie raportu z audytu ISO 27001:2013 będzie uznawane za spełnienie wniosku Klienta. Dla rozwiania wątpliwości, audyt może być wewnętrzny lub wykonany przez stronę trzecią, przy czym decyzja musi być podjęta wyłącznie przez MessageBird;
jeśli streszczenie lub opis wyników audytu dostarczone Klientowi przez MessageBird zgodnie z punktem 2(h) tego DPA daje Klientowi uzasadnione powody, by sądzić, że MessageBird narusza swoje zobowiązania wynikające z tego DPA związane z danymi osobowymi dostarczonymi przez Klienta, umożliwia niezależnej i wykwalifikowanej stronie trzeciej wyznaczonej przez Klienta i zatwierdzonej przez MessageBird przeprowadzenie audytu odpowiednich czynności przetwarzania danych osobowych MessageBird, pod warunkiem spełnienia warunków przewidzianych w Klauzuli 3 tego Załącznika; oraz,
powiadamia Klienta jak najszybciej, jeśli MessageBird otrzyma zawiadomienie lub komunikację od rządowego lub regulacyjnego organu, która odnosi się bezpośrednio do przetwarzania danych osobowych, zgodnie z instrukcjami i udzielonymi przez Klienta, przez MessageBird lub jego (pod-)procesorów, chyba że takie zawiadomienie lub komunikacja jest zabroniona prawem.
Klient zobowiązuje się do:
powiadomienia MessageBird na co najmniej dwa (2) miesiące przed wykonywaniem prawa do audytu Klienta zgodnie z punktem 2(i) tego DPA;
zapewnienia, że jakikolwiek audyt nie zakłóca w sposób nieuzasadniony działalności operacyjnej MessageBird; oraz,
pokrycia i zapłaty wszystkich kosztów takiego audytu.
Jeśli Klient działa jako administrator danych, gwarantuje, że wszystkie czynności przetwarzania są zgodne z prawem, mają określony cel, a wymagane zawiadomienia i zgody lub inne odpowiednie podstawy prawne są obowiązujące, aby umożliwić zgodny z prawem transfer danych osobowych. Jeśli Klient jest podmiotem przetwarzającym dane (w takim przypadku MessageBird będzie podprzetwarzaczem), Klient upewnia się, że właściwy administrator danych gwarantuje spełnienie wymagań określonych w tej klauzuli.
Ze względu na charakter Usług, korzystanie z Usług przez Klienta i jego użytkowników końcowych może wymagać transferu danych osobowych poza EOG; w przypadku gdy realizacja Usług obejmuje transfer danych osobowych do (pod-)procesorów poza EOG, Klient niniejszym udziela MessageBird mandatu na czas obowiązywania wszystkich umów między Klientem a MessageBird, aby zawierali w imieniu Klienta z (pod-)procesorami poza EOG umowy w oparciu o standardowe klauzule umowne UE, jeśli inne odpowiednie mechanizmy transferu wynikające z Legislacji o Ochronie Danych nie mają zastosowania.
Na mocy tej klauzuli Klient udziela MessageBird ogólnego pisemnego upoważnienia do zaangażowania jakichkolwiek innych stron trzecich jako nowych (pod-)procesorów do przetwarzania danych osobowych, pod warunkiem zastosowania się do warunków tego Załącznika. MessageBird nie angażuje żadnego (pod-)procesora w przetwarzanie danych osobowych na mocy tej Umowy bez uprzedniego poinformowania Klienta o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych procesorów, dając tym samym Klientowi możliwość zgłoszenia sprzeciwu wobec takich zmian.
Klient może zgłosić sprzeciw wobec każdego takiego nowego (pod-)procesora wyłącznie na podstawie uzasadnionych przyczyn dotyczących ochrony danych przez anulowanie Umowy i tego Załącznika. To prawo do wypowiedzenia jest jedynym i wyłącznym środkiem zaradczym Klienta, jeśli Klient ma sprzeciw wobec jakiegokolwiek takiego nowego (pod-)procesora.
Klient wyraźnie zgadza się na zaangażowanie podmiotów wymienionych pod https://www.messagebird.com/en-gb/legal/privacy#processorList jako (pod-)procesory MessageBird do przetwarzania danych osobowych. MessageBird będzie aktualizować listę (pod-)procesorów, gdy zostanie zaangażowany nowy (pod-)procesor do przetwarzania danych osobowych.
MessageBird podejmie wszystkie dostępne i odpowiednie środki umowne, aby zapewnić, że gdy (pod-)procesor jest zaangażowany:
(pod-)procesor będzie przetwarzał dane osobowe tylko, jeśli takie przetwarzanie jest konieczne do realizacji Usług lub ich części;
obowiązki dotyczące ochrony danych zapewniające podobną ochronę jak te w tym DPA zostaną nałożone na (pod-)procesora przez umowę lub inny akt prawny na mocy prawa UE lub kraju członkowskiego UE, w szczególności zapewniające wystarczające gwarancje dotyczące wprowadzenia odpowiednich środków technicznych i organizacyjnych w taki sposób, iż przetwarzanie spełnia wymagania Legislacji o Ochronie Danych, oraz;
MessageBird pozostaje odpowiedzialny wobec Klienta na mocy tego DPA za realizację obowiązków swojego (pod-)procesora.
Szczegóły przetwarzania:
Przedmiot i cel przetwarzania: świadczenie Usług MessageBird dla Klienta.
Kategorie danych osobowych: informacje o użytkownikach końcowych, które Klient dostarcza do MessageBird za pośrednictwem Usług.
Kategorie podmiotów danych: podmioty danych obejmują klientów Klienta, pracowników, dostawców i każdą inną osobę fizyczną, która jest użytkownikiem końcowym usług komunikacyjnych, od której Klient dostarcza dane osobowe za pośrednictwem Usług.
Czas trwania przetwarzania: dane osobowe będą przetwarzane tak długo, jak jest to wymagane do wykonania Usług, lub jak wymagają tego obowiązujące prawa.
Ten Załącznik do Przetwarzania Danych jest regulowany prawem Holandii, a Strony poddają się wyłącznej jurysdykcji sądów w Amsterdamie we wszystkich kwestiach związanych z tym DPA, w tym egzekwowaniem wszelkich orzeczeń lub wyroków wydanych na jego podstawie lub w związku z nim.