Umowa o przetwarzaniu danych, w tym załączniki (zwane dalej „DPA”), jest częścią Umowy między Klientem a podmiotem kontraktującym wymienionym w Sekcji 15 (Podmiot kontraktujący) ogólnych Warunków handlowych, chyba że w formularzu zamówienia stwierdzono inaczej. W tej DPA terminy „ty”, „twój”, lub „Klient” odnoszą się do Ciebie (zgodnie z Sekcją 1.2 poniżej), a terminy „my”, „nas,” „nasze” lub „MessageBird” odnoszą się do nas.
1. Zakres, Podmioty Klienta i Czas trwania
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako procesora.
1.2 Powiązania Klienta. Klient zawiera tę DPA w imieniu własnym oraz, w zakresie wymaganym przez Ustawodawstwo Ochrony Danych, w imieniu i na rzecz swoich Powiązań (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim udostępniasz takie Powiązania dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których takie Powiązania kwalifikują się jako administrator danych („Powiązania Klienta”). Na potrzeby niniejszej DPA jedynie, i z wyjątkiem wskazania inaczej, terminy „Klient” i „Ty” będą obejmowały Klienta i Powiązania.
1.3 Okres. Niniejsza DPA pozostanie w mocy tak długo, jak MessageBird przetwarza Dane Osobowe Klienta objęte niniejszą DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
Pojęcia z wielką literą używane, ale nie zdefiniowane w tej DPA, będą miały znaczenie nadane im w Umowie. Następujące zdefiniowane terminy są używane w tej DPA:
2.1 “CCPA” oznacza Ustawę o Prywatności Konsumentów w Kalifornii z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, z czasem zmieniane.
2.2 “Dane Klienta” oznaczają wszelkie dane i inne informacje lub treści przesłane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy oraz przetwarzane lub przechowywane przez Usługi.
2.3 “Dane Osobowe Klienta” oznaczają dane osobowe zawarte w Danych Klienta. Dane konta nie są Danymi Osobowymi Klienta. Dane konta to wszelkie dane dostarczone przez Ciebie lub dla Ciebie do MessageBird w związku z zawarciem i administrowaniem Umowy oraz Twoim kontem, w tym między innymi informacje kontaktowe, szczegóły rozliczeniowe Klienta i korespondencję dotyczącą zawarcia i administrowania Umową.
2.4 “Przepisy dotyczące ochrony danych” oznaczają wszelkie przepisy i regulacje każdego właściwego terytorium dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym, gdzie ma to zastosowanie, RODO, CCPA oraz wszelkie inne przepisy i regulacje dotyczące prywatności, marketingu bezpośredniego lub ochrony danych.
2.5 “EEA” oznacza, dla celów tej DPA, Europejski Obszar Gospodarczy i Szwajcarię.
2.6 “Standardowe Klauzule Umowne Kontrolera do Przetwarzającego w UE” oznaczają moduły „Kontroler do Przetwarzającego” (Moduł 2) Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z RODO oraz Wdrażającą Decyzję Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021.
2.7 “Standardowe Klauzule Umowne Przetwarzającego do Podprzetwarzającego w UE” oznaczają moduły „Przetwarzający do Przetwarzającego” (Moduł 3) Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z RODO oraz Wdrażającą Decyzję Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021.
2.8 “RODO” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych oraz swobodnego przepływu tych danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o Ochronie Danych z 2018 roku.
2.9 “LGPD” oznacza Ustawę o Ochronie Danych Personalsnych z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, z czasem zmieniane.
2.10 “Dane Osobowe” oznaczają wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub identyfikowalnej osoby fizycznej.
2.11 “PDPA” oznacza Ustawę o Ochronie Danych Osobowych z 2012 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, z czasem zmieniane.
2.12 “Oświadczenie o Prywatności” oznacza aktualne Oświadczenie o Prywatności dla Usług, określone w Oświadczeniu o Prywatności Bird.
2.13 “Naruszenie Danych Osobowych” oznacza jakiekolwiek przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie, dostęp do Danych Osobowych Klienta.
2.14 “Usługi” oznaczają wszelkie produkty i usługi dostarczane przez nas lub naszych partnerów, które są (a) zamówione przez Ciebie na podstawie jakiejkolwiek Formy Zamówienia; lub (b) wykorzystywane przez Ciebie.
2.15 “Standardowe Klauzule Umowne” oznaczają albo (i) Standardowe Klauzule Umowne Kontrolera do Przetwarzającego w UE; albo (ii) Standardowe Klauzule Umowne Przetwarzającego do Podprzetwarzającego w UE, indywidualnie lub łącznie, w zależności od zastosowania.
2.16 “Podprzetwarzający” oznacza podmiot, który przetwarza Dane Osobowe Klienta w imieniu podmiotu działającego jako przetwarzający dane lub Podprzetwarzający.
2.17 “Standardowe Klauzule Umowne Kontrolera do Przetwarzającego w Zjednoczonym Królestwie” oznacza standardowe klauzule umowne dotyczące transferu Danych Osobowych do przetwarzających z siedzibą w krajach trzecich w formie określonej przez decyzję Komisji Europejskiej 2010/87/UE, która może być zmieniana, modyfikowana lub zastępowana przez Komisję Europejską.
Terminy takie jak “przetwarzanie”, “administrator danych”, “przetwarzający dane”, “osoba, której dane dotyczą”, itd. będą miały znaczenie przypisane im na mocy RODO. Definicja “administrator danych” obejmuje “biznes”, “kontroler” i “organizację”; “przetwarzający dane” obejmuje “dostawcę usług”, “przetwarzającego” i “pośrednika danych”; “osoba, której dane dotyczą” obejmuje “konsumenta” i “indywiduum”; a “Dane Osobowe” obejmują “informacje osobowe”, w każdym przypadku zgodnie z definicjami RODO, LGPD lub PDPA.
3. Przetwarzanie danych osobowych Klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym transmisji komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawy, zapewnienia wsparcia oraz rozwijania i wdrażania ulepszeń i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami do nas jako procesora danych określonymi w punkcie 3.2 tej DPA oraz (ii) w naszych uzasadnionych celach biznesowych, jak określono w punkcie 3.4 tej DPA jako administratora danych. Nie sprzedajemy żadnych Danych Osobowych, w tym Danych Osobowych Klienta, ani nie dzielimy się Danymi Osobowymi z osobami trzecimi w zamian za wynagrodzenie lub na własne interesy biznesowe tych osób trzecich.
3.2 Instrukcje. Umowa i ta DPA stanowią Twoje pełne instrukcje dla nas jako procesora danych w chwili podpisania tej DPA. Będziemy przestrzegać innych uzasadnionych udokumentowanych instrukcji, pod warunkiem że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły przetwarzania. Załącznik I, Część B. (Opis transferu) tej DPA określa dalej charakter i cel przetwarzania, działania przetwarzające, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie podmiotów danych przez nas jako procesora danych lub Podprzetwórcę.
3.4 Uzasadnione cele biznesowe. Przyjmujesz do wiadomości, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: fakturowania, zarządzania kontem, raportowania finansowego i wewnętrznego, przeciwdziałania i zapobiegania zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą wpłynąć na nas lub nasze usługi, modelowania biznesowego (np. prognozowanie, planowanie pojemności i dochodów, strategia produktu), przeciwdziałania oszustwom, spamowi oraz zapobiegania i wykrywania nadużyć, poprawy produktu oraz w celu wypełnienia naszych obowiązków prawnych.
4. Obowiązki Klienta
4.1 Legalność. Gdy działasz jako administrator danych osobowych Klienta, gwarantujesz, że wszystkie działania przetwarzania są zgodne z prawem, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inne odpowiednie podstawy prawne są dostępne, aby umożliwić zgodny z prawem transfer danych osobowych Klienta. Jeśli jesteś przetwarzającym dane (w którym to przypadku my będziemy działać jako podprzetwarzający), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w niniejszym rozdziale 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz przepisów o ochronie danych osobowych stosujących się do twojego korzystania z Usług i do własnego przetwarzania danych osobowych Klienta, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki zapewniane przez Usługi spełniają twoje wymagania oraz (c) wdrożenie i utrzymanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, ale nie ograniczając się do haseł, urządzeń używanych z Usługami oraz Aplikacji Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Biorąc pod uwagę stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko różnorodnych prawdopodobieństw i powagi dla praw i wolności osób fizycznych, wdrożymy i utrzymamy odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Dane Osobowe Klienta przed Naruszeniami Danych Osobowych oraz zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz dokonywanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i obowiązki prawne wynikające z Ustawodawstwa dotyczącego Ochrony Danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa podlegają postępowi technicznemu oraz rozwojowi, i że możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, o ile takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrola dostępu. Stosujemy zasady „potrzeby wiedzy” oraz minimalnych uprawnień.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub strona, którą upoważniliśmy do przetwarzania Danych Osobowych Klienta (w tym nasz personel, agenci i podprocesory) są poinformowani o poufnym charakterze takich Danych Osobowych Klienta i będą zobowiązani do zachowania odpowiedniej poufności (czy to w ramach umowy, czy ciążącego na nich obowiązku) która przetrwa zakończenie ich zaangażowania.
5.5 Reakcja i powiadomienie o Naruszeniu Danych Osobowych. Po uzyskaniu informacji o Naruszeniu Danych Osobowych, niezwłocznie (i) powiadomimy Cię, (ii) zbadamy Naruszenie Danych Osobowych, (iii) dostarczymy aktualne informacje dotyczące Naruszenia Danych Osobowych, gdy tylko staną się one znane lub gdy są racjonalnie przez Ciebie żądane, oraz (iv) podejmiemy rozsądne kroki handlowe, aby złagodzić skutki i zapobiec powtórzeniu się Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w ochronie danych. Zapewnimy Ci rozsądnie żądaną pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym powiadomienie o naruszeniu danych osobowych, ocenę odpowiedniego poziomu zabezpieczenia przetwarzania oraz pomoc w przeprowadzeniu odpowiedniej oceny skutków dla ochrony danych.
6.2 Pomoc w requests data subject. Zapewnimy Ci rozsądne wsparcie w celu umożliwienia Ci wypełnienia obowiązków wobec podmiotów danych, które wykonują swoje prawa na podstawie przepisów o ochronie danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, jako administrator danych, odpowiadasz za przetwarzanie wszelkich zapytań lub skarg od podmiotów danych w odniesieniu do Danych Osobowych Klienta podmiotu danych.
7. Ujawnienie i prośby o ujawnienie
7.1 Ograniczenia dotyczące ujawniania i dostępu. Nie będziemy udostępniać ani ujawniać Danych Osobowych Klienta, z wyjątkiem (i) sytuacji, gdy zostaniemy przez Ciebie na to skierowani, (ii) jak określono w Umowie i w tej DPA, lub (iii) w przypadkach wymaganych prawem.
7.2 Wnioski o ujawnienie. Powiadomimy Cię tak szybko, jak to możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego dotyczące ujawnienia Danych Osobowych Klienta, chyba że taki komunikat jest zabroniony przez prawo. Będziemy obsługiwać wnioski o ujawnienie zgodnie z naszą Polityką Ujawnienia Wniosków.
8. Podmioty przetwarzające
8.1 Aktualni Podprocesorzy. Zgadzasz się na zaangażowanie Podprocesorów wymienionych pod nagłówkiem „Dane osobowe docelowego użytkownika” w Liście Podprocesorów Bird, która zawiera również procedurę subskrybowania powiadomień o zmianach w naszym korzystaniu z Podprocesorów. Jeśli subskrybujesz takie powiadomienia, biorąc pod uwagę Sekcję 8.3 tego DPA, przekażemy szczegóły wszelkich zmian w Podprocesorach tak szybko, jak to będzie rozsądnie możliwe.
8.2 Użycie Podprocesorów. Na mocy tego DPA udzielasz nam ogólnego pisemnego zezwolenia na zaangażowanie Podprocesorów do przetwarzania danych osobowych Klienta, z zastrzeżeniem Sekcji 8.3 tego DPA oraz poniższych wymagań:
a. Ograniczymy dostęp Podprocesorów do danych osobowych Klienta do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podprocesorem;
b. Uzgodnimy zobowiązania dotyczące ochrony danych z Podprocesorem, które będą zasadniczo takie same jak zobowiązania wynikające z tego DPA; oraz
c. Pozostajemy odpowiedzialni wobec Ciebie na mocy tego DPA za wykonanie zobowiązań dotyczących ochrony danych przez Podprocesora.
8.3 Powiadomienie o zmianach w Podprocesorach i prawo do sprzeciwu. Przed zastąpieniem lub zaangażowaniem nowych Podprocesorów („Zmiana Podprocesora”), damy Ci możliwość sprzeciwu wobec Zmiany Podprocesora.
Możesz sprzeciwić się Zmianie Podprocesora pod warunkiem, że (i) sprzeciw zostanie złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podprocesora oraz (ii) sprzeciw oparty jest na i wyraźnie tłumaczy rozsądne podstawy dotyczące ochrony danych osobowych Klienta. Gdy sprzeciwiasz się proponowanej Zmianie Podprocesora, będziemy współpracować z Tobą w dobrej wierze, aby wprowadzić komercyjnie rozsądne zmiany w świadczeniu Usług, które unikają korzystania z odpowiedniego Podprocesora. Jeśli takiej zmiany nie można rozsadnie wprowadzić w ciągu trzydziestu (30) dni roboczych od naszego otrzymania powiadomienia o sprzeciwie, lub jeśli zmiana jest komercyjnie nieuzasadniona dla nas, każda ze stron może zakończyć odpowiednie funkcje Usług, które nie mogą być świadczone bez korzystania z odpowiedniego Podprocesora. To prawo do rozwiązania jest twoim wyłącznym środkiem odwoławczym, jeśli sprzeciwiasz się Zmianie Podprocesora.
9. Przekazywanie danych osobowych klientów poza granicami kraju
9.1 Przekazywanie danych osobowych klientów. Możemy przekazywać dane osobowe klientów pod warunkiem, że są wprowadzone wszystkie odpowiednie zabezpieczenia wymagane przez przepisy prawa ochrony danych. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę dodatkowych technicznych, organizacyjnych i prawnych środków, wyegzekwowalne prawa podmiotów danych oraz dostępność skutecznych środków prawnych dla podmiotów danych.
9.2 Standardowe klauzule umowne dla podprocesorów. Chyba że zastosowanie ma decyzja o adekwatności lub alternatywny mechanizm transferu, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z podprocesorami (w tym naszymi podmiotami powiązanymi) znajdującymi się poza EOG, zgodnie z warunkami określonymi w sekcji 9.1 tej DPA.
9.3 Mechanizmy transferu dla przekazywania danych osobowych klientów. O ile korzystanie z usług wymaga transgranicznego mechanizmu transferu danych do legalnego eksportu danych osobowych klientów z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas znajdującego się poza tą jurysdykcją, niniejsza sekcja ma zastosowanie. Jeśli w trakcie świadczenia usług dane osobowe klientów, które podlegają RODO lub innym przepisom prawa dotyczącym ochrony lub prywatności osób stosującym się do tej DPA, są przekazywane do MessageBird znajdującego się w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów prawnych dotyczących ochrony danych, zastosowanie mają poniższe mechanizmy transferu, które mogą być bezpośrednio egzekwowalne przez strony, o ile takie transfery podlegają przepisom prawa ochrony danych:
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do danych osobowych klientów, które są przekazywane za pośrednictwem usług z EOG lub Szwajcarii, bezpośrednio lub poprzez dalszy transfer, do podmiotu MessageBird znajdującego się w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów z Szwajcarii, właściwy organ w Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Kiedy działasz jako administrator danych, a MessageBird jest przetwarzającym dane, zastosowanie będą miały standardowe klauzule umowne dla administratorów danych i przetwarzających dane przy jakimkolwiek takim transferze danych osobowych klientów z EOG. Kiedy działasz jako przetwarzający dane, a MessageBird jest podprocesorem, zastosowanie będą miały standardowe klauzule umowne dla przetwarzających i podprocesorów przy jakimkolwiek takim transferze danych osobowych klientów z EOG.
9.3.1.2 MessageBird będzie uznawany za importera danych, a Ty będziesz uznawany za eksportera danych na mocy standardowych klauzul umownych. Podpisanie przez każdą ze stron tej DPA będzie traktowane jako podpisanie odpowiednich standardowych klauzul umownych, które będą uznawane za włączone do tej DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do standardowych klauzul umownych są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiegoś konfliktu lub niezgodności między tą DPA a standardowymi klauzulami umownymi, standardowe klauzule umowne mają pierwszeństwo wyłącznie w odniesieniu do transferu danych osobowych klientów z EOG.
9.3.1.3 Gdzie standardowe klauzule umowne wymagają od stron wyboru spośród opcjonalnych klauzul i wprowadzenia informacji, strony zrobiły to, jak opisano poniżej:
Opcjonalna klauzula 7 "Klauzula dockingowa" nie zostanie przyjęta.
W przypadku klauzuli 9 "Korzystanie z podprocesorów", strony wybierają następującą opcję: "Opcja 2 Ogólna pisemna zgoda: importer danych ma ogólną zgodę administratora na zaangażowanie podprocesorów z uzgodnionej listy. Importer danych powinien szczególnie poinformować administratora na piśmie o jakichkolwiek zamierzonych zmianach na tej liście poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając tym samym administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed zaangażowaniem podprocesorów. Importer danych powinien dostarczyć eksporterowi danych informacji niezbędnych do umożliwienia eksporterowi danych skorzystania z prawa do sprzeciwu. Importer danych powinien poinformować eksportera danych o zaangażowaniu podprocesorów."
W przypadku klauzuli 11 (a) "Redresja", strony nie przyjmują opcji.
W przypadku klauzuli 17 "Prawo właściwe", strony wybierają następującą opcję: "Opcja 1. Niniejsze klauzule będą regulowane prawem jednego z państw członkowskich UE, pod warunkiem że takie prawo pozwala na prawa beneficjentów osób trzecich. Strony zgadzają się, że będzie to prawo Holandii."
W przypadku klauzuli 18 (b) "Wybór forum i jurysdykcji": "Strony zgadzają się, że będą to sądy w Holandii."
9.3.2 Strony zgadzają się, że Standardowe klauzule umowne dla przetwarzających dane w UK będą miały zastosowanie do danych osobowych klientów, które są przekazywane za pośrednictwem usług z Wielkiej Brytanii, bezpośrednio lub poprzez dalszy transfer, do podmiotu MessageBird znajdującego się w kraju poza Wielką Brytanią, który nie jest uznawany przez właściwy organ regulacyjny lub instytucję rządową Wielkiej Brytanii za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 MessageBird będzie uznawany za importera danych, a Ty będziesz uznawany za eksportera danych na mocy standardowych klauzul umownych dla przetwarzających dane w UK. Podpisanie przez każdą ze stron tej DPA będzie traktowane jako podpisanie standardowych klauzul umownych dla przetwarzających dane w UK, które będą uznawane za włączone do tej DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do standardowych klauzul umownych dla przetwarzających dane w UK są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiegoś konfliktu lub niezgodności między tą DPA a standardowymi klauzulami umownymi dla przetwarzających dane w UK, standardowe klauzule umowne dla przetwarzających dane w UK mają pierwszeństwo wyłącznie w odniesieniu do transferu danych osobowych klientów z Wielkiej Brytanii.
10. Audyt
10.1 Raport audytu. Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego wyłącznie uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemną prośbę dostarczymy Ci podsumowanie raportu audytu („Raport audytu”), abyś mógł zweryfikować nasze zgodność z normami audytu oraz tym DPA. Takie Raporty Audytu, jak również wszelkie wnioski lub ustalenia w nich określone, są naszą Informacją Poufną.
10.2 Prośby o informacje klientów. Udostępnimy Ci wszystkie informacje, które są rozsądnie konieczne do wykazania zgodności z obowiązkami określonymi w tym DPA. Udzielimy pisemnych odpowiedzi na rozsądne prośby o informacje złożone przez Ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są rozsądne w zakresie i konieczne do potwierdzenia zgodności z tym DPA, pod warunkiem, że (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów Audytu i innych informacji udostępnionych lub podanych do wiadomości publicznej przez nas, oraz (ii) nie będziesz korzystał z tego prawa więcej niż raz w roku, chyba że Incydent związany z danymi osobowymi lub istotna zmiana w naszych działaniach przetwarzania w odniesieniu do Usług wymaga, aby przeprowadzono dodatkowy kwestionariusz. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyty klientów. Jeśli Raport Audytu dostarczony przez nas Tobie daje Ci uzasadnione powody, by sądzić, że naruszamy nasze zobowiązania wynikające z tego DPA, związane z Danymi Osobowymi Klienta dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi strony trzeciej powołanemu przez Ciebie i zatwierdzonemu przez nas, na audyt odpowiednich działań przetwarzania Danych Osobowych, pod warunkiem, że spełnione są następujące wymagania:
a. Musisz powiadomić nas z co najmniej sześćdziesięcioma (60) dniami rozsądnego wyprzedzenia przed skorzystaniem z prawa do audytu;
b. Audytor zgadza się na standardowe zobowiązania dotyczące poufności z nami;
c. Ty i audytor podejmujecie działania mające na celu minimalizację zakłóceń w naszych operacjach biznesowych;
d. Audyt zostanie przeprowadzony w regularnych godzinach pracy;
e. Nie jesteśmy zobowiązani do udostępniania dostępu do danych klientów innych klientów lub systemów, które nie są zaangażowane w świadczenie Usług; oraz
f. Ty pokryjesz wszystkie koszty audytu.
11. Usunięcie i zwrot danych osobowych klientów
Po wygaśnięciu umowy lub jej zakończeniu, usuniemy lub zwrócimy Ci wszystkie Dane Osobowe Klienta (w tym kopie), które posiadamy lub nad którymi mamy kontrolę, chyba że wymagania te nie będą miały zastosowania w zakresie, w jakim przepisy prawa wymagają od nas zachowania części lub wszystkich Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta archiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte, gdy upłynie wymagany okres przechowywania.
12. Komunikacja i prawa partnerów klientów
Wejście w tę DPA w imieniu i na rzecz Podmiotu Klienta, jak określono w Sekcji 1.2, stanowi odrębną DPA między nami a tym Podmiotem Klienta, z zastrzeżeniem następujących:
12.1. Komunikacja. Klient, który jest stroną umowy, pozostaje odpowiedzialny za koordynowanie wszelkiej komunikacji z nami na mocy tej DPA i jest uprawniony do dokonywania i odbierania wszelkiej komunikacji związanej z tą DPA w imieniu swoich Podmiotów Klientów.
12.2 Prawa Podmiotów Klientów. W przypadku, gdy Podmiot Klienta stanie się stroną DPA z nami, będzie uprawniony do korzystania z praw i ubiegania się o środki zaradcze na mocy tej DPA, w zakresie wymaganym przez Prawo Ochrony Danych, z zastrzeżeniem następujących:
(i) O ile Prawo Ochrony Danych nie wymaga, aby Podmiot Klienta samodzielnie wykonał prawo lub ubiegał się o środek zaradczy na podstawie tej DPA przeciwko MessageBird, strony zgadzają się, że (i) tylko Klient, który jest stroną umowy, będzie wykonywał wszelkie takie prawa lub ubiegał się o wszelkie takie środki zaradcze w imieniu Podmiotu Klienta, oraz (ii) Klient, który jest stroną umowy, będzie wykonywał wszelkie takie prawa na mocy tej DPA nie oddzielnie dla każdego Podmiotu Klienta, lecz w sposób połączony dla siebie i wszystkich swoich Podmiotów Klientów razem.
(ii) Strony zgadzają się, że Klient, który jest stroną umowy, powinien, gdy przeprowadzana jest audyt na miejscu procedur związanych z ochroną Danych Osobowych Klientów w jego imieniu, jak określono w Sekcji 10.3 tej DPA, podjąć wszelkie rozsądne działania w celu ograniczenia wpływu na nas, łącząc, w miarę rozsądnych możliwości, kilka żądań audytowych przeprowadzonych w jego imieniu oraz wszystkich jego Podmiotów Klientów w jeden audyt.
Na potrzeby jasności, Podmiot Klienta nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów w Kalifornii
Składamy następujące dodatkowe zobowiązania wobec Ciebie w związku z przetwarzaniem Danych Osobowych Klientów w zakresie CCPA.
13.1 Nasze Zobowiązania. Będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów objęte CCPA („Dane Osobowe CCPA”) zgodnie z postanowieniami CCPA. W odniesieniu do Danych Osobowych CCPA jesteśmy dostawcą usług zgodnie z CCPA. Nie będziemy (a) sprzedawać Danych Osobowych CCPA; (b) przechowywać, używać ani ujawniać żadnych Danych Osobowych CCPA w innym celu niż w celu świadczenia Usług, w tym przechowywać, używać lub ujawniać Dane Osobowe CCPA w celu komercyjnym innym niż świadczenie Usług; ani (c) przechowywać, używać ani ujawniać Danych Osobowych CCPA poza naszym bezpośrednim stosunkiem biznesowym z Tobą. Przetwarzanie Danych Osobowych CCPA autoryzowane przez Twoje instrukcje w Warunkach oraz w niniejszym DPA jest integralną częścią naszej usługi Świadczenia Usług. Przyjmujesz do wiadomości i zgadzasz się, że nasz dostęp do Danych Klienta nie stanowi części wynagrodzenia wymienianego na mocy Umowy. W zakresie, w jakim wszelkie dane dotyczące użytkowania są uznawane za Dane Osobowe CCPA, jesteśmy przedsiębiorstwem w odniesieniu do takich danych i będziemy je przetwarzać zgodnie z naszym Oświadczeniem o Prywatności. Termin „przedsiębiorstwo”, „cel komercyjny”, „dostawca usług” i „sprzedać”, jak użyto w tej Sekcji 13.1, mają znaczenia nadane im w CCPA. Obie strony certyfikują, że rozumieją i będą przestrzegać obowiązków i ograniczeń określonych w niniejszym DPA i Umowy, zgodnie z wymaganiami CCPA.
13.2 Obowiązki Klienta. Oświadczasz i zapewniasz, że poinformowałeś Użytkownika końcowego, że Dane Osobowe są używane lub udostępniane zgodnie z warunkami przewidzianymi w sekcji 1798.140(t)(2)(C)(i) CCPA. Jesteś odpowiedzialny za przestrzeganie wymagań CCPA mających zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Rozdział 13 Warunków będzie miał zastosowanie do wszelkich sporów wynikających z lub związanych z tą DPA, chyba że prawo o ochronie danych wymaga inaczej.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Tam, gdzie ma to zastosowanie, ten Załącznik 1 będzie służył jako Załącznik I do Standardowych Klauzul Umownych EOG.
Załącznik I, Część A. Lista Stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres podany w koncie Klienta, lub adres e-mail właściciela konta Klienta, lub do adresu e-mail, na który Klient decyduje się otrzymywać powiadomienia na mocy Umowy.
Rola eksportera danych: Rola eksportera danych jest określona w sekcji 4 DPA.
Podpis i data: Jeżeli oraz kiedy to ma zastosowanie, eksporter danych jest uznawany za podpisującego Standardowe Klauzule Umowne zawarte niniejszym, począwszy od Daty Wejścia w Życie DPA.
Importer danych: MessageBird B.V.
Dane kontaktowe importera danych: Trompenburgstraat 2-C, 1079TX, Amsterdam, Holandia, Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeżeli oraz kiedy to ma zastosowanie, importer danych jest uznawany za podpisującego Standardowe Klauzule Umowne zawarte niniejszym, począwszy od Daty Wejścia w Życie DPA.
Załącznik I, Część B. Opis transferu
1. Kategorie osób, których Dane Osobowe są przekazywane: Użytkownicy. Osoby kontaktowe Klienta (osoby fizyczne) lub pracownicy, wykonawcy czy pracownicy tymczasowi (bieżący, potencjalni, byli) korzystający z Usług za pośrednictwem konta Klienta („Użytkownicy”); Użytkownicy końcowi. Każda osoba (i) której dane kontaktowe są zawarte na listach kontaktowych Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikaty lub w inny sposób nawiązuje kontakt lub komunikuje się za pośrednictwem Usług (łącznie „Użytkownicy końcowi”). To Ty jako Klient określasz wyłącznie kategorie osób, których dane są zawarte w komunikacji przesyłanej przez naszą platformę komunikacyjną.
2. Kategorie Danych Osobowych przekazywanych: Dane Osobowe Klienta zawarte w treści komunikacji, danych o ruchu, danych Użytkownika końcowego oraz danych dotyczących użytkowania przez klienta. Treść komunikacji, która może zawierać Dane Osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacji określonej przez Ciebie jako Klient. Dane o ruchu, które mogą zawierać Dane Osobowe Klienta dotyczące trasowania, czasu trwania lub czasu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą osoby fizycznej, czy firmy. Dane Użytkownika końcowego, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału. Dane dotyczące użytkowania przez klienta, które mogą zawierać dane mogące być powiązane z Tobą jako osobą fizyczną zawartą w danych statystycznych i informacji dotyczących Twojego konta oraz aktywności związanych z usługami, informacje związane z usługami oraz analityczne raporty dotyczące przesyłanej komunikacji oraz wsparcia dla klientów.
3. Wrażliwe dane przekazywane (o ile ma to zastosowanie) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyka, takie jak na przykład ścisłe ograniczenia dotyczące celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia w zakresie transferów dalej lub dodatkowe środki bezpieczeństwa.
(a) Treść komunikacji. Wrażliwe dane mogą od czasu do czasu być przetwarzane za pośrednictwem Usług, gdy Ty lub Twoi Użytkownicy końcowi zdecydujecie się na uwzględnienie wrażliwych danych w komunikacji, które są przesyłane przy użyciu Usług. Jesteś odpowiedzialny za zapewnienie, że odpowiednie zabezpieczenia są wdrożone przed przesłaniem lub przetwarzaniem, lub przed zezwoleniem swoim Użytkownikom końcowym na przesłanie lub przetwarzanie jakichkolwiek wrażliwych danych za pośrednictwem Usług, zgodnie z sekcją 3.2 Umowy.
(b) Dane o ruchu, dane Użytkownika końcowego oraz dane dotyczące użytkowania przez klienta. Nie zawiera się wrażliwych danych w danych o ruchu, danych Użytkownika końcowego lub danych dotyczących użytkowania przez klienta.
4. Częstotliwość transferu (np. czy dane są przekazywane jednorazowo czy w sposób ciągły): Dane Osobowe Klienta są przekazywane w sposób ciągły przez cały okres obowiązywania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać Dane Osobowe Klienta w zakresie niezbędnym do świadczenia Usług na podstawie Umowy. Nie sprzedajemy żadnych Danych Osobowych, w tym Danych Osobowych Klienta, i nie dzielimy się Danymi Osobowymi z osobami zewnętrznymi w celu uzyskania wynagrodzenia ani z własnych interesów biznesowych tych osób.
6. Cel(e) transferu danych i dalszego przetwarzania: Będziemy przetwarzać Dane Osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w niniejszym DPA, chyba że przetwarzanie jest niezbędne do spełnienia obowiązku prawnego, któremu podlegamy, w takim przypadku będziemy klasyfikować jako administrator danych.
Treść komunikacji, dane o ruchu, dane Użytkownika końcowego, a także dane dotyczące użytkowania przez klienta. Dane Osobowe zawarte w treści komunikacji, danych o ruchu, danych Użytkownika końcowego oraz danych dotyczących użytkowania przez klienta będą podlegać następującym podstawowym działalnościom przetwarzania:
(a) Treść komunikacji. Dostarczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programowania aplikacji (APIs) lub poprzez Dashboard, dla Klienta, w tym przesyłanie z lub do aplikacji oprogramowania Klienta z lub do naszej platformy komunikacyjnej i innych sieci komunikacyjnych.
(b) Dane o ruchu. Dane o ruchu są przetwarzane w celu przesyłania komunikacji w sieci komunikacji elektronicznej lub dla celów rozliczenia tej komunikacji. Może to obejmować Dane Osobowe Klienta dotyczące trasowania, czasu trwania lub czasu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczą osoby fizycznej, czy firmy.
(c) Dane Użytkownika końcowego. Dane Osobowe Użytkowników końcowych są wymagane, aby móc świadczyć Usługi i będą przetwarzane tylko w celu przesyłania komunikacji, wsparcia technicznego oraz zapewnienia zgodności z obowiązkami prawnymi MessageBird.
(d) Dane dotyczące użytkowania przez klienta. Dane Osobowe zawarte w danych dotyczących użytkowania przez klienta będą podlegać działaniom przetwarzania związanym z dostarczaniem Usług na podstawie Umowy, w celu dostarczenia Klientowi spostrzeżeń dotyczących Usług oraz analitycznych raportów dotyczących przesyłanej komunikacji, wsparcia dla klientów oraz ciągłego doskonalenia Usług.
7. Okres, przez który Dane Osobowe będą przechowywane, lub, jeśli to nie jest możliwe, kryteria użyte do określenia tego okresu:
(a) Treść komunikacji i dane o ruchu. Dla treści klientów i danych o ruchu zawartych w Usługach SMS i Głosowych obowiązuje okres przechowywania wynoszący sześć miesięcy;
Dla Usług 24sessions treści klientów i dane o ruchu są przechowywane przez minimum 30 dni do okresu uzgodnionego z Tobą;
Dla wszystkich innych usług treści klientów i dane o ruchu są przechowywane przez okres obowiązywania Usług, chyba że usuniesz treści klientów lub dane o ruchu za pośrednictwem technicznych i organizacyjnych środków udostępnionych Tobie przez Usługi.
(b) Dane Użytkownika końcowego. Dane Użytkownika końcowego będą przetwarzane przez okres określony przez Klienta, kiedy dane Użytkownika końcowego są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania wynosi przez czas trwania Usług, zgodnie z sekcją 6(c) niniejszego Załącznika I, Część B.
(c) Dane dotyczące użytkowania przez klienta. Po rozwiązaniu Umowy możemy przechowywać, wykorzystywać i ujawniać Dane Użytkowania Klienta w celach określonych w sekcji 6(d) niniejszego Załącznika I, Część B, z zachowaniem obowiązków poufności określonych w Umowie. Zanonimizujemy lub usuniemy dane dotyczące użytkowania przez klienta, gdy nie będziemy ich już potrzebować do celów określonych w sekcji 6(d) niniejszego Załącznika I, Część B.
8. W przypadku transferów do (sub)procesorów, określić również przedmiot, charakter i czas trwania przetwarzania: W przypadku transferów do Podprocesorów przedmiot i charakter przetwarzania są opisane w Liście Podprocesorów Bird, a czas trwania takiego przetwarzania odpowiada czasowi trwania Umowy.
Załącznik I, Część C. Kompetentny organ nadzorczy
Holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens) będzie kompetentnym organem nadzorczym.
ZAŁĄCZNIK II DO STANDARDOWYCH KLUZUL UMOWNYCH
Gdzie to możliwe, załącznik II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej przedstawione są dodatkowe informacje dotyczące naszych technicznych i organizacyjnych środków bezpieczeństwa.
Środki techniczne i organizacyjne w zakresie bezpieczeństwa:
Środki pseudonimizacji oraz ochrony Danych Osobowych w przechowywaniu i tranzycie: Wszystkie Dane Osobowe są szyfrowane w tranzycie i w spoczynku, a w zakresie, w jakim jest to istotne z punktu widzenia bezpieczeństwa, są traktowane tak, jakby były klasyfikowane jako dane wrażliwe. Informacje są zawsze przesyłane przez TLS z aktualnymi metodologiami szyfrowania jako domyślnymi.
Środki zapewniające ciągłą poufność, integralność i dostępność oraz odporność systemów i usług przetwarzania: zawieramy umowy zawierające klauzule poufności z naszymi pracownikami, kontrahentami, dostawcami i podwykonawcami. Nasza polityka ciągłości działania zmierza do przygotowania naszej działalności i usług na wypadek długotrwałych przestojów spowodowanych czynnikami niezależnymi od nas oraz do przywracania usług na najszerszą możliwą skalę w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów, dlatego mamy bardzo małą tolerancję dla zakłóceń w świadczeniu usług. Nasze terminy przywracania są zaprojektowane tak, aby zapewnić, że możemy spełniać nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceny i oceniania skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów oraz (autoryzowanych) systemów informacyjnych oraz minimalizowanie ryzyka wystąpienia szkód poprzez zapobieganie incydentom bezpieczeństwa i zarządzanie zagrożeniami oraz lukami bezpieczeństwa. Nasz zespół prawny, Inspektor Ochrony Danych oraz Zespół ds. Bezpieczeństwa i Zgodności dbają o to, aby obowiązujące przepisy i standardy były uwzględniane w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkowników: Kierujemy się zasadami „potrzeby wiedzy” oraz „najmniejszych uprawnień”. Promujemy wykorzystanie kontroli dostępu opartej na roli. Przydzielanie i odbieranie dostępu nadzoruje zespół ds. bezpieczeństwa, z domyślnym logowaniem jednolitym i 2FA. Dla każdej informacji zdefiniowano właścicieli, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie przeglądany. Zawsze, gdy mamy do czynienia z wrażliwymi informacjami lub podejmujemy kluczowe działania, stosujemy zasadę czterech oczu.
Środki zapewniające rejestrowanie zdarzeń: Dzienniki audytu są centralnie przechowywane i monitorowane regularnie pod kątem zdarzeń bezpieczeństwa oraz są zabezpieczane, aby uniknąć ryzyka manipulacji. Polityka zarządzania incydentami wdraża plan odpowiedzi na incydenty oraz jego procedury. Te wytyczne są przestrzegane w przypadku wystąpienia jakiegokolwiek typu incydentu bezpieczeństwa lub technicznego. W przypadku wystąpienia incydentów bezpieczeństwa będą one regularnie przeglądane przez Komitet Sterujący ds. Bezpieczeństwa, w którego skład wchodzą wyżsi interesariusze z całego biznesu.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: Stosujemy spójny proces zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby to dokładniej wyjaśnić, wszystkie prośby o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i realizowane zgodnie z formalnym procesem zarządzania zmianami. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wydawane w kontrolowany sposób; oraz że status każdej proponowanej zmiany jest monitorowany. Ścisłe zasady konfiguracji są przestrzegane w celu zapewnienia bezpiecznej konfiguracji systemów zgodnie z najlepszymi praktykami. Ponadto w dziale inżynieryjnym używany jest radar technologiczny do określania, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia zarządzania danymi) mogą być przyjmowane lub powinny być unikać podczas rozwoju.
Środek bezpieczeństwa fizycznego: Aktywnie promujemy politykę „Pracy z dowolnego miejsca”, aby nasi pracownicy mogli swobodnie pracować z dowolnego miejsca. Jednak nadal posiadamy nasze biura. Nie mamy zabezpieczonych obszarów/centrów danych na naszych terenach, ponieważ jesteśmy całkowicie opartą na chmurze firmą. Nasze piętra biurowe są chronione przez kontrolę dostępu fizycznego, CCTV i ochronę ludzką.
Środki wewnętrznego zarządzania IT i bezpieczeństwa IT: Utrzymujemy program oceny ryzyka opartego na bezpieczeństwie, który obejmuje zabezpieczenia administracyjne, organizacyjne, techniczne i fizyczne zaprojektowane w celu ochrony Usług oraz poufności, integralności i dostępności Danych Klientów. Nasz program bezpieczeństwa informacji został zaprojektowany w sposób systematyczny i dobrze zorganizowany. Ponadto mają zastosowanie wymogi prawne i regulacyjne w celu zapewnienia poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów i klientów. Wszystkie te zasady są tłumaczone na nasze polityki, procedury i wytyczne w zakresie bezpieczeństwa informacji. Posiadamy Komitet Sterujący ds. Bezpieczeństwa, który odpowiada za taktyczny poziom bezpieczeństwa informacji. Obejmuje on koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie działań strategicznych na operacyjne w zakresie naszego bezpieczeństwa oraz ciągłe utrzymywanie zgodności z regulacjami. Wszyscy pracownicy są odpowiedzialni za zabezpieczanie aktywów firmy. Wszyscy nasi pracownicy są sprawdzani pod kątem doświadczenia, kwalifikacji i uczciwości. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie wdrożenia, a także w ramach regularnych szkoleń zespołowych i innych prezentacji ogólnofirmowych dotyczących znaczenia ochrony danych i zgodności z bezpieczeństwem. MessageBird jest certyfikowany zgodnie z normą ISO/IEC 27001:2013, uznaną na całym świecie normą w zakresie systemów zarządzania bezpieczeństwem informacji (ISMS).
Wszyscy nasi dostawcy usług hostingowych są zgodni z normą ISO/IEC 27001:2013.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i całkowicie przejrzysto traktujemy naszych klientów.
Jesteśmy Stowarzyszonym członkiem Grupy Specjalnej Stowarzyszenia Mobile (GSMA). GSMA reprezentuje interesy operatorów moblinych na całym świecie. Zawsze jesteśmy na bieżąco z obowiązującymi przepisami i regulacjami, w tym z Ogólnym rozporządzeniem o ochronie danych.
Środki do certyfikacji/gwarancji procesów i produktów: Przechodzimy rygorystyczny nadzór oraz audyty certyfikacyjne w ramach zgodności z normą ISO/IEC 27001:2013 oraz regularnie przeprowadzamy testy na podatność aplikacji i testy penetracyjne. MessageBird przyjmuje zintegrowane podejście do zarządzania łata i podatnościami, aby zapewnić, że nasze standardowe terminy SLA są utrzymywane, niezależnie od tego, czy podatności występują w naszej infrastrukturze, platformach operacyjnych czy kodzie źródłowym.
Środki bezpieczeństwa aplikacji: Zapewniamy bezpieczeństwo naszych aplikacji w fazie projektowania i rozwoju zgodnie z Wytycznymi Bezpiecznego Kodowania MessageBird.
Odpowiednie poprawki są wdrażane przed wydaniem.
Zmiany w kodzie są przeglądane przez kompetentne osoby (które znają się na przeglądzie kodu i bezpiecznym rozwoju) inne niż oryginalni programiści.
Aplikacje przechodzą rygorystyczne testy bezpieczeństwa aplikacji, aby zidentyfikować wszelkie nowe zagrożenia i podatności przynajmniej raz w roku (zgodnie z normami branżowymi i najlepszymi praktykami).
Wszystkie zmiany w kodzie aplikacji, które są wprowadzane do środowisk produkcyjnych, są przeglądane za pomocą procesów ręcznych i/lub automatycznych.
Testy penetracyjne są przeprowadzane co roku oraz w trybie przypadkowym dla nowych produktów/funkcjonalności. Automatyczne narzędzia do analizy kodu źródłowego są wykorzystywane do wykrywania wad bezpieczeństwa w kodzie przed wdrożeniem, w zależności od języka.
Środki dotyczące ujawniania podatności: Doceniamy badaczy bezpieczeństwa, którzy znaleźli podatności na naszej platformie, aby skontaktowali się z nami i przesłali swoje ustalenia na security@bird.com. Posiadamy dedykowany zespół ds. bezpieczeństwa, który podejmuje działania oraz wysyła zaproszenia do naszego programu nagród za błędy, aby zbadać i usunąć usterki tam, gdzie jest to konieczne.
Środki zapewniające odpowiedzialność: wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami prawnymi i publikujemy przegląd naszych istotnych informacji z ISMS w naszej dokumentacji Bird. Powołaliśmy dedykowanego wiceprezesa ds. zgodności i bezpieczeństwa informacji oraz Inspektora Ochrony Danych oraz prowadzimy dokumentację naszych działań związanych z przetwarzaniem, w tym rejestrowanie i raportowanie incydentów bezpieczeństwa dotyczących Danych Osobowych, w stosownych przypadkach.
