Umowa o przetwarzaniu danych
Niniejsza Umowa o Przetwarzaniu Danych dotyczy Ciebie, jeśli zarejestrowałeś się do Usług MessageBird (w tym za pośrednictwem jakiejkolwiek z jej spółek zależnych) w dniu 28 lutego 2022 roku lub później, ale przed 1 stycznia 2024 roku. Obowiązuje od 15 kwietnia 2022 roku, ta Umowa o Przetwarzaniu Danych będzie również miała zastosowanie do klientów, którzy zarejestrowali się do Usług MessageBird przed 28 lutego 2022 roku. Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Ta umowa o przetwarzaniu danych, w tym załączniki („DPA”), jest częścią Umowy między Klientem a podmiotem umowy wymienionym w Sekcja 15 (Podmiot umowy) Ogólne warunki, chyba że na formularzu zamówienia podano inaczej. W tym DPA, terminy „ty”, “twój”, lub “Klient” odnoszą się do ciebie (z zastrzeżeniem postanowień Sekcji 1.2 poniżej), a terminy „my”, “nas,” “nasz” lub “MessageBird” odnoszą się do nas.
1. Scope, Customer Affiliates and Term
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako przetwarzającego.
1.2 Oddziały Klienta. Klient zawiera niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przez przepisy o ochronie danych, w imieniu i na rzecz swoich Oddziałów (zgodnie z definicją w Regulaminie), jeśli i w zakresie, w jakim zapewniasz takim Oddziałom dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których takie Oddziały kwalifikują się jako administrator danych („Oddziały Klienta”). Na potrzeby niniejszej DPA oraz z wyjątkiem sytuacji wyraźnie wskazanych inaczej, terminy „Klient” i „ty” obejmują Klienta i Oddziały.
1.3 Okres obowiązywania. Niniejsza DPA pozostaje w mocy, dopóki MessageBird przetwarza Dane Osobowe Klienta podlegające tej DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
Używane terminy pisane wielką literą, które nie są zdefiniowane w niniejszej Umowie o Ochronie Danych (DPA), mają znaczenie nadane im w Umowie. Poniższe zdefiniowane terminy są używane w tej DPA:
2.1 “CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku z późniejszymi zmianami.
2.2 “Dane Klienta” oznacza wszelkie dane oraz inne informacje lub treść przesłaną przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy i przetwarzaną lub przechowywaną przez Usługi.
2.3 “Dane Osobowe Klienta” oznacza Dane Osobowe zawarte w Danych Klienta. Dane konta nie są Danymi Osobowymi Klienta. Dane konta to jakiekolwiek dane dostarczone przez Ciebie lub dla Ciebie do MessageBird w związku z zawarciem i zarządzaniem Umową oraz Twoim kontem, w tym, ale nie wyłącznie, dane kontaktowe, szczegóły rozliczeniowe Klienta oraz korespondencja dotycząca zawarcia i zarządzania Umową.
2.4 “Przepisy o Ochronie Danych” oznacza wszystkie przepisy i regulacje wszelkiej jurysdykcji dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym, gdzie mają zastosowanie, RODO, CCPA i wszystkie inne przepisy i regulacje dotyczące prywatności, marketingu bezpośredniego lub ochrony danych.
2.5 “EEA” oznacza, na potrzeby niniejszej DPA, Europejski Obszar Gospodarczy i Szwajcarię.
2.6 “Standardowe Klauzule Umowne UE Kontroler-Dla-Procesora” oznaczają “Kontroler-Dla-Procesora” (Moduł 2) moduły Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z RODO i decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021.
2.7 “Standardowe Klauzule Umowne UE Procesor-Dla-Subprocesora” oznaczają “Procesor-Dla-Subprocesora” (Moduł 3) moduły Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z RODO i decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021.
2.8 “RODO” oznacza albo (i) rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w przypadku Zjednoczonego Królestwa, Ustawę o Ochronie Danych z 2018 r.
2.9 “LGPD” oznacza Lei Geral de Proteção de Dados z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku z późniejszymi zmianami.
2.10 “Dane Osobowe” oznacza wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2.11 “PDPA” oznacza Ustawę o Ochronie Danych Osobowych z 2012 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku z późniejszymi zmianami.
2.12 “Oświadczenie o Prywatności” oznacza aktualne Oświadczenie o Prywatności dla Usług dostępne pod adresem https://bird.com/legal/privacy.
2.13 “Naruszenie Danych Osobowych” oznacza jakiekolwiek przypadkowe, nieuprawnione lub bezprawne zniszczenie, utratę, zmianę, ujawnienie, dostęp do Danych Osobowych Klienta.
2.14 “Usługi” oznacza wszystkie produkty i usługi świadczone przez nas lub nasze jednostki stowarzyszone, które są (a) zamówione przez Ciebie na podstawie jakiegokolwiek Formularza Zamówienia; lub (b) używane przez Ciebie.
2.15 “Standardowe Klauzule Umowne” oznaczają (i) Standardowe Klauzule Umowne UE Kontroler-Dla-Procesora; lub (ii) Standardowe Klauzule Umowne UE Procesor-Dla-Subprocesora, indywidualnie lub łącznie, w zależności od przypadku.
2.16 “Subprocesor” oznacza jednostkę przetwarzającą Dane Osobowe Klienta w imieniu jednostki działającej jako procesor danych lub Subprocesor.
2.17 “Standardowe Klauzule Umowne UK Kontroler-Dla-Procesora” oznacza standardowe klauzule umowne dotyczące transferu Danych Osobowych do procesorów danych z siedzibą w krajach trzecich w formie określonej przez decyzję Komisji Europejskiej 2010/87/UE, z późniejszymi zmianami, modyfikacjami lub zastąpieniem przez Komisję Europejską.
Terminy takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „osoba, której dane dotyczą” itp. mają znaczenie przypisane im na gruncie RODO. Definicja „administratora danych” obejmuje „przedsiębiorstwo”, „kontrolera” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesora” i „pośrednika danych”; „osoba, której dane dotyczą” obejmuje „konsumenta” i „indywidualnego”; a „Dane Osobowe” obejmuje „informacje osobiste”, w każdym przypadku zgodnie z definicją z CCPA, LGPD lub PDPA.
3. Przetwarzanie danych osobowych klientów
3.1 Cel. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, udzielania wsparcia oraz rozwijania i wdrażania usprawnień i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami do nas jako przetwarzającego dane zgodnie z określonymi instrukcjami w Sekcji 3.2 tego DPA oraz (ii) do naszych prawnie uzasadnionych celów biznesowych określonych w Sekcji 3.4 tego DPA jako administratora danych. Nie sprzedajemy Żadnych Danych Osobowych, w tym Danych Osobowych Klienta, ani nie udostępniamy Danych Osobowych stronom trzecim za wynagrodzeniem lub w celach biznesowych tych stron trzecich.
3.2 Instrukcje. Umowa i to DPA stanowią kompletne instrukcje dla nas jako przetwarzającego dane na dzień podpisania tego DPA. Będziemy przestrzegać innych rozsądnie udokumentowanych instrukcji pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły przetwarzania. Aneks I, Część B. (Opis transferu) tego DPA dodatkowo określa charakter i cel przetwarzania, działania związane z przetwarzaniem, czas trwania przetwarzania, rodzaje Danych Osobowych i kategorie podmiotów danych przez nas jako przetwarzającego dane lub Subprocesora.
3.4 Prawnie uzasadnione cele biznesowe. Przyznajesz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących prawnie uzasadnionych celów biznesowych: rozliczenia, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą mieć wpływ na nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie mocy produkcyjnej i przychodów, strategia produktowa), zapobieganie oszustwom, spamowi i nadużyciom, poprawa produktów oraz przestrzeganie naszych obowiązków prawnych.
4. Customer Obligations
4.1 Zgodność z prawem. Gdy działasz jako administrator danych Danych Osobowych Klienta, gwarantujesz, że wszystkie działania przetwarzania są zgodne z prawem, mają określony cel, oraz że są wprowadzone wszelkie wymagane zawiadomienia, zgody lub inne odpowiednie podstawy prawne, aby umożliwić zgodny z prawem transfer Danych Osobowych Klienta. Jeśli jesteś procesorem danych (w takim przypadku my będziemy działać jako Podprocesor), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w tej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz Przepisów o Ochronie Danych mających zastosowanie do twojego korzystania z Usług i do twojego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy środki techniczne i organizacyjne Usług spełniają twoje wymagania, oraz (c) wdrożenie i utrzymanie działań dotyczących prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Mając na uwadze stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnych prawdopodobieństwach i ciężkości dla praw i wolności osób fizycznych, wprowadzimy i będziemy utrzymywać odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed naruszeniami Danych Osobowych oraz aby zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta używanych przez nasze systemy do przetwarzania Danych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przegląd informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i zobowiązania prawne zgodnie z ustawodawstwem o ochronie danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „potrzeby wiedzy” i najmniejszych przywilejów.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub podmiot upoważniony przez nas do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podprzetwarzający) zostaną poinformowani o poufnym charakterze takich Danych Osobowych Klienta i będą zobowiązani do zachowania odpowiedniej poufności (czy to na mocy umowy, czy obowiązku ustawowego), która przetrwa zakończenie ich zatrudnienia.
5.5 Reakcja i powiadomienie o Naruszeniu Danych Osobowych. Po otrzymaniu informacji o Naruszeniu Danych Osobowych, niezwłocznie (i) powiadomimy Cię, (ii) przeprowadzimy dochodzenie w sprawie Naruszenia Danych Osobowych, (iii) dostarczymy terminowe informacje dotyczące Naruszenia Danych Osobowych, w miarę jak staną się one znane lub w miarę uzasadnionych żądań z Twojej strony oraz (iv) podejmiemy komercyjnie uzasadnione kroki w celu złagodzenia skutków i zapobieżenia ponownemu wystąpieniu Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci rozsądnie wymaganą pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym powiadamianie o naruszeniu ochrony danych osobowych, ocena odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w realizacji odpowiedniej oceny skutków w zakresie ochrony danych.
6.2 Pomoc w realizacji żądań osób, których dane dotyczą. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów o ochronie danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta danego podmiotu danych.
7. Ujawnienie i Wnioski o Ujawnienie
7.1 Ograniczenia ujawniania i dostępu. Nie udostępnimy ani nie ujawnimy Danych Osobowych Klienta, chyba że (i) zgodnie z Twoimi instrukcjami, (ii) jak określono w Umowie i tym DPA, lub (iii) zgodnie z wymogami prawnymi.
7.2 Żądania ujawnienia. Poinformujemy Cię tak szybko, jak to możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego dotyczące ujawnienia Danych Osobowych Klienta, chyba że obowiązuje zakaz prawny na takie powiadomienie. Będziemy postępować z żądaniami ujawnienia zgodnie z polityką dotyczącą żądań ujawnienia dostępną pod adresem https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Obecni podwykonawcy. Zgadzasz się na zaangażowanie Podwykonawców wymienionych na https://www.bird.com/en/legal/privacy#processorList pod nagłówkiem „Dane osobowe użytkowników końcowych”, który zawiera procedurę subskrypcji powiadomień o zmianach w naszym korzystaniu z Podwykonawców. Jeśli subskrybujesz takie powiadomienia, uwzględniając Sekcję 8.3 tego DPA, przekażemy szczegóły każdej zmiany w Podwykonawcach tak szybko, jak to możliwe.
8.2 Używanie podwykonawców. Na mocy tego DPA udzielasz nam ogólnego pisemnego upoważnienia do angażowania Podwykonawców w celu przetwarzania Danych Osobowych Klientów, z zastrzeżeniem Sekcji 8.3 tego DPA i następujących wymagań:
a. Ograniczymy dostęp do Danych Osobowych Klientów przez Podwykonawców do tego, co jest ściśle niezbędne do świadczenia usług określonych w umowie z podwykonawcą;
b. Uzgodnimy z Podwykonawcą zobowiązania dotyczące ochrony danych, które są w zasadzie takie same jak zobowiązania wynikające z tego DPA; oraz
c. Jesteśmy odpowiedzialni wobec ciebie na mocy tego DPA za wykonanie obowiązków dotyczących ochrony danych przez Podwykonawcę.
8.3 Powiadomienia o zmianach Podwykonawców i prawo do sprzeciwu. Zanim zastąpimy lub zaangażujemy nowych Podwykonawców („Zmiana Podwykonawcy”), damy ci możliwość wniesienia sprzeciwu wobec Zmiany Podwykonawcy.
Możesz sprzeciwić się Zmianie Podwykonawcy, pod warunkiem że (i) sprzeciw jest złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podwykonawcy oraz (ii) sprzeciw opiera się na i wyraźnie uzasadnia rozsądne podstawy dotyczące ochrony Danych Osobowych Klientów. Kiedy sprzeciwisz się proponowanej Zmianie Podwykonawcy, będziemy z tobą współpracować w dobrej wierze, aby dokonać komercyjnie uzasadnionej zmiany w świadczeniu Usług, która unika użycia danego Podwykonawcy. Jeśli taka zmiana nie może zostać racjonalnie dokonana w ciągu trzydziestu (30) dni roboczych od naszego otrzymania twojego pisemnego sprzeciwu lub jeśli zmiana jest dla nas komercyjnie nieuzasadniona, każda ze stron może zakończyć świadczenie odpowiednich funkcji Usług, które nie mogą być świadczone bez udziału danego Podwykonawcy. To prawo do zakończenia jest twoim wyłącznym środkiem zaradczym, jeśli sprzeciwisz się Zmianie Podwykonawcy.
9. Transfery Transgraniczne Danych Osobowych Klientów
9.1 Przeniesienia Danych Osobowych Klienta. Możemy przenosić Dane Osobowe Klienta pod warunkiem, że wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych są wprowadzone. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dostępne dla osób, których dane dotyczą.
9.2 Standardowe Klauzule Umowne dla Podprocesorów. O ile nie ma zastosowania decyzja o odpowiednim poziomie ochrony lub alternatywny mechanizm transferu, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podprocesorami (w tym z naszymi Podmiotami Powiązanymi) zlokalizowanymi poza EOG, zgodnie z warunkami określonymi w Sekcji 9.1 tego DPA.
9.3 Mechanizmy Transferu dla Przeniesień Danych Osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych, aby legalnie przesłać Dane Osobowe Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria, Wielka Brytania) do nas zlokalizowanych poza tą jurysdykcją, niniejszy dział będzie miał zastosowanie. Jeśli, w trakcie realizacji Usług, Dane Osobowe Klienta, które podlegają RODO lub innemu prawu dotyczącym ochrony lub prywatności osób, które ma zastosowanie do tego DPA, są przekazywane do MessageBird zlokalizowanego w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych osobowych w rozumieniu przepisów o ochronie danych, mechanizmy transferu wymienione poniżej będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony w zakresie, w jakim takie transfery podlegają przepisom o ochronie danych:
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą stosowane do Danych Osobowych Klienta, które są przekazywane za pośrednictwem Usług z EOG lub Szwajcarii, bezpośrednio lub przez dalszy transfer, do jednostki MessageBird zlokalizowanej w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, przez właściwy organ ze Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako administrator danych, a MessageBird jest procesorem danych, będą miały zastosowanie standardowe klauzule umowne UE dotyczące relacji administrator-procesor dla każdego takiego transferu Danych Osobowych Klienta z EOG. Gdy działasz jako przetwarzający dane, a MessageBird jest podprocesorem, standardowe klauzule umowne procesor-podprocesor będą miały zastosowanie do każdego takiego transferu Danych Osobowych Klienta z EOG.
9.3.1.2 MessageBird będzie traktowane jako importer danych, a Ty będziesz traktowany jako eksporter danych zgodnie ze Standardowymi Klauzulami Umownymi. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie stosownych Standardowych Klauzul Umownych, które będą uznane za włączone do tego DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały pierwszeństwo wyłącznie w odniesieniu do przeniesienia Danych Osobowych Klienta z EOG.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają od stron wyboru pomiędzy opcjonalnymi klauzulami i wprowadzeniem informacji, strony dokonały takiego wyboru, jak podano poniżej:
Opcjonalna Klauzula 7 „Klauzula zakotwiczająca” nie będzie przyjęta.
Dla Klauzuli 9 „Użycie podprocesorów”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna autoryzacja: importer danych ma ogólną autoryzację kontrolera na zaangażowanie podprocesora(-ów) z uzgodnionej listy. Importer danych musi konkretnie poinformować kontrolera na piśmie o wszelkich planowanych zmianach na tej liście poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając kontrolerowi wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takiej zmiany przed zaangażowaniem podprocesora(-ów). Importer danych dostarczy eksporterowi danych informacje konieczne do umożliwienia mu skorzystania z prawa do sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podprocesora(-ów).”
Dla Klauzuli 11 (a) „Zadośćuczynienie”, strony nie przyjmują Opcji.
Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że takie prawo zezwala na prawa osób trzecich. Strony zgadzają się, że tym prawem będzie prawo Niderlandów.”
Dla Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2 Strony zgadzają się, że Standardowe Klauzule Umowne dotyczące relacji kontroler-procesor Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta przenoszonych za pośrednictwem Usług z Zjednoczonego Królestwa, bezpośrednio lub przez dalszy transfer, do jednostki MessageBird zlokalizowanej w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez właściwy organ regulacyjny Zjednoczonego Królestwa lub ciało rządowe Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 MessageBird będzie traktowane jako importer danych, a Ty będziesz traktowany jako eksporter danych zgodnie ze Standardowymi Klauzulami Umownymi Zjednoczonego Królestwa dotyczące relacji kontroler-procesor. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie Standardowych Klauzul Umownych Zjednoczonego Królestwa dotyczących relacji kontroler-procesor, które będą uznane za włączone do tego DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do Standardowych Klauzul Umownych Zjednoczonego Królestwa są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi Zjednoczonego Królestwa dotyczące relacji kontroler-procesor, Standardowe Klauzule Umowne Zjednoczonego Królestwa dotyczące relacji kontroler-procesor będą miały pierwszeństwo wyłącznie w odniesieniu do transferu Danych Osobowych Klienta z Zjednoczonego Królestwa.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego wyłącznego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie udostępnimy ci podsumowanie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytu oraz niniejszą DPA. Takie raporty z audytu, jak również wszelkie zawarte w nich wnioski lub ustalenia, są naszą Informacją Poufną.
10.2 Żądania informacji od klienta. Udostępnimy ci wszystkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej DPA. Udostępnimy pisemne odpowiedzi na uzasadnione żądania informacji złożone przez ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są uzasadnione pod względem zakresu i niezbędne do potwierdzenia zgodności z niniejszą DPA, pod warunkiem, że ty (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z dokumentacji, raportów z audytu i innych informacji dostarczonych lub upewnisz się, że zostały one upublicznione przez nas, oraz (ii) nie będziesz korzystać z tego prawa częściej niż raz w roku, chyba że naruszenie ochrony danych osobowych lub istotna zmiana w naszych czynnościach przetwarzania związanych z Usługami wymaga wykonania dodatkowego kwestionariusza. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas tobie daje ci uzasadnione powody do podejrzeń, że naruszamy nasze obowiązki wynikające z niniejszej DPA, związane z danymi osobowymi klienta dostarczonymi przez ciebie, umożliwimy niezależnemu i wykwalifikowanemu audytorowi strony trzeciej wyznaczonemu przez ciebie i zatwierdzonemu przez nas przeprowadzenie audytu odpowiednich czynności przetwarzania danych osobowych, pod warunkiem spełnienia następujących wymagań:
a. Powiadomisz nas z co najmniej sześćdziesięciodniowym (60) wyprzedzeniem o zamiarze przeprowadzenia audytu;
b. Audytor zgodzi się na standardowe zobowiązania do zachowania poufności z nami;
c. Ty i audytor podejmiecie środki mające na celu zminimalizowanie zakłóceń w naszych operacjach biznesowych;
d. Audyt zostanie przeprowadzony w regularnych godzinach pracy;
e. Nie będziemy zobowiązani do udostępniania danych klientów innych klientów ani systemów niezwiązanych ze świadczeniem Usług; oraz
f. Poniesiesz wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Po rozwiązaniu lub wygaśnięciu Umowy, my (według twojego wyboru) usuniemy lub zwrócimy ci wszystkie Dane Osobowe Klienta (w tym kopie) znajdujące się w naszym posiadaniu lub pod naszą kontrolą, z zastrzeżeniem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim prawo wymaga od nas przechowania części lub całości Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta zarchiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte po upłynięciu wymaganego okresu przechowywania.
12. Komunikacja i prawa partnerskiego klienta
Wejście w życie tej DPA w imieniu i na rzecz Podmiotu Powiązanego Klienta, jak określono w Sekcji 1.2, stanowi odrębną DPA między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem następujących punktów:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację wszelkiej komunikacji z nami w ramach tej DPA i jest uprawniony do dokonywania i odbierania wszelkiej komunikacji w związku z tą DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa Podmiotów Powiązanych Klienta. W przypadku przystąpienia Podmiotu Powiązanego Klienta do DPA z nami, w zakresie wymaganym przez przepisy o ochronie danych, jest on uprawniony do wykonywania praw i dochodzenia środków prawnych wynikających z tej DPA, z zastrzeżeniem następujących punktów:
(i) O ile przepisy o ochronie danych nie wymagają, aby Podmiot Powiązany Klienta realizował prawo lub dochodził środka prawnego w ramach tej DPA przeciwko MessageBird bezpośrednio w swoim imieniu, strony uzgadniają, że (i) wyłącznie Klient będący stroną umowy będzie realizował takie prawo lub dochodził takiego środka prawnego w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną umowy będzie wykonywał takie prawa w ramach tej DPA nie oddzielnie dla każdego Podmiotu Powiązanego Klienta indywidualnie, lecz w sposób zbiorowy w imieniu swoim i wszystkich swoich Podmiotów Powiązanych Klienta.
(ii) Strony uzgadniają, że Klient będący stroną umowy, gdy audyt na miejscu procedur związanych z ochroną danych osobowych Klienta jest przeprowadzany w jego imieniu, jak określono w sekcji 10.3 tej DPA, podejmie wszelkie rozsądne środki w celu ograniczenia jakiegokolwiek wpływu na nas poprzez połączenie, w możliwie największym zakresie, kilku zapytań audytowych przeprowadzanych w swoim imieniu oraz wszystkich swoich Podmiotów Powiązanych Klienta w jeden pojedynczy audyt.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną umowy.
13. Kalifornijska Ustawa o Ochronie Prywatności Konsumentów
Składamy następujące dodatkowe zobowiązania wobec Ciebie w zakresie przetwarzania Danych Osobowych Klienta w ramach CCPA.
13.1 Nasze Zobowiązania. Będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klienta objęte CCPA („Dane Osobowe CCPA”) zgodnie z postanowieniami CCPA. W odniesieniu do Danych Osobowych CCPA jesteśmy usługodawcą w rozumieniu CCPA. Nie będziemy (a) sprzedawać Danych Osobowych CCPA; (b) przechowywać, używać ani ujawniać żadnych Danych Osobowych CCPA w jakimkolwiek celu innym niż konkretne świadczenie Usług, w tym przechowywać, używać ani ujawniać Danych Osobowych CCPA w celach komercyjnych innych niż świadczenie Usług; lub (c) przechowywać, używać ani ujawniać Danych Osobowych CCPA poza naszym bezpośrednim związkiem biznesowym z tobą. Przetwarzanie Danych Osobowych CCPA autoryzowane przez Twoje instrukcje w Warunkach i niniejszym DPA jest integralną częścią naszej oferty Usług. Potwierdzasz i zgadzasz się, że nasz dostęp do Danych Klienta nie stanowi części wymiany określonej w Umowie. W zakresie, w jakim jakiekolwiek dane użytkowe są uznawane za Dane Osobowe CCPA, jesteśmy firmą w zakresie tych danych i będziemy je przetwarzać zgodnie z naszym Oświadczeniem o Prywatności. Terminy „firma”, „cel komercyjny”, „usługodawca” i „sprzedaż” używane w niniejszej Sekcji 13.1 mają znaczenia nadane im w CCPA. Obie strony potwierdzają, że rozumieją i będą przestrzegać zobowiązań i ograniczeń określonych w niniejszym DPA i Umowie, zgodnie z wymaganiami CCPA.
13.2 Zobowiązania Klienta. Oświadczasz i gwarantujesz, że powiadomiłeś użytkownika końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z warunkami i postanowieniami przewidzianymi w Sekcji 1798.140(t)(2)(C)(i) CCPA. Jesteś odpowiedzialny za zgodność z wymaganiami CCPA, które dotyczą Ciebie jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Sekcja 13 Warunków będzie miała zastosowanie do wszelkich sporów wynikających z niniejszej DPA lub związanych z nią, chyba że inaczej wymaga tego ustawodawstwo dotyczące ochrony danych.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, niniejszy Załącznik 1 będzie służył jako Załącznik I do Standardowych Klauzul Umownych EOG.
Załącznik I, Część A. Lista Stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres podany na koncie Klienta lub adres e-mail właściciela konta Klienta, lub adres(y) e-mail, na które Klient dokonuje wyboru otrzymywania powiadomień na mocy Umowy.
Rola eksportera danych: Rola eksportera danych jest określona w Sekcji 4 DPA.
Podpis i data: Jeśli i gdy to ma zastosowanie, eksportera danych uznaje się za podpisany Standardowe Klauzule Umowne zawarte w niniejszym dokumencie z datą wejścia w życie DPA.
Importer danych:MessageBird B.V.
Dane kontaktowe importera danych: Trompenburgstraat 2-C, 1079TX, Amsterdam, Holandia, Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeśli i gdy to ma zastosowanie, importer danych uznaje się za podpisany Standardowe Klauzule Umowne zawarte w niniejszym dokumencie z datą wejścia w życie DPA.
Załącznik I, Część B. Opis Transferu
1. Kategorie osób, których dane osobowe są transferowane:Użytkownicy. Kontaktowe osoby Klienta (osoby fizyczne) lub pracownicy, kontrahenci lub pracownicy tymczasowi (aktualni, potencjalni, byli) korzystający z Usług za pośrednictwem konta Klienta („Użytkownicy”); Użytkownicy końcowi. Każda osoba (i) której dane kontaktowe są zawarte w listach kontaktów Klienta; (ii) której informacje są przechowywane lub zebrane za pośrednictwem Usług, lub (iii) do której Klient wysyła komunikację lub w inny sposób nawiązuje kontakt lub komunikuje się za pośrednictwem Usług (łącznie, „Użytkownicy końcowi”). To Ty jako Klient decydujesz o kategoriach osób, których dane są zawarte w komunikacji przesyłanej przez naszą platformę komunikacyjną.
2. Kategorie transferowanych danych osobowych:Dane osobowe Klienta zawarte w treści komunikacji, dane dotyczące ruchu, dane Użytkowników końcowych oraz dane dotyczące użycia przez Klienta. Treść komunikacji, która może zawierać dane osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacji określonej przez Ciebie jako Klienta. Dane dotyczące ruchu, które mogą zawierać dane osobowe Klienta dotyczące trasy, czasu trwania lub czasu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy odnosi się to do osoby fizycznej, czy firmy. Dane Użytkowników końcowych, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału. Dane dotyczące użycia przez Klienta mogą zawierać dane, które mogą być powiązane z Tobą jako osobą, zawarte w danych statystycznych oraz informacje związane z Twoimi działaniami na koncie i usługą, spostrzeżenia związane z usługą i raporty analityczne dotyczące wysłanej komunikacji oraz wsparcia klienta.
3. Przesyłane dane wrażliwe (jeśli dotyczy) i wprowadzone ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyka, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszych transferów lub dodatkowe środki bezpieczeństwa.
(a) Treść komunikacji. Dane wrażliwe mogą być od czasu do czasu przetwarzane za pośrednictwem Usług, gdy Ty lub Twoi Użytkownicy końcowi decydują się na uwzględnienie danych wrażliwych w komunikacji przesyłanej za pomocą Usług. Ty jesteś odpowiedzialny za upewnienie się, że odpowiednie zabezpieczenia są na miejscu przed przesłaniem lub przetwarzaniem, lub przed zezwolenie swoim Użytkownikom końcowym na przesyłanie lub przetwarzanie jakichkolwiek danych wrażliwych za pomocą Usług, zgodnie z Sekcją 3.2 Umowy.
(b) Dane dotyczące ruchu, dane użytkowników końcowych oraz dane dotyczące użycia przez Klienta. Żadne dane wrażliwe nie są zawarte w danych dotyczących ruchu, danych Użytkowników końcowych ani danych dotyczących użycia przez Klienta.
4. Częstotliwość transferu (np. czy dane są przesyłane jednorazowo czy na bieżąco): Dane osobowe Klienta są przesyłane na bieżąco przez okres obowiązywania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać dane osobowe Klienta w zakresie niezbędnym do świadczenia Usług zgodnie z Umową. Nie sprzedajemy żadnych danych osobowych, w tym danych osobowych Klienta, i nie udostępniamy danych osobowych stronom trzecim za wynagrodzeniem ani dla własnych interesów biznesowych tych stron trzecich.
6. Cel(e) transferu danych i dalszego przetwarzania: Będziemy przetwarzać dane osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w niniejszym DPA, chyba że przetwarzanie jest niezbędne do zgodności z prawnym obowiązkiem, któremu podlegamy, w takim przypadku zostaniemy sklasyfikowani jako administrator danych.
Treść komunikacji, dane dotyczące ruchu, dane użytkowników końcowych oraz dane dotyczące użycia przez Klienta. Dane osobowe zawarte w treści komunikacji, danych dotyczących ruchu, danych użytkowników końcowych oraz danych dotyczących użycia przez Klienta będą podlegać następującym podstawowym działaniom przetwarzaniu:
(a) Treść komunikacji. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programowania aplikacji (API) lub za pośrednictwem Panelu, dla Klienta, w tym przesyłanie do lub z aplikacji software'u Klienta z lub na naszą platformę komunikacyjną i inne sieci komunikacyjne.
(b) Dane dotyczące ruchu. Dane dotyczące ruchu są przetwarzane w celu przesyłania komunikacji przez elektroniczną sieć komunikacyjną lub dla wystawienia rachunku za tę komunikację. Może to obejmować dane osobowe Klienta dotyczące trasy, czasu trwania lub czasu komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy odnosi się to do osoby fizycznej, czy firmy.
(c) Dane użytkowników końcowych. Dane osobowe użytkowników końcowych są wymagane do wykonywania Usług i będą przetwarzane wyłącznie w celu przesyłania komunikacji, wsparcia klienta i zapewnienia zgodności z prawnymi zobowiązaniami MessageBird.
(d) Dane dotyczące użycia przez Klienta. Dane osobowe zawarte w danych dotyczących użycia przez Klienta będą podlegać działaniom przetwarzania zapewnienia Usług pod Umową, mając na celu dostarczanie Klientowi spostrzeżeń związanych z Usługami oraz raportów analitycznych dotyczących wysłanej komunikacji, wsparcia klienta oraz ciągłego doskonalenia Usług.
7. Okres, przez jaki dane osobowe będą przechowywane, lub, jeśli to nie jest możliwe, kryteria stosowane do określenia tego okresu:
(a) Treść komunikacji i dane dotyczące ruchu. Dla treści klientów i danych dotyczących ruchu zawartych w usługach SMS i Voice obowiązuje okres przechowywania sześć miesięcy;
Dla usług 24sessions treść klientów i dane dotyczące ruchu są przechowywane przez co najmniej 30 dni do czasu uzgodnionego z Tobą;
Dla wszystkich innych usług treść klientów i dane dotyczące ruchu są przechowywane przez okres trwania Usług, chyba że usuniesz treść klientów lub dane dotyczące ruchu za pomocą dostępnych środków technicznych i organizacyjnych poprzez Usługi.
(b) Dane użytkowników końcowych. Dane użytkowników końcowych będą przetwarzane przez okres określony przez Klienta, gdy dane użytkowników końcowych są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania to okres trwania Usług, zgodnie z Sekcją 6(c) niniejszego Załącznika I, Część B.
(c) Dane dotyczące użycia przez Klienta. Po rozwiązaniu Umowy możemy przechowywać, używać i ujawniać dane dotyczące użycia przez Klienta dla celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B, zgodnie z zobowiązaniami do zachowania poufności określonymi w Umowie. Anonimizujemy lub usuwamy dane dotyczące użycia przez Klienta, gdy nie będziemy już ich potrzebować do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B.
8. Dla transferów do (pod)procesorów, również określ przedmiot, charakter i czas trwania przetwarzania: Dla transferów do podprocesorów, przedmiot i charakter przetwarzania są opisane na https://www.bird.com/legal/privacy#processorList a czas trwania jest określony na okres trwania Umowy.
Załącznik I, Część C. Właściwy Organ Nadzoru
Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie właściwym organem nadzoru.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Jeżeli ma to zastosowanie, niniejszy Załącznik II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej przedstawiono więcej informacji na temat naszych środków technicznych i organizacyjnych dotyczących bezpieczeństwa, opisanych poniżej.
Techniczne i organizacyjne środki bezpieczeństwa:
Środki pseudonimizacji i ochrony Danych Osobowych podczas przechowywania i przesyłania: Wszystkie Dane Osobowe są szyfrowane podczas przesyłania i w stanie spoczynku, a na tyle, na ile jest to istotne z punktu widzenia bezpieczeństwa, traktowane jakby były sklasyfikowane jako dane wrażliwe. Informacje zawsze są przesyłane za pomocą TLS z aktualnymi metodologiami szyfrowania jako domyślnie.
Środki zapewnienia ciągłej poufności, integralności oraz dostępności i odporności systemów i usług przetwarzania: zawieramy umowy, które zawierają postanowienia o poufności z naszymi pracownikami, kontrahentami, dostawcami i Podprocesorami. Nasza polityka ciągłości działania biznesu polega na przygotowaniu naszej działalności i usług na wypadek przedłużonych awarii spowodowanych czynnikami pozostającymi poza naszą kontrolą i na przywróceniu usług w jak najszerszym zakresie w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów, dlatego mamy bardzo małą tolerancję na zakłócenia w usługach. Nasze ramy czasowe dotyczące odzyskiwania zostały zaprojektowane tak, abyśmy mogli spełnić nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji organizacji, pracowników, partnerów, klientów oraz (upoważnionych) systemów informatycznych, a także minimalizacja ryzyka wystąpienia szkód poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami w bezpieczeństwie. Nasz Zespół Prawny, Inspektor Ochrony Danych oraz Zespół ds. Bezpieczeństwa i Zgodności dbają o to, aby odpowiednie przepisy i standardy były uwzględniane w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkownika: Stosujemy zasady „potrzeby wiedzy” i „najmniejszych uprawnień”. Promujemy korzystanie z opartej na rolach kontroli dostępu. Przydzielanie i odbieranie uprawnień jest nadzorowane przez zespół ds. bezpieczeństwa, z Single-Sign-On i 2FA jako domyślnymi. Właściciele zostali zdefiniowani dla każdego zasobu informacyjnego, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie przeglądany. Kiedy mamy do czynienia z wrażliwymi informacjami lub podejmujemy krytyczne działania, stosujemy zasadę czterech oczu.
Środki zapewnienia rejestrowania zdarzeń: Dzienniki audytów są centralnie przechowywane i monitorowane regularnie pod kątem zdarzeń związanych z bezpieczeństwem i są zabezpieczane, aby uniknąć ryzyka manipulacji. Polityka Zarządzania Incydentami wymusza plan reakcji na incydenty i jego procedury. Te wytyczne są przestrzegane, jeśli wystąpi jakikolwiek rodzaj incydentu technicznego lub bezpieczeństwa. W przypadku incydentów bezpieczeństwa, będą one regularnie przeglądane przez Komitet Sterujący ds. Bezpieczeństwa, w którego skład wchodzą starsi interesariusze z całej firmy.
Środki zapewnienia konfiguracji systemów, w tym domyślnej konfiguracji: Przestrzegamy spójnego procesu zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby bardziej szczegółowo wyjaśnić, wszystkie zapytania o zmiany (RFC) muszą zostać zatwierdzone przez określoną stronę i wykonane zgodnie z formalnym procesem zarządzania zmianami. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wydawane w sposób kontrolowany; oraz że status każdej proponowanej zmiany jest monitorowany. Podstawy konfiguracji są przestrzegane, aby bezpiecznie konfigurować systemy zgodnie z najlepszymi praktykami. Ponadto w dziale Inżynierii używana jest radar technologii, aby określić, które technologie (języki, narzędzia platformy, bazy danych i narzędzia do zarządzania danymi) można wdrożyć lub należy unikać podczas rozwoju.
Środek zapewnienia bezpieczeństwa fizycznego: Aktywnie promujemy politykę „Pracuj skądkolwiek”, dzięki czemu nasi pracownicy mogą pracować z dowolnego miejsca. Jednak nadal mamy nasze biurowe pomieszczenia. Na naszych terenach nie ma bezpiecznych stref/centrum danych, ponieważ jesteśmy całkowicie firmą opartą na chmurze. Nasze piętra biurowe są chronione przez fizyczne kontrole dostępu, CCTV i ochronę na miejscu.
Środki zapewnienia wewnętrznego zarządzania IT i bezpieczeństwem IT oraz jego zarządzanie: Utrzymujemy program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne środki zaprojektowane w celu ochrony Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji jest zorganizowany w sposób systematyczny i dobrze zorganizowany. Ponadto obowiązują wymagania prawne i regulacyjne w celu zapewnienia poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów i klientów. Wszystkie te informacje są tłumaczone na nasze zasady, procedury i wytyczne dotyczące bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie działań strategicznych na działania operacyjne na rzecz naszego bezpieczeństwa, oraz nasze ciągłe utrzymywanie zgodności regulacyjnej. Wszyscy pracownicy są odpowiedzialni za ochronę zasobów firmy. Wszyscy nasi pracownicy są weryfikowani pod względem umiejętności, doświadczenia i uczciwości. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie wdrażania oraz poprzez regularne szkolenia zespołowe i inne prezentacje całofirmowe o znaczeniu ochrony danych i zgodności z bezpieczeństwem. MessageBird posiada certyfikat ISO/IEC 27001:2013, światowo uznany standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingowi są zgodni z ISO/IEC 27001:2013.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i całkowicie przejrzyści wobec naszych klientów.
Jesteśmy członkiem stowarzyszonym Grupy Specjalnej Stowarzyszenia Operatorów Mobilnych (GSMA). GSMA reprezentuje interesy operatorów mobilnych na całym świecie. Jesteśmy zawsze na bieżąco ze wszystkimi obowiązującymi przepisami i regulacjami, w tym z Ogólnym rozporządzeniem o ochronie danych.
Środki dotyczące certyfikacji/zapewnienia procesów i produktów: Podlegamy rygorystycznym audytom nadzoru oraz certyfikacji w ramach naszej zgodności z ISO/IEC 27001:2013 oraz regularnie przeprowadzamy testy podatności aplikacji i penetracyjne. MessageBird przyjmuje zjednoczone podejście do zarządzania lukami i podatnościami, aby zapewnić utrzymanie naszych standardowych terminów SLA, niezależnie od tego, czy luki istnieją w naszej infrastrukturze, platformach operacyjnych, czy kodzie źródłowym.
Środki zapewnienia bezpieczeństwa aplikacji: Zapewniamy bezpieczeństwo naszych aplikacji podczas etapu projektowania i rozwoju w oparciu o MessageBird Secure Code Guidelines.
Odpowiednie poprawki są wprowadzane przed wydaniem.
Zmiany w kodzie są przeglądane przez wykwalifikowane osoby (znające przegląd kodu i bezpieczny rozwój) inne niż pierwotni deweloperzy.
Aplikacje będą poddawane rygorystycznym testom bezpieczeństwa aplikacji w celu identyfikacji nowych zagrożeń i luk co najmniej raz do roku (zgodnie z normami branżowymi i najlepszymi praktykami).
Wszystkie zmiany kodu dla aplikacji, które są wprowadzane do środowisk produkcyjnych, są przeglądane za pomocą procesów manualnych i/lub automatycznych.
Testy penetracyjne są przeprowadzane corocznie oraz indywidualnie dla nowych produktów/funkcji. Automatyczne narzędzia do analizy kodu źródłowego są używane do wykrywania defektów bezpieczeństwa w kodzie przed wdrożeniem, w zależności od języka.
Środki dla ujawniania podatności: Doceniamy badaczy bezpieczeństwa, którzy znaleźli podatności na naszej platformie, aby skontaktowali się z nami i przesłali swoje odkrycia na security@bird.com. Mamy dedykowany zespół ds. bezpieczeństwa, który podejmuje działania i wysyła zaproszenia do naszego programu nagród za zgłoszenia błędów w celu zbadania i naprawienia w razie potrzeby.
Środki zapewniające odpowiedzialność: Wdrożamy polityki ochrony informacji i danych zgodnie z obowiązującymi przepisami i publikujemy przegląd informacji istotnych dla naszego ISMS (link). Wyznaczyliśmy specjalnego VP ds. zgodności i bezpieczeństwa informacji oraz Inspektora Ochrony Danych i prowadzimy dokumentację naszych działań przetwarzania, w tym rejestrowanie i zgłaszanie incydentów bezpieczeństwa obejmujących Dane Osobowe, tam gdzie ma to zastosowanie.