Umowa o przetwarzaniu danych
Ta Umowa o Przetwarzaniu Danych ma zastosowanie do Ciebie, jeśli zarejestrowałeś się na Usługi MessageBird (w tym poprzez któregokolwiek z jej podmiotów stowarzyszonych) w dniu 28 lutego 2022 r. lub później i przed 1 stycznia 2024 r. Obowiązuje od 15 kwietnia 2022, niniejsza Umowa o Przetwarzaniu Danych będzie również miała zastosowanie do klientów, którzy zarejestrowali się na Usługi MessageBird przed 28 lutego 2022 r. Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Dokumenty
Zawartość
Ta umowa dotycząca przetwarzania danych, w tym załączniki („DPA”) jest częścią Umowy między Klientem a podmiotem, który zawarł umowę wymienioną w Sekcji 15 (Podmiot Zawierający Umowę) Ogólnych Warunków, chyba że na formularzu zamówienia podano inaczej. W tej DPA, terminy „ty”, “twój”, lub “Klient” odnoszą się do ciebie (z zastrzeżeniem Sekcji 1.2 poniżej), a terminy „my”, “nas,” “nasz” lub “MessageBird” odnoszą się do nas.
1. Scope, Customer Affiliates and Term
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako przetwarzającego.
1.2 Oddziały Klienta. Klient zawiera niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przez przepisy o ochronie danych, w imieniu i na rzecz swoich Oddziałów (zgodnie z definicją w Regulaminie), jeśli i w zakresie, w jakim zapewniasz takim Oddziałom dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których takie Oddziały kwalifikują się jako administrator danych („Oddziały Klienta”). Na potrzeby niniejszej DPA oraz z wyjątkiem sytuacji wyraźnie wskazanych inaczej, terminy „Klient” i „ty” obejmują Klienta i Oddziały.
1.3 Okres obowiązywania. Niniejsza DPA pozostaje w mocy, dopóki MessageBird przetwarza Dane Osobowe Klienta podlegające tej DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
Terminy pisane wielką literą używane, ale niezdefiniowane w niniejszym DPA będą miały znaczenie nadane im w Umowie. Następujące zdefiniowane terminy są używane w niniejszym DPA:
2.1 „CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku oraz wszelkie przepisy tam wydane, w każdym przypadku, zmieniane od czasu do czasu.
2.2 „Dane Klienta” oznaczają wszelkie dane oraz inne informacje lub treści przesłane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) zgodnie z Umową i przetwarzane lub przechowywane przez Usługi.
2.3 „Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta. Dane konta nie są Danymi Osobowymi Klienta. Dane konta to wszelkie dane dostarczone przez Ciebie lub dla Ciebie do MessageBird w związku z zawieraniem i zarządzaniem Umową oraz Twoim kontem, w tym między innymi informacje kontaktowe, szczegóły płatności Klienta i korespondencja dotycząca zawierania i zarządzania Umową.
2.4 „Ustawodawstwo o Ochronie Danych” oznacza wszelkie prawa i przepisy obowiązujące w jakiejkolwiek jurysdykcji, dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych w ramach Umowy, w tym, gdzie to dotyczy, GDPR, CCPA i wszystkich innych praw i przepisów dotyczących prywatności, marketingu bezpośredniego lub ochrony danych.
2.5 „EEA” oznacza, na potrzeby tego DPA, Europejski Obszar Gospodarczy i Szwajcarię.
2.6 „Standardowe Klauzule Umowne UE dla Kontrolera i Procesora” oznaczają moduły „Kontroler do Procesora” (Moduł 2) Standardowe Klauzule Umowne dotyczące przekazywania Danych Osobowych do krajów trzecich zgodnie z GDPR oraz Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 roku.
2.7 „Standardowe Klauzule Umowne UE dla Procesora i Podprocesora” oznaczają moduły „Procesor do Procesora” (Moduł 3) Standardowe Klauzule Umowne dotyczące przekazywania Danych Osobowych do krajów trzecich zgodnie z GDPR oraz Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 roku.
2.8 „GDPR” oznacza (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady dotyczące ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych oraz swobodnego przepływu takich danych (Ogólne Rozporządzenie o Ochronie Danych); lub (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o Ochronie Danych z 2018 roku.
2.9 „LGPD” oznacza Ogólną Ustawę o Ochronie Danych z 2018 roku oraz wszelkie przepisy tam wydane, w każdym przypadku, zmieniane od czasu do czasu.
2.10 „Dane Osobowe” oznaczają wszelkie informacje dotyczące osoby fizycznej, której tożsamość można bezpośrednio lub pośrednio ustalić.
2.11 „PDPA” oznacza Ustawę o Ochronie Danych Osobowych z 2012 roku oraz wszelkie przepisy tam wydane, w każdym przypadku, zmieniane od czasu do czasu.
2.12 “Polityka Prywatności” oznacza obowiązującą Politykę Prywatności dla Usług dostępnych na https://bird.com/legal/privacy.
2.13 „Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, modyfikację, ujawnienie lub dostęp do Danych Osobowych Klienta.
2.14 „Usługi” oznaczają wszystkie produkty i usługi dostarczane przez nas lub naszych Partnerów, które są (a) zamówione przez Ciebie na podstawie każdego formularza zamówienia; lub (b) używane przez Ciebie.
2.15 „Standardowe Klauzule Umowne” oznaczają (i) Standardowe Klauzule Umowne UE dla Kontrolera i Procesora; lub (ii) Standardowe Klauzule Umowne UE dla Procesora i Podprocesora, zarówno osobno, jak i zbiorowo, w miarę potrzeby.
2.16 „Podprocesor” oznacza podmiot, który przetwarza Dane Osobowe Klienta w imieniu podmiotu działającego jako procesor danych lub Podprocesor.
2.17 „Standardowe Klauzule Umowne UK dla Kontrolera i Procesora” oznaczają standardowe klauzule umowne dotyczące przekazywania Danych Osobowych do procesorów w krajach trzecich w formie określonej w Decyzji Komisji Europejskiej 2010/87/UE, które mogą być zmienione, zmodyfikowane lub zastąpione przez Komisję Europejską.
Pojęcia takie jak „przetwarzanie”, „administrator danych”, „podmiot przetwarzający dane”, „osoba, której dane dotyczą”, itp. będą miały znaczenie przypisane im na mocy GDPR. Definicja „administratora danych” obejmuje „biznes”, „kontroler” i „organizację”; „podmiot przetwarzający dane” obejmuje „dostawca usług”, „procesor” i „pośrednik danych”; „osoba, której dane dotyczą” obejmuje „konsumenta” i „osobę fizyczną”; oraz „Dane Osobowe” obejmują „informacje osobiste”, w każdym przypadku zgodnie z definicjami na mocy CCPA, LGPD lub PDPA.
3. Przetwarzanie danych osobowych klientów
3.1 Cel. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, udzielania wsparcia oraz rozwijania i wdrażania usprawnień i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami do nas jako przetwarzającego dane zgodnie z określonymi instrukcjami w Sekcji 3.2 tego DPA oraz (ii) do naszych prawnie uzasadnionych celów biznesowych określonych w Sekcji 3.4 tego DPA jako administratora danych. Nie sprzedajemy Żadnych Danych Osobowych, w tym Danych Osobowych Klienta, ani nie udostępniamy Danych Osobowych stronom trzecim za wynagrodzeniem lub w celach biznesowych tych stron trzecich.
3.2 Instrukcje. Umowa i to DPA stanowią kompletne instrukcje dla nas jako przetwarzającego dane na dzień podpisania tego DPA. Będziemy przestrzegać innych rozsądnie udokumentowanych instrukcji pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły przetwarzania. Aneks I, Część B. (Opis transferu) tego DPA dodatkowo określa charakter i cel przetwarzania, działania związane z przetwarzaniem, czas trwania przetwarzania, rodzaje Danych Osobowych i kategorie podmiotów danych przez nas jako przetwarzającego dane lub Subprocesora.
3.4 Prawnie uzasadnione cele biznesowe. Przyznajesz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących prawnie uzasadnionych celów biznesowych: rozliczenia, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą mieć wpływ na nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie mocy produkcyjnej i przychodów, strategia produktowa), zapobieganie oszustwom, spamowi i nadużyciom, poprawa produktów oraz przestrzeganie naszych obowiązków prawnych.
4. Customer Obligations
4.1 Zgodność z prawem. Gdy działasz jako administrator danych Danych Osobowych Klienta, gwarantujesz, że wszystkie działania przetwarzania są zgodne z prawem, mają określony cel, oraz że są wprowadzone wszelkie wymagane zawiadomienia, zgody lub inne odpowiednie podstawy prawne, aby umożliwić zgodny z prawem transfer Danych Osobowych Klienta. Jeśli jesteś procesorem danych (w takim przypadku my będziemy działać jako Podprocesor), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w tej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz Przepisów o Ochronie Danych mających zastosowanie do twojego korzystania z Usług i do twojego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy środki techniczne i organizacyjne Usług spełniają twoje wymagania, oraz (c) wdrożenie i utrzymanie działań dotyczących prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Mając na uwadze stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnych prawdopodobieństwach i ciężkości dla praw i wolności osób fizycznych, wprowadzimy i będziemy utrzymywać odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed naruszeniami Danych Osobowych oraz aby zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta używanych przez nasze systemy do przetwarzania Danych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przegląd informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i zobowiązania prawne zgodnie z ustawodawstwem o ochronie danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „potrzeby wiedzy” i najmniejszych przywilejów.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub podmiot upoważniony przez nas do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podprzetwarzający) zostaną poinformowani o poufnym charakterze takich Danych Osobowych Klienta i będą zobowiązani do zachowania odpowiedniej poufności (czy to na mocy umowy, czy obowiązku ustawowego), która przetrwa zakończenie ich zatrudnienia.
5.5 Reakcja i powiadomienie o Naruszeniu Danych Osobowych. Po otrzymaniu informacji o Naruszeniu Danych Osobowych, niezwłocznie (i) powiadomimy Cię, (ii) przeprowadzimy dochodzenie w sprawie Naruszenia Danych Osobowych, (iii) dostarczymy terminowe informacje dotyczące Naruszenia Danych Osobowych, w miarę jak staną się one znane lub w miarę uzasadnionych żądań z Twojej strony oraz (iv) podejmiemy komercyjnie uzasadnione kroki w celu złagodzenia skutków i zapobieżenia ponownemu wystąpieniu Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci rozsądnie wymaganą pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym powiadamianie o naruszeniu ochrony danych osobowych, ocena odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w realizacji odpowiedniej oceny skutków w zakresie ochrony danych.
6.2 Pomoc w realizacji żądań osób, których dane dotyczą. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów o ochronie danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta danego podmiotu danych.
7. Ujawnienie i Wnioski o Ujawnienie
7.1 Ograniczenia ujawniania i dostępu. Nie udostępnimy ani nie ujawnimy Danych Osobowych Klienta z wyjątkiem (i) na Państwa zlecenie, (ii) zgodnie z Umową i niniejszym DPA, lub (iii) jeśli jest to wymagane przez prawo.
7.2 Wnioski o ujawnienie. Poinformujemy Państwa, gdy tylko będzie to możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, o ile takie powiadomienie nie jest zabronione przez prawo. Będziemy obsługiwać wnioski o ujawnienie zgodnie z polityką dotyczącą wniosków o ujawnienie dostępną na https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Obecni Podwykonawcy. Zgadzasz się na zaangażowanie Podwykonawców wymienionych na https://www.bird.com/en/legal/privacy#processorList w sekcji „Dane Osobowe Użytkownika Końcowego”, która zawiera procedurę umożliwiającą subskrybowanie powiadomień o zmianach w zakresie wykorzystania Podwykonawców. Jeśli subskrybujesz takie powiadomienia, uwzględniając Sekcję 8.3 niniejszej DPA, przekażemy szczegóły dotyczące wszelkich zmian wśród Podwykonawców tak szybko, jak to będzie możliwe.
8.2 Użycie Podwykonawców. W ramach niniejszej DPA, udzielasz nam ogólnego pisemnego upoważnienia do zaangażowania Podwykonawców do przetwarzania Danych osobowych Klienta, z zastrzeżeniem Sekcji 8.3 niniejszej DPA oraz następujących wymagań:
a. Ograniczymy dostęp do Danych osobowych Klienta przez Podwykonawców do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podwykonawcą;
b. Uzgodnimy z Podwykonawcą obowiązki w zakresie ochrony danych, które są zasadniczo takie same jak obowiązki wynikające z niniejszej DPA; oraz
c. Pozostajemy odpowiedzialni wobec Ciebie za wykonanie obowiązków Podwykonawcy dotyczących ochrony danych na podstawie niniejszej DPA.
8.3 Powiadomienie o zmianach Podwykonawców i prawo do sprzeciwu. Przed zastąpieniem lub zaangażowaniem nowych Podwykonawców („Zmiana Podwykonawcy”), damy Ci możliwość sprzeciwu wobec Zmiany Podwykonawcy.
Możesz sprzeciwić się Zmianie Podwykonawcy, pod warunkiem że (i) sprzeciw zostanie wniesiony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podwykonawcy oraz (ii) sprzeciw opiera się na uzasadnionych podstawach dotyczących ochrony Danych osobowych Klienta i wyraźnie je wyjaśnia. Kiedy wnosisz sprzeciw wobec proponowanej Zmiany Podwykonawcy, będziemy współpracować z Tobą w dobrej wierze, aby dokonać komercyjnie uzasadnionej zmiany w zakresie świadczenia Usług, która unika korzystania z danego Podwykonawcy. Jeśli taka zmiana nie może zostać racjonalnie dokonana w ciągu trzydziestu (30) dni roboczych od momentu otrzymania Twojego powiadomienia o sprzeciwie lub jeśli zmiana jest dla nas komercyjnie nieuzasadniona, każda ze stron może zakończyć stosowanie odpowiednich funkcji Usług, które nie mogą być świadczone bez zaangażowania danego Podwykonawcy. Prawo do rozwiązania umowy jest Twoim jedynym i wyłącznym środkiem zaradczym, jeśli wnosisz sprzeciw wobec Zmiany Podwykonawcy.
9. Transfery Transgraniczne Danych Osobowych Klientów
9.1 Przeniesienia Danych Osobowych Klienta. Możemy przenosić Dane Osobowe Klienta pod warunkiem, że wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych są wprowadzone. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dostępne dla osób, których dane dotyczą.
9.2 Standardowe Klauzule Umowne dla Podprocesorów. O ile nie ma zastosowania decyzja o odpowiednim poziomie ochrony lub alternatywny mechanizm transferu, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podprocesorami (w tym z naszymi Podmiotami Powiązanymi) zlokalizowanymi poza EOG, zgodnie z warunkami określonymi w Sekcji 9.1 tego DPA.
9.3 Mechanizmy Transferu dla Przeniesień Danych Osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych, aby legalnie przesłać Dane Osobowe Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria, Wielka Brytania) do nas zlokalizowanych poza tą jurysdykcją, niniejszy dział będzie miał zastosowanie. Jeśli, w trakcie realizacji Usług, Dane Osobowe Klienta, które podlegają RODO lub innemu prawu dotyczącym ochrony lub prywatności osób, które ma zastosowanie do tego DPA, są przekazywane do MessageBird zlokalizowanego w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych osobowych w rozumieniu przepisów o ochronie danych, mechanizmy transferu wymienione poniżej będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony w zakresie, w jakim takie transfery podlegają przepisom o ochronie danych:
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą stosowane do Danych Osobowych Klienta, które są przekazywane za pośrednictwem Usług z EOG lub Szwajcarii, bezpośrednio lub przez dalszy transfer, do jednostki MessageBird zlokalizowanej w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, przez właściwy organ ze Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako administrator danych, a MessageBird jest procesorem danych, będą miały zastosowanie standardowe klauzule umowne UE dotyczące relacji administrator-procesor dla każdego takiego transferu Danych Osobowych Klienta z EOG. Gdy działasz jako przetwarzający dane, a MessageBird jest podprocesorem, standardowe klauzule umowne procesor-podprocesor będą miały zastosowanie do każdego takiego transferu Danych Osobowych Klienta z EOG.
9.3.1.2 MessageBird będzie traktowane jako importer danych, a Ty będziesz traktowany jako eksporter danych zgodnie ze Standardowymi Klauzulami Umownymi. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie stosownych Standardowych Klauzul Umownych, które będą uznane za włączone do tego DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały pierwszeństwo wyłącznie w odniesieniu do przeniesienia Danych Osobowych Klienta z EOG.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają od stron wyboru pomiędzy opcjonalnymi klauzulami i wprowadzeniem informacji, strony dokonały takiego wyboru, jak podano poniżej:
Opcjonalna Klauzula 7 „Klauzula zakotwiczająca” nie będzie przyjęta.
Dla Klauzuli 9 „Użycie podprocesorów”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna autoryzacja: importer danych ma ogólną autoryzację kontrolera na zaangażowanie podprocesora(-ów) z uzgodnionej listy. Importer danych musi konkretnie poinformować kontrolera na piśmie o wszelkich planowanych zmianach na tej liście poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając kontrolerowi wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takiej zmiany przed zaangażowaniem podprocesora(-ów). Importer danych dostarczy eksporterowi danych informacje konieczne do umożliwienia mu skorzystania z prawa do sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podprocesora(-ów).”
Dla Klauzuli 11 (a) „Zadośćuczynienie”, strony nie przyjmują Opcji.
Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że takie prawo zezwala na prawa osób trzecich. Strony zgadzają się, że tym prawem będzie prawo Niderlandów.”
Dla Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2 Strony zgadzają się, że Standardowe Klauzule Umowne dotyczące relacji kontroler-procesor Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta przenoszonych za pośrednictwem Usług z Zjednoczonego Królestwa, bezpośrednio lub przez dalszy transfer, do jednostki MessageBird zlokalizowanej w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez właściwy organ regulacyjny Zjednoczonego Królestwa lub ciało rządowe Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 MessageBird będzie traktowane jako importer danych, a Ty będziesz traktowany jako eksporter danych zgodnie ze Standardowymi Klauzulami Umownymi Zjednoczonego Królestwa dotyczące relacji kontroler-procesor. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie Standardowych Klauzul Umownych Zjednoczonego Królestwa dotyczących relacji kontroler-procesor, które będą uznane za włączone do tego DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do Standardowych Klauzul Umownych Zjednoczonego Królestwa są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi Zjednoczonego Królestwa dotyczące relacji kontroler-procesor, Standardowe Klauzule Umowne Zjednoczonego Królestwa dotyczące relacji kontroler-procesor będą miały pierwszeństwo wyłącznie w odniesieniu do transferu Danych Osobowych Klienta z Zjednoczonego Królestwa.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego wyłącznego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie udostępnimy ci podsumowanie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytu oraz niniejszą DPA. Takie raporty z audytu, jak również wszelkie zawarte w nich wnioski lub ustalenia, są naszą Informacją Poufną.
10.2 Żądania informacji od klienta. Udostępnimy ci wszystkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej DPA. Udostępnimy pisemne odpowiedzi na uzasadnione żądania informacji złożone przez ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są uzasadnione pod względem zakresu i niezbędne do potwierdzenia zgodności z niniejszą DPA, pod warunkiem, że ty (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z dokumentacji, raportów z audytu i innych informacji dostarczonych lub upewnisz się, że zostały one upublicznione przez nas, oraz (ii) nie będziesz korzystać z tego prawa częściej niż raz w roku, chyba że naruszenie ochrony danych osobowych lub istotna zmiana w naszych czynnościach przetwarzania związanych z Usługami wymaga wykonania dodatkowego kwestionariusza. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas tobie daje ci uzasadnione powody do podejrzeń, że naruszamy nasze obowiązki wynikające z niniejszej DPA, związane z danymi osobowymi klienta dostarczonymi przez ciebie, umożliwimy niezależnemu i wykwalifikowanemu audytorowi strony trzeciej wyznaczonemu przez ciebie i zatwierdzonemu przez nas przeprowadzenie audytu odpowiednich czynności przetwarzania danych osobowych, pod warunkiem spełnienia następujących wymagań:
a. Powiadomisz nas z co najmniej sześćdziesięciodniowym (60) wyprzedzeniem o zamiarze przeprowadzenia audytu;
b. Audytor zgodzi się na standardowe zobowiązania do zachowania poufności z nami;
c. Ty i audytor podejmiecie środki mające na celu zminimalizowanie zakłóceń w naszych operacjach biznesowych;
d. Audyt zostanie przeprowadzony w regularnych godzinach pracy;
e. Nie będziemy zobowiązani do udostępniania danych klientów innych klientów ani systemów niezwiązanych ze świadczeniem Usług; oraz
f. Poniesiesz wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Po rozwiązaniu lub wygaśnięciu Umowy, my (według twojego wyboru) usuniemy lub zwrócimy ci wszystkie Dane Osobowe Klienta (w tym kopie) znajdujące się w naszym posiadaniu lub pod naszą kontrolą, z zastrzeżeniem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim prawo wymaga od nas przechowania części lub całości Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta zarchiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte po upłynięciu wymaganego okresu przechowywania.
12. Komunikacja i prawa partnerskiego klienta
Wejście w życie tej DPA w imieniu i na rzecz Podmiotu Powiązanego Klienta, jak określono w Sekcji 1.2, stanowi odrębną DPA między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem następujących punktów:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację wszelkiej komunikacji z nami w ramach tej DPA i jest uprawniony do dokonywania i odbierania wszelkiej komunikacji w związku z tą DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa Podmiotów Powiązanych Klienta. W przypadku przystąpienia Podmiotu Powiązanego Klienta do DPA z nami, w zakresie wymaganym przez przepisy o ochronie danych, jest on uprawniony do wykonywania praw i dochodzenia środków prawnych wynikających z tej DPA, z zastrzeżeniem następujących punktów:
(i) O ile przepisy o ochronie danych nie wymagają, aby Podmiot Powiązany Klienta realizował prawo lub dochodził środka prawnego w ramach tej DPA przeciwko MessageBird bezpośrednio w swoim imieniu, strony uzgadniają, że (i) wyłącznie Klient będący stroną umowy będzie realizował takie prawo lub dochodził takiego środka prawnego w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną umowy będzie wykonywał takie prawa w ramach tej DPA nie oddzielnie dla każdego Podmiotu Powiązanego Klienta indywidualnie, lecz w sposób zbiorowy w imieniu swoim i wszystkich swoich Podmiotów Powiązanych Klienta.
(ii) Strony uzgadniają, że Klient będący stroną umowy, gdy audyt na miejscu procedur związanych z ochroną danych osobowych Klienta jest przeprowadzany w jego imieniu, jak określono w sekcji 10.3 tej DPA, podejmie wszelkie rozsądne środki w celu ograniczenia jakiegokolwiek wpływu na nas poprzez połączenie, w możliwie największym zakresie, kilku zapytań audytowych przeprowadzanych w swoim imieniu oraz wszystkich swoich Podmiotów Powiązanych Klienta w jeden pojedynczy audyt.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną umowy.
13. Kalifornijska Ustawa o Ochronie Prywatności Konsumentów
Składamy następujące dodatkowe zobowiązania wobec Ciebie w odniesieniu do przetwarzania Danych Osobowych Klienta w ramach CCPA.
13.1 Nasze Zobowiązania. Będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klienta podlegające CCPA („CCPA Personal Data”) zgodnie z postanowieniami CCPA. W odniesieniu do CCPA Personal Data, jesteśmy dostawcą usług zgodnie z CCPA. Nie będziemy (a) sprzedawać CCPA Personal Data; (b) zatrzymywać, używać ani ujawniać żadnych CCPA Personal Data w innym celu niż określony cel świadczenia Usług, w tym zatrzymywania, używania lub ujawniania CCPA Personal Data w celach komercyjnych innych niż świadczenie Usług; lub (c) zatrzymywać, używać ani ujawniać CCPA Personal Data poza bezpośrednią relacją biznesową z Tobą. Przetwarzanie CCPA Personal Data autoryzowane Twoimi instrukcjami w Warunkach i tym DPA jest integralną częścią świadczenia przez nas Usług. Przyznajesz i zgadzasz się, że nasz dostęp do Danych Klienta nie stanowi części wynagrodzenia wymienianego w ramach Umowy. W zakresie, w jakim jakiekolwiek dane użycia są uznawane za CCPA Personal Data, jesteśmy odpowiedzialnym za te dane i będziemy je przetwarzać zgodnie z naszą Polityką Prywatności. Terminy „przedsiębiorstwo”, „cel komercyjny”, „dostawca usług” i „sprzedawać” użyte w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. Obie strony potwierdzają, że rozumieją i będą przestrzegać zobowiązań i ograniczeń określonych w tym DPA i Umowie, jak wymagane na mocy CCPA.
13.2 Zobowiązania Klienta. Oświadczasz i zapewniasz, że powiadomiłeś Użytkownika końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z warunkami i postanowieniami przewidzianymi w Sekcji 1798.140(t)(2)(C)(i) CCPA. Jesteś odpowiedzialny za zgodność z wymogami CCPA, które dotyczą Ciebie jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Sekcja 13 Warunków będzie miała zastosowanie do wszelkich sporów wynikających z tej DPA lub z nią związanych, chyba że wymaga tego inaczej ustawodawstwo dotyczące ochrony danych.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, niniejszy Załącznik 1 będzie służyć jako załącznik I do standardowych klauzul umownych EOG.
Załącznik I, Część A. Lista stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres wymieniony na koncie Klienta lub adres e-mail właściciela konta Klienta, lub na adres(y) e-mail, pod które Klient wybiera odbieranie powiadomień w ramach Umowy.
Rola eksportera danych: Rola eksportera danych jest określona w sekcji 4 DPA.
Podpis i data: Jeśli i kiedy ma to zastosowanie, eksportera danych uznaje się za podpisanego w standardowych klauzulach umownych zawartych tu z datą wejścia w życie DPA.
Importer danych: MessageBird B.V.
Dane kontaktowe importera danych: Trompenburgstraat 2-C, 1079TX, Amsterdam, Holandia, Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeśli i kiedy ma to zastosowanie, importer danych uznaje się za podpisanego w standardowych klauzulach umownych zawartych tu z datą wejścia w życie DPA.
Załącznik I, Część B. Opis transferu
1. Kategorie podmiotów danych, których dane osobowe są przekazywane: Użytkownicy. Osoby kontaktowe Klienta (osoby fizyczne) lub pracownicy, kontrahenci lub tymczasowi pracownicy (obecni, przyszli, byli) korzystający z Usług przez konto Klienta („Użytkownicy”);Końcowi Użytkownicy. Każda osoba (i) której dane kontaktowe są uwzględnione na liście kontaktów Klienta; (ii) której informacje są przechowywane lub gromadzone za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikaty lub w inny sposób angażuje się lub komunikuje się za pomocą Usług (razem, „Końcowi Użytkownicy”). Ty jako Klient samodzielnie decydujesz o kategoriach podmiotów danych uwzględnionych w komunikacji wysyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie przekazywanych danych osobowych: Dane osobowe klienta zawarte w treściach komunikacyjnych, danych ruchu, danych Użytkownika Końcowego oraz danych o użytkowaniu klienta. Treści komunikacyjne, które mogą zawierać dane osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacyjnej, jaką określisz jako Klient. Dane ruchu, które mogą zawierać dane osobowe klienta dotyczące trasy, długości lub czasu trwania komunikacji, takiej jak rozmowa telefoniczna, SMS lub e-mail, niezależnie od tego, czy dotyczy osoby fizycznej, czy firmy. Dane Użytkownika Końcowego, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału. Dane o użytkowaniu klienta mogą zawierać dane, które mogą być powiązane z tobą, jako osobą fizyczną uwzględnioną w danych statystycznych i informacjach związanych z twoim kontem i aktywnościami w ramach usług, sprawozdania dotyczące wglądu i analiz dotyczących przesłanej komunikacji oraz wsparcia klienta.
3. Dane wrażliwe przekazywane (jeśli dotyczy) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z tym ryzyko, takie jak na przykład ścisłe ograniczenia celowe, ograniczenia dostępu (w tym dostęp tylko dla personelu przeszkolonego specjalistycznie), prowadzenie rejestru dostępu do danych, ograniczenia dla dalszych transferów lub dodatkowe środki bezpieczeństwa.
(a) Treści komunikacyjne. Wrażliwe dane mogą być przetwarzane okresowo za pośrednictwem Usług, gdzie Ty lub Twoi Końcowi Użytkownicy zdecydujecie się uwzględnić dane wrażliwe w komunikacji przesyłanej za pośrednictwem Usług. Ty jesteś odpowiedzialny za zapewnienie, że odpowiednie zabezpieczenia są wprowadzone przed przesłaniem lub przetwarzaniem, lub przed zleceniem Twoim Końcowym Użytkownikom przesyłania lub przetwarzania jakichkolwiek danych wrażliwych za pośrednictwem Usług, zgodnie z sekcją 3.2 Umowy.
(b) Dane ruchu, dane Użytkownika Końcowego i dane o użytkowaniu klienta. W danych ruchu, danych Użytkownika Końcowego ani w danych o użytkowaniu klienta nie ma zawartych danych wrażliwych.
4. Częstotliwość transferu (np. czy dane są przekazywane jednorazowo czy ciągle): Dane osobowe klienta są przekazywane na bieżąco przez cały czas trwania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać dane osobowe klienta w zakresie niezbędnym do świadczenia Usług zgodnie z Umową. Nie sprzedajemy żadnych danych osobowych, w tym danych osobowych klienta i nie udostępniamy danych osobowych stronom trzecim za wynagrodzeniem ani dla celów biznesowych tych stron trzecich.
6. Cel (cele) transferu danych i dalszego przetwarzania: Będziemy przetwarzać dane osobowe klienta jako przetwarzający dane zgodnie z instrukcjami klienta zawartymi w niniejszej DPA, chyba że przetwarzanie jest niezbędne do zgodności z prawnym obowiązkiem, który nas dotyczy, w takim przypadku będziemy traktowani jako administrator danych.
Treści komunikacyjne, dane ruchu, dane Użytkownika Końcowego i dane o użytkowaniu klienta. Dane osobowe zawarte w treściach komunikacyjnych, danych ruchu, danych Użytkownika Końcowego i danych o użytkowaniu klienta będą podlegać następującym podstawowym działaniom przetwarzania:
(a) Treści komunikacyjne. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programowania aplikacji (API) lub za pośrednictwem Dashboardu, Klientowi, w tym przesyłanie do lub z aplikacji oprogramowania Klienta do lub z naszej platformy komunikacyjnej oraz innych sieci komunikacyjnych.
(b) Dane ruchu. Dane ruchu są przetwarzane w celu przesyłu komunikacji w sieci elektronicznej lub za fakturowanie ich związanych z tą komunikacją. Może to obejmować dane osobowe klienta dotyczące trasy, długości lub czasu trwania komunikacji, takiej jak rozmowa telefoniczna, SMS lub e-mail, niezależnie od tego, czy dotyczy osoby fizycznej, czy firmy.
(c) Dane Użytkownika Końcowego. Dane osobowe Użytkowników Końcowych są wymagane do świadczenia Usług i będą przetwarzane wyłącznie w celu transmisji komunikacji, wsparcia klienta oraz zapewnienia zgodności z obowiązkami prawnymi MessageBird.
(d) Dane o użytkowaniu klienta. Dane osobowe zawarte w danych o użytkowaniu klienta będą podlegały działaniom przetwarzania związanym ze świadczeniem Usług zgodnie z Umową, a celem jest dostarczenie Klientowi informacji związanych z Usługą oraz analitycznych raportów dotyczących przesłanej komunikacji, wsparcia klienta oraz ciągłego doskonalenia Usług.
7. Okres, na który dane osobowe będą przechowywane, lub, jeśli to niemożliwe, kryteria stosowane do ustalenia tego okresu:
(a) Treści komunikacyjne i dane ruchu. Dla treści klienta i danych ruchu zawartych w usługach SMS i Voice obowiązuje okres przechowywania sześciu miesięcy;
Dla usług 24sessions treści klienta i dane ruchu są przechowywane przez minimum 30 dni do czasu trwania uzgodnionego z Tobą;
Dla wszystkich innych usług treści klienta i dane ruchu są przechowywane przez okres świadczenia Usług, z wyjątkiem przypadków, gdy usuniesz treści klienta lub dane ruchu za pomocą technicznych i organizacyjnych środków dostarczonych Ci za pośrednictwem Usług.
(b) Dane Użytkownika Końcowego. Dane Użytkownika Końcowego będą przetwarzane przez okres określony przez Klienta, gdy dane Użytkownika Końcowego są uwzględnione w Twoich profilach kontaktowych, domyślny okres przechowywania to czas trwania Usług, z zastrzeżeniem sekcji 6(c) niniejszego Załącznika I, Część B.
(c) Dane o użytkowaniu klienta. Po ustaniu Umowy możemy przechowywać, używać i ujawniać Dane o użytkowaniu Klienta do celów określonych w sekcji 6(d) niniejszego Załącznika I, Część B, z zastrzeżeniem obowiązków poufności określonych w Umowie. Zanonimizujemy lub usuniemy dane o użytkowaniu klienta, gdy nie będziemy ich już potrzebować do celów określonych w sekcji 6(d) niniejszego Załącznika I, Część B.
8. Dla transferu do (pod)procesorów, należy również określić przedmiot, charakter i czas trwania przetwarzania: Dla transferu do Podprocesorów, przedmiot i charakter przetwarzania są określone na https://www.bird.com/legal/privacy#processorList a czas trwania wynosi czas obowiązywania Umowy.
Załącznik I, Część C. Kompetentny organ nadzorczy
Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie kompetentnym organem nadzorczym.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Jeżeli ma to zastosowanie, niniejszy Załącznik II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej przedstawiono więcej informacji na temat naszych środków technicznych i organizacyjnych dotyczących bezpieczeństwa, opisanych poniżej.
Techniczne i organizacyjne środki bezpieczeństwa:
Środki pseudonimizacji i ochrony Danych Osobowych podczas przechowywania i przesyłania: Wszystkie Dane Osobowe są szyfrowane podczas przesyłania i w stanie spoczynku, a na tyle, na ile jest to istotne z punktu widzenia bezpieczeństwa, traktowane jakby były sklasyfikowane jako dane wrażliwe. Informacje zawsze są przesyłane za pomocą TLS z aktualnymi metodologiami szyfrowania jako domyślnie.
Środki zapewnienia ciągłej poufności, integralności oraz dostępności i odporności systemów i usług przetwarzania: zawieramy umowy, które zawierają postanowienia o poufności z naszymi pracownikami, kontrahentami, dostawcami i Podprocesorami. Nasza polityka ciągłości działania biznesu polega na przygotowaniu naszej działalności i usług na wypadek przedłużonych awarii spowodowanych czynnikami pozostającymi poza naszą kontrolą i na przywróceniu usług w jak najszerszym zakresie w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów, dlatego mamy bardzo małą tolerancję na zakłócenia w usługach. Nasze ramy czasowe dotyczące odzyskiwania zostały zaprojektowane tak, abyśmy mogli spełnić nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji organizacji, pracowników, partnerów, klientów oraz (upoważnionych) systemów informatycznych, a także minimalizacja ryzyka wystąpienia szkód poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami w bezpieczeństwie. Nasz Zespół Prawny, Inspektor Ochrony Danych oraz Zespół ds. Bezpieczeństwa i Zgodności dbają o to, aby odpowiednie przepisy i standardy były uwzględniane w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkownika: Stosujemy zasady „potrzeby wiedzy” i „najmniejszych uprawnień”. Promujemy korzystanie z opartej na rolach kontroli dostępu. Przydzielanie i odbieranie uprawnień jest nadzorowane przez zespół ds. bezpieczeństwa, z Single-Sign-On i 2FA jako domyślnymi. Właściciele zostali zdefiniowani dla każdego zasobu informacyjnego, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie przeglądany. Kiedy mamy do czynienia z wrażliwymi informacjami lub podejmujemy krytyczne działania, stosujemy zasadę czterech oczu.
Środki zapewnienia rejestrowania zdarzeń: Dzienniki audytów są centralnie przechowywane i monitorowane regularnie pod kątem zdarzeń związanych z bezpieczeństwem i są zabezpieczane, aby uniknąć ryzyka manipulacji. Polityka Zarządzania Incydentami wymusza plan reakcji na incydenty i jego procedury. Te wytyczne są przestrzegane, jeśli wystąpi jakikolwiek rodzaj incydentu technicznego lub bezpieczeństwa. W przypadku incydentów bezpieczeństwa, będą one regularnie przeglądane przez Komitet Sterujący ds. Bezpieczeństwa, w którego skład wchodzą starsi interesariusze z całej firmy.
Środki zapewnienia konfiguracji systemów, w tym domyślnej konfiguracji: Przestrzegamy spójnego procesu zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby bardziej szczegółowo wyjaśnić, wszystkie zapytania o zmiany (RFC) muszą zostać zatwierdzone przez określoną stronę i wykonane zgodnie z formalnym procesem zarządzania zmianami. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wydawane w sposób kontrolowany; oraz że status każdej proponowanej zmiany jest monitorowany. Podstawy konfiguracji są przestrzegane, aby bezpiecznie konfigurować systemy zgodnie z najlepszymi praktykami. Ponadto w dziale Inżynierii używana jest radar technologii, aby określić, które technologie (języki, narzędzia platformy, bazy danych i narzędzia do zarządzania danymi) można wdrożyć lub należy unikać podczas rozwoju.
Środek zapewnienia bezpieczeństwa fizycznego: Aktywnie promujemy politykę „Pracuj skądkolwiek”, dzięki czemu nasi pracownicy mogą pracować z dowolnego miejsca. Jednak nadal mamy nasze biurowe pomieszczenia. Na naszych terenach nie ma bezpiecznych stref/centrum danych, ponieważ jesteśmy całkowicie firmą opartą na chmurze. Nasze piętra biurowe są chronione przez fizyczne kontrole dostępu, CCTV i ochronę na miejscu.
Środki zapewnienia wewnętrznego zarządzania IT i bezpieczeństwem IT oraz jego zarządzanie: Utrzymujemy program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne środki zaprojektowane w celu ochrony Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji jest zorganizowany w sposób systematyczny i dobrze zorganizowany. Ponadto obowiązują wymagania prawne i regulacyjne w celu zapewnienia poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów i klientów. Wszystkie te informacje są tłumaczone na nasze zasady, procedury i wytyczne dotyczące bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie działań strategicznych na działania operacyjne na rzecz naszego bezpieczeństwa, oraz nasze ciągłe utrzymywanie zgodności regulacyjnej. Wszyscy pracownicy są odpowiedzialni za ochronę zasobów firmy. Wszyscy nasi pracownicy są weryfikowani pod względem umiejętności, doświadczenia i uczciwości. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie wdrażania oraz poprzez regularne szkolenia zespołowe i inne prezentacje całofirmowe o znaczeniu ochrony danych i zgodności z bezpieczeństwem. MessageBird posiada certyfikat ISO/IEC 27001:2013, światowo uznany standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingowi są zgodni z ISO/IEC 27001:2013.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i całkowicie przejrzyści wobec naszych klientów.
Jesteśmy członkiem stowarzyszonym Grupy Specjalnej Stowarzyszenia Operatorów Mobilnych (GSMA). GSMA reprezentuje interesy operatorów mobilnych na całym świecie. Jesteśmy zawsze na bieżąco ze wszystkimi obowiązującymi przepisami i regulacjami, w tym z Ogólnym rozporządzeniem o ochronie danych.
Środki dotyczące certyfikacji/zapewnienia procesów i produktów: Podlegamy rygorystycznym audytom nadzoru oraz certyfikacji w ramach naszej zgodności z ISO/IEC 27001:2013 oraz regularnie przeprowadzamy testy podatności aplikacji i penetracyjne. MessageBird przyjmuje zjednoczone podejście do zarządzania lukami i podatnościami, aby zapewnić utrzymanie naszych standardowych terminów SLA, niezależnie od tego, czy luki istnieją w naszej infrastrukturze, platformach operacyjnych, czy kodzie źródłowym.
Środki zapewnienia bezpieczeństwa aplikacji: Zapewniamy bezpieczeństwo naszych aplikacji podczas etapu projektowania i rozwoju w oparciu o MessageBird Secure Code Guidelines.
Odpowiednie poprawki są wprowadzane przed wydaniem.
Zmiany w kodzie są przeglądane przez wykwalifikowane osoby (znające przegląd kodu i bezpieczny rozwój) inne niż pierwotni deweloperzy.
Aplikacje będą poddawane rygorystycznym testom bezpieczeństwa aplikacji w celu identyfikacji nowych zagrożeń i luk co najmniej raz do roku (zgodnie z normami branżowymi i najlepszymi praktykami).
Wszystkie zmiany kodu dla aplikacji, które są wprowadzane do środowisk produkcyjnych, są przeglądane za pomocą procesów manualnych i/lub automatycznych.
Testy penetracyjne są przeprowadzane corocznie oraz indywidualnie dla nowych produktów/funkcji. Automatyczne narzędzia do analizy kodu źródłowego są używane do wykrywania defektów bezpieczeństwa w kodzie przed wdrożeniem, w zależności od języka.
Środki dla ujawniania podatności: Doceniamy badaczy bezpieczeństwa, którzy znaleźli podatności na naszej platformie, aby skontaktowali się z nami i przesłali swoje odkrycia na security@bird.com. Mamy dedykowany zespół ds. bezpieczeństwa, który podejmuje działania i wysyła zaproszenia do naszego programu nagród za zgłoszenia błędów w celu zbadania i naprawienia w razie potrzeby.
Środki zapewniające odpowiedzialność: Wdrożamy polityki ochrony informacji i danych zgodnie z obowiązującymi przepisami i publikujemy przegląd informacji istotnych dla naszego ISMS (link). Wyznaczyliśmy specjalnego VP ds. zgodności i bezpieczeństwa informacji oraz Inspektora Ochrony Danych i prowadzimy dokumentację naszych działań przetwarzania, w tym rejestrowanie i zgłaszanie incydentów bezpieczeństwa obejmujących Dane Osobowe, tam gdzie ma to zastosowanie.
