Umowa o przetwarzaniu danych
To Porozumienie o Przetwarzaniu Danych dotyczy Ciebie, jeśli zapisałeś się na usługi MessageBird (w tym poprzez dowolne jego podmioty stowarzyszone) w dniu lub po 28 lutego 2022 roku i przed 1 stycznia 2024 roku. Obowiązuje od 15 kwietnia 2022 roku, to Porozumienie o Przetwarzaniu Danych będzie również dotyczyć klientów, którzy zapisali się na usługi MessageBird przed 28 lutego 2022 roku. Nasze zarchiwizowane Porozumienie o Przetwarzaniu Danych jest dostępne w naszym archiwum Porozumień o Przetwarzaniu Danych.
Dokumenty
Zawartość
Ta umowa dotycząca przetwarzania danych, w tym załączniki („DPA”) jest częścią Umowy między Klientem a podmiotem, który zawarł umowę wymienioną w Sekcji 15 (Podmiot Zawierający Umowę) Ogólnych Warunków, chyba że na formularzu zamówienia podano inaczej. W tej DPA, terminy „ty”, “twój”, lub “Klient” odnoszą się do ciebie (z zastrzeżeniem Sekcji 1.2 poniżej), a terminy „my”, “nas,” “nasz” lub “MessageBird” odnoszą się do nas.
1. Scope, Customer Affiliates and Term
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako przetwarzającego.
1.2 Oddziały Klienta. Klient zawiera niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przez przepisy o ochronie danych, w imieniu i na rzecz swoich Oddziałów (zgodnie z definicją w Regulaminie), jeśli i w zakresie, w jakim zapewniasz takim Oddziałom dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których takie Oddziały kwalifikują się jako administrator danych („Oddziały Klienta”). Na potrzeby niniejszej DPA oraz z wyjątkiem sytuacji wyraźnie wskazanych inaczej, terminy „Klient” i „ty” obejmują Klienta i Oddziały.
1.3 Okres obowiązywania. Niniejsza DPA pozostaje w mocy, dopóki MessageBird przetwarza Dane Osobowe Klienta podlegające tej DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
Terminy z dużymi literami użyte, ale nie zdefiniowane w niniejszym DPA, mają znaczenie nadane im w Umowie. W niniejszym DPA używane są następujące zdefiniowane terminy:
2.1 „CCPA” oznacza California Consumer Privacy Act z 2018 roku oraz wszelkie przepisy wykonawcze do niej, w każdym przypadku z późniejszymi zmianami.
2.2 „Customer Data” oznacza wszelkie dane i inne informacje lub treści przesłane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej aplikacji dla klientów) na podstawie Umowy oraz przetwarzane lub przechowywane przez Usługi.
2.3 „Customer Personal Data” oznacza Dane Osobowe zawarte w Danych Klienta. Dane konta nie są Danymi Osobowymi Klienta. Dane konta to wszelkie dane dostarczone przez Ciebie lub dla Ciebie do MessageBird w związku z zawieraniem i zarządzaniem Umową oraz Twoim kontem, w tym, ale nie tylko, informacje kontaktowe, szczegóły rozliczeniowe Klienta i korespondencja dotycząca zawierania i zarządzania Umową.
2.4 „Data Protection Legislation” oznacza wszystkie przepisy i regulacje dowolnej jurysdykcji dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym, gdzie ma to zastosowanie, GDPR, CCPA oraz wszystkie inne przepisy i regulacje dotyczące prywatności, marketingu bezpośredniego lub ochrony danych.
2.5 „EEA” oznacza dla celów niniejszego DPA, Europejski Obszar Gospodarczy oraz Szwajcarię.
2.6 „EU Controller-to-Processor Standard Contractual Clauses” oznacza „Kontroler do Procesora” (Moduł 2) moduły Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z GDPR i decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021.
2.7 „EU Processor-to-Subprocessor Standard Contractual Clauses” oznacza „Procesor do Procesora” (Moduł 3) moduły Standardowych Klauzul Umownych dotyczących transferu Danych Osobowych do krajów trzecich zgodnie z GDPR i decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021.
2.8 „GDPR” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady dotyczące ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych i swobodnym przepływem takich danych (Ogólne Rozporządzenie o Ochronie Danych); albo (ii) wyłącznie w odniesieniu do Wielkiej Brytanii, Data Protection Act 2018.
2.9 „LGPD” oznacza Lei Geral de Proteção de Dados z 2018 roku oraz wszelkie przepisy wykonawcze do niej, w każdym przypadku z późniejszymi zmianami.
2.10 „Personal Data” oznacza wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2.11 „PDPA” oznacza Personal Data Protection Act z 2012 roku oraz wszelkie przepisy wykonawcze do niej, w każdym przypadku z późniejszymi zmianami.
2.12 „Privacy Statement” oznacza obowiązującą w danym czasie Politykę Prywatności dla Usług, zgodnie z określeniem w Bird Privacy Statement.
2.13 „Personal Data Breach” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta.
2.14 „Services” oznacza wszystkie produkty i usługi dostarczane przez nas lub naszych Partnerów, które są (a) zamówione przez Ciebie na podstawie formularza zamówienia; lub (b) używane przez Ciebie.
2.15 „Standard Contractual Clauses” oznacza albo (i) EU Controller-to-Processor Standard Contractual Clauses; albo (ii) EU Processor-to-Subprocessor Standard Contractual Clauses, pojedynczo lub łącznie, w zależności od zastosowania.
2.16 „Subprocessor” oznacza podmiot przetwarzający Dane Osobowe Klienta w imieniu podmiotu działającego jako procesor danych lub Subprocessor.
2.17 „UK Controller-to-Processor Standard Contractual Clauses” oznacza Standardowe Klauzule Umowne dotyczące transferu Danych Osobowych do procesorów ustanowionych w krajach trzecich w formie określonej przez decyzję Komisji Europejskiej 2010/87/UE, z możliwością jej zmian, modyfikacji lub zastąpienia przez Komisję Europejską.
Terminy takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „osoba, której dane dotyczą” itp. mają znaczenie przypisane im w ramach GDPR. Definicja „administratora danych” obejmuje „biznes”, „kontroler” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesor” i „pośrednika danych”; „osoba, której dane dotyczą” obejmuje „konsumenta” i „osobę fizyczną”; a „Dane Osobowe” obejmuje „informacje osobiste”, w każdym przypadku zgodnie z definicją w CCPA, LGPD lub PDPA.
3. Przetwarzanie danych osobowych klientów
3.1 Cel. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, udzielania wsparcia oraz rozwijania i wdrażania usprawnień i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami do nas jako przetwarzającego dane zgodnie z określonymi instrukcjami w Sekcji 3.2 tego DPA oraz (ii) do naszych prawnie uzasadnionych celów biznesowych określonych w Sekcji 3.4 tego DPA jako administratora danych. Nie sprzedajemy Żadnych Danych Osobowych, w tym Danych Osobowych Klienta, ani nie udostępniamy Danych Osobowych stronom trzecim za wynagrodzeniem lub w celach biznesowych tych stron trzecich.
3.2 Instrukcje. Umowa i to DPA stanowią kompletne instrukcje dla nas jako przetwarzającego dane na dzień podpisania tego DPA. Będziemy przestrzegać innych rozsądnie udokumentowanych instrukcji pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły przetwarzania. Aneks I, Część B. (Opis transferu) tego DPA dodatkowo określa charakter i cel przetwarzania, działania związane z przetwarzaniem, czas trwania przetwarzania, rodzaje Danych Osobowych i kategorie podmiotów danych przez nas jako przetwarzającego dane lub Subprocesora.
3.4 Prawnie uzasadnione cele biznesowe. Przyznajesz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących prawnie uzasadnionych celów biznesowych: rozliczenia, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą mieć wpływ na nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie mocy produkcyjnej i przychodów, strategia produktowa), zapobieganie oszustwom, spamowi i nadużyciom, poprawa produktów oraz przestrzeganie naszych obowiązków prawnych.
4. Customer Obligations
4.1 Zgodność z prawem. Gdy działasz jako administrator danych Danych Osobowych Klienta, gwarantujesz, że wszystkie działania przetwarzania są zgodne z prawem, mają określony cel, oraz że są wprowadzone wszelkie wymagane zawiadomienia, zgody lub inne odpowiednie podstawy prawne, aby umożliwić zgodny z prawem transfer Danych Osobowych Klienta. Jeśli jesteś procesorem danych (w takim przypadku my będziemy działać jako Podprocesor), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w tej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz Przepisów o Ochronie Danych mających zastosowanie do twojego korzystania z Usług i do twojego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy środki techniczne i organizacyjne Usług spełniają twoje wymagania, oraz (c) wdrożenie i utrzymanie działań dotyczących prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Mając na uwadze stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnych prawdopodobieństwach i ciężkości dla praw i wolności osób fizycznych, wprowadzimy i będziemy utrzymywać odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed naruszeniami Danych Osobowych oraz aby zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta używanych przez nasze systemy do przetwarzania Danych Klienta. Środki bezpieczeństwa stosowane przez nas są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Jesteś odpowiedzialny za przegląd informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i zobowiązania prawne zgodnie z ustawodawstwem o ochronie danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „potrzeby wiedzy” i najmniejszych przywilejów.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub podmiot upoważniony przez nas do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podprzetwarzający) zostaną poinformowani o poufnym charakterze takich Danych Osobowych Klienta i będą zobowiązani do zachowania odpowiedniej poufności (czy to na mocy umowy, czy obowiązku ustawowego), która przetrwa zakończenie ich zatrudnienia.
5.5 Reakcja i powiadomienie o Naruszeniu Danych Osobowych. Po otrzymaniu informacji o Naruszeniu Danych Osobowych, niezwłocznie (i) powiadomimy Cię, (ii) przeprowadzimy dochodzenie w sprawie Naruszenia Danych Osobowych, (iii) dostarczymy terminowe informacje dotyczące Naruszenia Danych Osobowych, w miarę jak staną się one znane lub w miarę uzasadnionych żądań z Twojej strony oraz (iv) podejmiemy komercyjnie uzasadnione kroki w celu złagodzenia skutków i zapobieżenia ponownemu wystąpieniu Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Zapewnimy Ci rozsądnie wymaganą pomoc, aby umożliwić Ci wypełnienie obowiązków wynikających z przepisów o ochronie danych, w tym powiadamianie o naruszeniu ochrony danych osobowych, ocena odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w realizacji odpowiedniej oceny skutków w zakresie ochrony danych.
6.2 Pomoc w realizacji żądań osób, których dane dotyczą. Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci wypełnienie obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na mocy przepisów o ochronie danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do danych osobowych klienta danego podmiotu danych.
7. Ujawnienie i Wnioski o Ujawnienie
7.1 Ograniczenia ujawniania i dostępu. Nie udostępnimy ani nie ujawnimy Danych Osobowych Klienta, z wyjątkiem (i) na Twoje polecenie, (ii) zgodnie z Umową i niniejszym DPA, lub (iii) gdy jest to wymagane prawem.
7.2 Żądania ujawnienia. Powiadomimy Cię tak szybko, jak to będzie racjonalnie możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że takie powiadomienie jest zabronione przez prawo. Będziemy obsługiwać żądania ujawnienia zgodnie z naszą Polityką Żądań Ujawnienia.
8. Subprocessors
8.1 Aktualni Podprocesorzy. Zgadzasz się na angażowanie Podprocesorów wymienionych pod nagłówkiem „Dane osobowe użytkownika końcowego” w Liście Podprocesorów Bird, która zawiera również procedurę umożliwiającą subskrypcję powiadomień o zmianach w naszym korzystaniu z Podprocesorów. Jeśli zasubskrybujesz takie powiadomienia, uwzględniając Sekcję 8.3 tego DPA, przekażemy szczegóły jakichkolwiek zmian w Podprocesorach tak szybko, jak to będzie możliwe.
8.2 Użycie Podprocesorów. Na mocy tego DPA, udzielasz nam ogólnego pisemnego autorytetu na angażowanie Podprocesorów do przetwarzania Danych Osobowych Klienta, z zastrzeżeniem Sekcji 8.3 tego DPA i następujących wymagań:
a. Ograniczymy dostęp do Danych Osobowych Klienta przez Podprocesorów do tego, co jest ściśle niezbędne do świadczenia usług określonych w umowie podprocesora;
b. Uzgodnimy obowiązki ochrony danych z Podprocesorem, które są w zasadniczy sposób takie same jak obowiązki wynikające z tego DPA; oraz
c. Pozostajemy odpowiedzialni wobec ciebie na mocy tego DPA za wykonanie obowiązków ochrony danych Podprocesora.
8.3 Powiadomienie o zmianach Podprocesorów i prawo do sprzeciwu. Przed zastąpieniem lub zaangażowaniem nowych Podprocesorów („Zmiana Podprocesora”), damy ci możliwość sprzeciwu wobec Zmiany Podprocesora.
Możesz zgłosić sprzeciw wobec Zmiany Podprocesora pod warunkiem, że (i) sprzeciw zostanie zgłoszony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podprocesora oraz (ii) sprzeciw oparty jest na uzasadnionych przesłankach związanych z ochroną Danych Osobowych Klienta i wyraźnie je wyjaśnia. Gdy zgłosisz sprzeciw wobec proponowanej Zmiany Podprocesora, będziemy współpracować z tobą w dobrej wierze, aby dokonać komercyjnie uzasadnionej zmiany w świadczeniu Usług, która unika stosowania odpowiedniego Podprocesora. Jeśli takiej zmiany nie można w rozsądny sposób dokonać w ciągu trzydziestu (30) dni roboczych od otrzymania od nas twojego powiadomienia o sprzeciwie, lub jeśli zmiana jest dla nas komercyjnie nieuzasadniona, każda ze stron może zakończyć świadczenie odpowiednich funkcji Usług, które nie mogą być realizowane bez udziału odpowiedniego Podprocesora. To prawo do zakończenia jest twoim jedynym i wyłącznym środkiem zaradczym, jeśli zgłosisz sprzeciw wobec Zmiany Podprocesora.
9. Transfery Transgraniczne Danych Osobowych Klientów
9.1 Przeniesienia Danych Osobowych Klienta. Możemy przenosić Dane Osobowe Klienta pod warunkiem, że wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych są wprowadzone. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki prawne dostępne dla osób, których dane dotyczą.
9.2 Standardowe Klauzule Umowne dla Podprocesorów. O ile nie ma zastosowania decyzja o odpowiednim poziomie ochrony lub alternatywny mechanizm transferu, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z Podprocesorami (w tym z naszymi Podmiotami Powiązanymi) zlokalizowanymi poza EOG, zgodnie z warunkami określonymi w Sekcji 9.1 tego DPA.
9.3 Mechanizmy Transferu dla Przeniesień Danych Osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych, aby legalnie przesłać Dane Osobowe Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria, Wielka Brytania) do nas zlokalizowanych poza tą jurysdykcją, niniejszy dział będzie miał zastosowanie. Jeśli, w trakcie realizacji Usług, Dane Osobowe Klienta, które podlegają RODO lub innemu prawu dotyczącym ochrony lub prywatności osób, które ma zastosowanie do tego DPA, są przekazywane do MessageBird zlokalizowanego w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych osobowych w rozumieniu przepisów o ochronie danych, mechanizmy transferu wymienione poniżej będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony w zakresie, w jakim takie transfery podlegają przepisom o ochronie danych:
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne będą stosowane do Danych Osobowych Klienta, które są przekazywane za pośrednictwem Usług z EOG lub Szwajcarii, bezpośrednio lub przez dalszy transfer, do jednostki MessageBird zlokalizowanej w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, przez właściwy organ ze Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako administrator danych, a MessageBird jest procesorem danych, będą miały zastosowanie standardowe klauzule umowne UE dotyczące relacji administrator-procesor dla każdego takiego transferu Danych Osobowych Klienta z EOG. Gdy działasz jako przetwarzający dane, a MessageBird jest podprocesorem, standardowe klauzule umowne procesor-podprocesor będą miały zastosowanie do każdego takiego transferu Danych Osobowych Klienta z EOG.
9.3.1.2 MessageBird będzie traktowane jako importer danych, a Ty będziesz traktowany jako eksporter danych zgodnie ze Standardowymi Klauzulami Umownymi. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie stosownych Standardowych Klauzul Umownych, które będą uznane za włączone do tego DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały pierwszeństwo wyłącznie w odniesieniu do przeniesienia Danych Osobowych Klienta z EOG.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają od stron wyboru pomiędzy opcjonalnymi klauzulami i wprowadzeniem informacji, strony dokonały takiego wyboru, jak podano poniżej:
Opcjonalna Klauzula 7 „Klauzula zakotwiczająca” nie będzie przyjęta.
Dla Klauzuli 9 „Użycie podprocesorów”, strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna autoryzacja: importer danych ma ogólną autoryzację kontrolera na zaangażowanie podprocesora(-ów) z uzgodnionej listy. Importer danych musi konkretnie poinformować kontrolera na piśmie o wszelkich planowanych zmianach na tej liście poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając kontrolerowi wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takiej zmiany przed zaangażowaniem podprocesora(-ów). Importer danych dostarczy eksporterowi danych informacje konieczne do umożliwienia mu skorzystania z prawa do sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podprocesora(-ów).”
Dla Klauzuli 11 (a) „Zadośćuczynienie”, strony nie przyjmują Opcji.
Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że takie prawo zezwala na prawa osób trzecich. Strony zgadzają się, że tym prawem będzie prawo Niderlandów.”
Dla Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2 Strony zgadzają się, że Standardowe Klauzule Umowne dotyczące relacji kontroler-procesor Zjednoczonego Królestwa będą miały zastosowanie do Danych Osobowych Klienta przenoszonych za pośrednictwem Usług z Zjednoczonego Królestwa, bezpośrednio lub przez dalszy transfer, do jednostki MessageBird zlokalizowanej w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez właściwy organ regulacyjny Zjednoczonego Królestwa lub ciało rządowe Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1 MessageBird będzie traktowane jako importer danych, a Ty będziesz traktowany jako eksporter danych zgodnie ze Standardowymi Klauzulami Umownymi Zjednoczonego Królestwa dotyczące relacji kontroler-procesor. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie Standardowych Klauzul Umownych Zjednoczonego Królestwa dotyczących relacji kontroler-procesor, które będą uznane za włączone do tego DPA. Szczegóły wymagane na mocy Aneksu 1 i Aneksu 2 do Standardowych Klauzul Umownych Zjednoczonego Królestwa są dostępne w Załączniku I i Załączniku II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi Zjednoczonego Królestwa dotyczące relacji kontroler-procesor, Standardowe Klauzule Umowne Zjednoczonego Królestwa dotyczące relacji kontroler-procesor będą miały pierwszeństwo wyłącznie w odniesieniu do transferu Danych Osobowych Klienta z Zjednoczonego Królestwa.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego wyłącznego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie udostępnimy ci podsumowanie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytu oraz niniejszą DPA. Takie raporty z audytu, jak również wszelkie zawarte w nich wnioski lub ustalenia, są naszą Informacją Poufną.
10.2 Żądania informacji od klienta. Udostępnimy ci wszystkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej DPA. Udostępnimy pisemne odpowiedzi na uzasadnione żądania informacji złożone przez ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są uzasadnione pod względem zakresu i niezbędne do potwierdzenia zgodności z niniejszą DPA, pod warunkiem, że ty (i) najpierw podejmiesz rozsądny wysiłek, aby uzyskać żądane informacje z dokumentacji, raportów z audytu i innych informacji dostarczonych lub upewnisz się, że zostały one upublicznione przez nas, oraz (ii) nie będziesz korzystać z tego prawa częściej niż raz w roku, chyba że naruszenie ochrony danych osobowych lub istotna zmiana w naszych czynnościach przetwarzania związanych z Usługami wymaga wykonania dodatkowego kwestionariusza. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas tobie daje ci uzasadnione powody do podejrzeń, że naruszamy nasze obowiązki wynikające z niniejszej DPA, związane z danymi osobowymi klienta dostarczonymi przez ciebie, umożliwimy niezależnemu i wykwalifikowanemu audytorowi strony trzeciej wyznaczonemu przez ciebie i zatwierdzonemu przez nas przeprowadzenie audytu odpowiednich czynności przetwarzania danych osobowych, pod warunkiem spełnienia następujących wymagań:
a. Powiadomisz nas z co najmniej sześćdziesięciodniowym (60) wyprzedzeniem o zamiarze przeprowadzenia audytu;
b. Audytor zgodzi się na standardowe zobowiązania do zachowania poufności z nami;
c. Ty i audytor podejmiecie środki mające na celu zminimalizowanie zakłóceń w naszych operacjach biznesowych;
d. Audyt zostanie przeprowadzony w regularnych godzinach pracy;
e. Nie będziemy zobowiązani do udostępniania danych klientów innych klientów ani systemów niezwiązanych ze świadczeniem Usług; oraz
f. Poniesiesz wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Po rozwiązaniu lub wygaśnięciu Umowy, my (według twojego wyboru) usuniemy lub zwrócimy ci wszystkie Dane Osobowe Klienta (w tym kopie) znajdujące się w naszym posiadaniu lub pod naszą kontrolą, z zastrzeżeniem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim prawo wymaga od nas przechowania części lub całości Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta zarchiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte po upłynięciu wymaganego okresu przechowywania.
12. Komunikacja i prawa partnerskiego klienta
Wejście w życie tej DPA w imieniu i na rzecz Podmiotu Powiązanego Klienta, jak określono w Sekcji 1.2, stanowi odrębną DPA między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem następujących punktów:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację wszelkiej komunikacji z nami w ramach tej DPA i jest uprawniony do dokonywania i odbierania wszelkiej komunikacji w związku z tą DPA w imieniu swoich Podmiotów Powiązanych Klienta.
12.2 Prawa Podmiotów Powiązanych Klienta. W przypadku przystąpienia Podmiotu Powiązanego Klienta do DPA z nami, w zakresie wymaganym przez przepisy o ochronie danych, jest on uprawniony do wykonywania praw i dochodzenia środków prawnych wynikających z tej DPA, z zastrzeżeniem następujących punktów:
(i) O ile przepisy o ochronie danych nie wymagają, aby Podmiot Powiązany Klienta realizował prawo lub dochodził środka prawnego w ramach tej DPA przeciwko MessageBird bezpośrednio w swoim imieniu, strony uzgadniają, że (i) wyłącznie Klient będący stroną umowy będzie realizował takie prawo lub dochodził takiego środka prawnego w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną umowy będzie wykonywał takie prawa w ramach tej DPA nie oddzielnie dla każdego Podmiotu Powiązanego Klienta indywidualnie, lecz w sposób zbiorowy w imieniu swoim i wszystkich swoich Podmiotów Powiązanych Klienta.
(ii) Strony uzgadniają, że Klient będący stroną umowy, gdy audyt na miejscu procedur związanych z ochroną danych osobowych Klienta jest przeprowadzany w jego imieniu, jak określono w sekcji 10.3 tej DPA, podejmie wszelkie rozsądne środki w celu ograniczenia jakiegokolwiek wpływu na nas poprzez połączenie, w możliwie największym zakresie, kilku zapytań audytowych przeprowadzanych w swoim imieniu oraz wszystkich swoich Podmiotów Powiązanych Klienta w jeden pojedynczy audyt.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną umowy.
13. Kalifornijska Ustawa o Ochronie Prywatności Konsumentów
Składamy następujące dodatkowe zobowiązania wobec Ciebie w odniesieniu do przetwarzania Danych Osobowych Klienta w ramach CCPA.
13.1 Nasze Zobowiązania. Będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klienta podlegające CCPA („CCPA Personal Data”) zgodnie z postanowieniami CCPA. W odniesieniu do CCPA Personal Data, jesteśmy dostawcą usług zgodnie z CCPA. Nie będziemy (a) sprzedawać CCPA Personal Data; (b) zatrzymywać, używać ani ujawniać żadnych CCPA Personal Data w innym celu niż określony cel świadczenia Usług, w tym zatrzymywania, używania lub ujawniania CCPA Personal Data w celach komercyjnych innych niż świadczenie Usług; lub (c) zatrzymywać, używać ani ujawniać CCPA Personal Data poza bezpośrednią relacją biznesową z Tobą. Przetwarzanie CCPA Personal Data autoryzowane Twoimi instrukcjami w Warunkach i tym DPA jest integralną częścią świadczenia przez nas Usług. Przyznajesz i zgadzasz się, że nasz dostęp do Danych Klienta nie stanowi części wynagrodzenia wymienianego w ramach Umowy. W zakresie, w jakim jakiekolwiek dane użycia są uznawane za CCPA Personal Data, jesteśmy odpowiedzialnym za te dane i będziemy je przetwarzać zgodnie z naszą Polityką Prywatności. Terminy „przedsiębiorstwo”, „cel komercyjny”, „dostawca usług” i „sprzedawać” użyte w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. Obie strony potwierdzają, że rozumieją i będą przestrzegać zobowiązań i ograniczeń określonych w tym DPA i Umowie, jak wymagane na mocy CCPA.
13.2 Zobowiązania Klienta. Oświadczasz i zapewniasz, że powiadomiłeś Użytkownika końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z warunkami i postanowieniami przewidzianymi w Sekcji 1798.140(t)(2)(C)(i) CCPA. Jesteś odpowiedzialny za zgodność z wymogami CCPA, które dotyczą Ciebie jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Sekcja 13 Warunków będzie miała zastosowanie do wszelkich sporów wynikających z tej DPA lub z nią związanych, chyba że wymaga tego inaczej ustawodawstwo dotyczące ochrony danych.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, niniejszy Załącznik 1 będzie służyć jako Załącznik I do Standardowych Klauzul Umownych EOG.
Załącznik I, Część A. Lista stron
Eksporter danych: Klient
Dane kontaktowe eksportera danych: Adres podany na koncie Klienta, lub adres e-mail właściciela konta Klienta, lub adres e-mail na który Klient wybiera otrzymywanie powiadomień zgodnie z Umową.
Rola eksportera danych: Rola eksportera danych została określona w Sekcji 4 DPA.
Podpis i data: Jeśli dotyczy, eksporter danych uznawany jest za podpisany Standardowe Klauzule Umowne włączone niniejszym z dniem wejścia w życie DPA.
Importer danych: MessageBird B.V.
Dane kontaktowe importera danych: Trompenburgstraat 2-C, 1079TX, Amsterdam, Holandia, Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych: Importer danych działa jako procesor danych.
Podpis i data: Jeśli dotyczy, importer danych uznawany jest za podpisany Standardowe Klauzule Umowne włączone niniejszym z datą wejścia w życie DPA.
Załącznik I, Część B. Opis transferu
1. Kategorie podmiotów danych, których dane osobowe są przekazywane: Użytkownicy. Osoby kontaktowe Klienta (osoby fizyczne) lub pracownicy, kontrahenci albo pracownicy tymczasowi (obecni, przyszli, byli) korzystający z Usług przez konto Klienta („Użytkownicy”); Końcowi użytkownicy. Każda osoba (i) której dane kontaktowe są zawarte w listach kontaktów Klienta; (ii) której informacje są przechowywane lub gromadzone za pośrednictwem Usług, lub (ii) do której Klient wysyła komunikacje lub w inny sposób angażuje się lub komunikuje za pośrednictwem Usług (łącznie „Końcowi użytkownicy”). To wyłącznie do Klienta należy określenie kategorii podmiotów danych zawartych w komunikacji przesyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie przekazywanych danych osobowych: Dane osobowe Klienta zawarte w treści komunikacji, dane o ruchu, dane End-User i dane o użytkowaniu klientów. Treść komunikacji, która może zawierać dane osobowe lub inne spersonalizowane cechy, zależnie od treści komunikacji określonej przez Klienta. Dane o ruchu, które mogą zawierać dane osobowe Klienta dotyczące trasowania, czasu trwania lub czasu komunikacji, tak jak połączenie głosowe, SMS czy e-mail, niezależnie czy dotyczą je jednostki czy firmy. Dane użytkownika końcowego, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału. Dane o użytkowaniu klientów mogą zawierać dane, które można powiązać z Klientem jako indywidualnym użytkownikiem uwzględnione w danych statystycznych oraz informacje związane z działaniami na koncie i w usłudze, wglądy w usługi i raporty analityczne dotyczące wysyłanej komunikacji oraz wsparcia klientów.
3. Przekazywane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych oraz związane z nimi ryzyko, np. ograniczenia dotyczące celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszych przesyłek lub dodatkowe środki bezpieczeństwa.
(a) Treść komunikacji. Dane wrażliwe mogą być czasami przetwarzane za pomocą Usług, gdy Klient lub jego końcowi użytkownicy decydują się włączyć dane wrażliwe w treści komunikacji, które są przesyłane za pomocą Usług. Klient jest odpowiedzialny za zapewnienie, że przed przekazaniem lub przetworzeniem lub przed zezwoleniem swoim końcowych użytkownikom na przesyłanie lub przetwarzanie wrażliwych danych za pomocą Usług, zostały wdrożone odpowiednie zabezpieczenia, zgodnie z Sekcją 3.2 Umowy.
(b) Dane o ruchu, dane użytkownika końcowego i dane o użytkowaniu klientów. W danych o ruchu, danych użytkownika końcowego ani w danych o użytkowaniu klientów nie zawierają się żadne dane wrażliwe.
4. Częstotliwość transferu (np. czy dane są przesyłane jednorazowo lub na bieżąco): Dane osobowe Klienta są przesyłane na bieżąco przez czas trwania Umowy.
5. Charakter przetwarzania: Będziemy przetwarzać dane osobowe Klienta w zakresie niezbędnym do świadczenia Usług na podstawie Umowy. Nie sprzedajemy żadnych danych osobowych, w tym danych osobowych Klienta, i nie udostępniamy danych osobowych osobom trzecim za wynagrodzeniem ani dla własnych celów biznesowych tych osób trzecich.
6. Cel(e) transferu danych i dalsze przetwarzanie: Będziemy przetwarzać dane osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w niniejszej DPA, chyba że przetwarzanie jest niezbędne do zapewnienia zgodności z obowiązkiem prawnym, któremu podlegamy, wówczas zostaniemy sklasyfikowani jako administrator danych.
Treść komunikacji, dane o ruchu, dane użytkownika końcowego i dane o użytkowaniu klientów. Dane osobowe zawarte w treści komunikacji, danych o ruchu, danych użytkownika końcowego i danych o użytkowaniu klientów będą podlegać następującym podstawowym czynnościom przetwarzania:
(a) Treść komunikacji. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programistycznych aplikacji (API) lub za pośrednictwem Panelu, Klientowi, w tym przesyłanie do lub z aplikacji programowej Klienta z lub innej sieci komunikacyjnej.
(b) Dane o ruchu. Dane o ruchu są przetwarzane w celu przekazywania komunikacji w sieci komunikacji elektronicznej lub do rozliczeń w związku z tą komunikacją. To może obejmować dane osobowe Klienta dotyczące trasowania, czasu trwania lub czasu komunikacji, tak jak połączenie głosowe, SMS czy e-mail, niezależnie czy dotyczą jednostki czy firmy.
(c) Dane użytkownika końcowego. Dane osobowe użytkowników końcowych są wymagane, aby świadczenie Usług było możliwe i będą one przetwarzane jedynie w celach przekazu komunikacyjnego, wsparcia klienta oraz zapewnienia zgodności z obowiązkami prawnymi MessageBird.
(d) Dane o użytkowaniu klientów. Dane osobowe zawarte w danych o użytkowaniu klientów będą podlegać czynnościom przetwarzania związanym z zapewnieniem Usług na podstawie Umowy, w celu dostarczenia Klientowi wglądów związanych z Usługami i raportów analitycznych dotyczących wysyłanej komunikacji, wsparcia klienta oraz ciągłej poprawy Usług.
7. Okres przechowywania danych osobowych lub jeśli to nie jest możliwe, kryteria stosowane do określenia tego okresu:
(a) Treść komunikacji i dane o ruchu. Dla treści komunikacji i danych o ruchu zawartych w Usługach SMS i Voice zastosowano okres przechowywania sześć miesięcy;
Dla Usług 24sessions treści komunikacyjne i dane o ruchu są przechowywane przez minimalnie 30 dni do okresu, jaki zostanie uzgodniony z Klientem;
Dla wszystkich innych usług treści komunikacyjne i dane o ruchu są przechowywane przez czas trwania Usług, chyba że Klient usunie treści komunikacyjne lub dane o ruchu za pomocą udostępnionych mu środków technicznych i organizacyjnych oferowanych za pośrednictwem Usług.
(b) Dane użytkownika końcowego. Dane użytkownika końcowego będą przetwarzane przez okres ustalony przez Klienta, gdy dane użytkownika końcowego są włączone do profilu kontaktowego, domyślny okres przechowywania wynosi tyle samo, co czas trwania Usług, zgodnie z Sekcją 6(c) niniejszego Załącznika I, Część B.
(c) Dane o użytkowaniu klientów. Po zakończeniu Umowy możemy zachować, używać i ujawniać Dane o Użytkowaniu Klienta do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B, zgodnie z obowiązkami poufności określonymi w Umowie. Będziemy anonimizować lub usuwać dane o użytkowaniu klientów, gdy nie będą one już potrzebne dla celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B.
8. Dla transferów do (pod)procesorów określ również temat, charakter i czas przetwarzania: Dla transferów do Podprocesorów, temat i charakter przetwarzania są opisane w Liście Podprocesorów Bird, a czas przetwarzania odpowiada czasowi trwania Umowy.
Załącznik I, Część C. Kompetentny organ nadzorczy
Holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens) będzie kompetentnym organem nadzorczym.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Gdy ma to zastosowanie, niniejszy Załącznik II będzie służyć jako Aneks II do Standardowych Klauzul Umownych. Poniżej znajduje się więcej informacji dotyczących naszych technicznych i organizacyjnych środków bezpieczeństwa określonych poniżej.
Techniczne i Organizacyjne Środki Bezpieczeństwa:
Środki pseudonimizacji i ochrony Danych Osobowych podczas przechowywania i przesyłania: Wszystkie Dane Osobowe są szyfrowane w trakcie przesyłania i przechowywania, i w miarę potrzeby z punktu widzenia bezpieczeństwa, traktowane tak, jakby były sklasyfikowane jako dane wrażliwe. Informacje są zawsze przesyłane przez TLS z aktualnymi metodologiami szyfrowania domyślnie.
Środki zapewniające ciągłość poufności, integralności i dostępności oraz odporności systemów i usług przetwarzających: zawieramy umowy zawierające klauzule poufności z naszymi pracownikami, kontrahentami, dostawcami i podwykonawcami. Nasza polityka ciągłości działania polega na przygotowaniu naszej firmy i usług na wypadek długotrwałych przerw spowodowanych czynnikami niezależnym od nas oraz na przywróceniu usług w jak największym zakresie w jak najkrótszym czasie. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów i dlatego mamy bardzo małą tolerancję na zakłócenia w świadczeniu usług. Nasze harmonogramy odzyskiwania są zaprojektowane tak, by zapewnić, że możemy wywiązać się z naszych zobowiązań wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceny i oceny skuteczności technicznych i organizacyjnych środków w celu zapewnienia bezpieczeństwa przetwarzania: Celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów i (uprawnionych) systemów informatycznych oraz minimalizowanie ryzyka wystąpienia szkód poprzez zapobieganie incydentom bezpieczeństwa i zarządzanie zagrożeniami i podatnościami. Nasz Zespół Prawny, Inspektor Ochrony Danych oraz Zespół ds. Bezpieczeństwa i Zgodności dbają o to, aby odpowiednie przepisy i standardy były uwzględniane w naszych ramach bezpieczeństwa.
Środki w zakresie identyfikacji i autoryzacji użytkownika: Stosujemy zasady „need to know” i „least privilege”. Promujemy stosowanie kontroli dostępu opartej na rolach. Nadzór nad udzielaniem i odbieraniem dostępu sprawuje zespół ds. bezpieczeństwa, z domyślnym uwierzytelnianiem Single-Sign-On i 2FA. Dla każdego zasobu informacyjnego zostały zdefiniowane właściciele, którzy są odpowiedzialni za zapewnienie odpowiedniego dostępu do swoich systemów oraz regularne ich przeglądy. Zawsze, gdy mamy do czynienia z informacjami wrażliwymi lub podejmujemy krytyczne działania, stosujemy zasadę czterech oczu.
Środki zapewniające rejestrowanie zdarzeń: Rejestry audytów są centralnie przechowywane i regularnie monitorowane pod kątem zdarzeń bezpieczeństwa oraz są zabezpieczane w celu uniknięcia ryzyka manipulacji. Polityka Zarządzania Incydentami wymusza plan reakcji na incydenty i jego procedury. Te wytyczne są przestrzegane w przypadku wystąpienia jakiegokolwiek rodzaju incydentu bezpieczeństwa lub technicznego. W przypadku, gdy wystąpią incydenty bezpieczeństwa, będą one regularnie przeglądane przez Komitet Sterujący ds. Bezpieczeństwa, składający się z senior stakeholderów z całego biznesu.
Środki zapewniające konfigurację systemów, w tym bazową konfigurację: Stosujemy spójny proces zarządzania zmianami dla wszystkich zmian w środowisku produkcyjnym Platformy Komunikacyjnej jako Usługi. Aby zilustrować bardziej szczegółowo, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i zrealizowane zgodnie z formalnym procesem kontroli zmian. Proces kontroli zapewnia, że proponowane zmiany są sprawdzane, autoryzowane, testowane, wdrażane i wydawane w sposób kontrolowany; oraz że status każdej proponowanej zmiany jest monitorowany. Bazowe konfiguracje są stosowane do bezpiecznej konfiguracji systemów, zgodnie z najlepszymi praktykami. Ponadto w departamencie Inżynieryjnym używamy radaru technologii do określenia, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia zarządzania danymi) mogą być przyjęte lub muszą być unikać podczas rozwoju.
Środek bezpieczeństwa fizycznego: Aktywnie promujemy politykę „Pracuj z dowolnego miejsca”, aby nasi pracownicy mieli swobodę pracy z dowolnego miejsca, które wybrali. Jednak nadal mamy nasze biura. Nie mamy zabezpieczonych obszarów/centra danych w naszych biurach, ponieważ jesteśmy całkowicie firmą opartą na chmurze. Nasze piętra biurowe są chronione przez fizyczną kontrolę dostępu, CCTV i ochronę osobową.
Środki w zakresie wewnętrznego zarządzania IT i bezpieczeństwa IT: Utrzymujemy program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne środki ochrony zaprojektowane w celu zabezpieczenia Usług oraz poufności, integralności i dostępności Danych Klienta. Nasz program bezpieczeństwa informacji jest zorganizowany w sposób systematyczny i dobrze zorganizowany. Ponadto obowiązują wymagania prawne i regulacyjne, aby zapewnić poufność, integralność, i dostępność informacji dla organizacji, pracowników, partnerów i klientów. Wszystko to jest przetłumaczone na nasze polityki, procedury i przewodniki bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który odpowiada za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie działań strategicznych na działania operacyjne dla naszego bezpieczeństwa i ciągłe utrzymanie zgodności z przepisami. Wszyscy pracownicy są odpowiedzialni za ochronę zasobów firmy. Wszyscy nasi pracownicy są kontrolowani pod kątem kompetencji, doświadczenia i integralności. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie wprowadzania, jak również za pomocą regularnych szkoleń specyficznych dla zespołów oraz innych prezentacji ogólnofirmowych na temat znaczenia ochrony danych i zgodności z przepisami dotyczącymi bezpieczeństwa. MessageBird posiada certyfikat ISO/IEC 27001:2013, globalnie uznawany standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingowi są zgodni z ISO/IEC 27001:2013.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że zawsze jesteśmy odpowiedzialni i w pełni transparentni wobec naszych klientów.
Jesteśmy członkiem stowarzyszonym Groupe Speciale Mobile Association (GSMA). GSMA reprezentuje interesy operatorów mobilnych na całym świecie. Zawsze jesteśmy na bieżąco ze wszystkimi obowiązującymi prawami i przepisami, w tym z Ogólnym Rozporządzeniem o Ochronie Danych.
Środki dotyczące certyfikacji/zapewnienia procesów i produktów: Przechodzimy rygorystyczne audyty obserwacyjne, a także certyfikacyjne w ramach naszej zgodności z ISO/IEC 27001:2013 oraz regularnie przeprowadzamy testy penetracyjne i oceny podatności aplikacji. MessageBird przyjmuje jednolite podejście do zarządzania łatkami i podatnościami, aby zapewnić utrzymanie naszych standardowych czasów SLA, niezależnie od tego, czy podatności występują w naszej podstawowej infrastrukturze, platformach operacyjnych, czy kodzie źródłowym.
Środki dotyczące bezpieczeństwa aplikacji: Zapewniamy bezpieczeństwo naszych aplikacji w fazie projektowania i rozwoju na podstawie MessageBird Secure Code Guidelines.
Odpowiednie poprawki są wdrażane przed wydaniem.
Zmiany w kodzie są przeglądane przez wykwalifikowane osoby (znające się na przeglądzie kodu i bezpiecznym rozwoju), inne niż pierwotny deweloperzy.
Aplikacje będą poddawane rygorystycznym testom bezpieczeństwa aplikacji w celu zidentyfikowania wszelkich nowych zagrożeń i podatności co najmniej raz w roku (zgodnie ze standardami branżowymi i najlepszymi praktykami).
Wszystkie zmiany w kodzie aplikacji, które są wdrażane do środowisk produkcyjnych, są przeglądane za pomocą procesów ręcznych i/lub zautomatyzowanych.
Testy penetracyjne są przeprowadzane co roku oraz na indywidualnym przypadku dla nowych produktów/funkcji. Zautomatyzowane narzędzia analizy kodu źródłowego są wykorzystywane do wykrywania defektów bezpieczeństwa w kodzie przed wdrożeniem, w oparciu o język.
Środki dotyczące ujawniania podatności: Doceniamy badaczy ds. bezpieczeństwa, którzy znaleźli podatności na naszej platformie, aby się z nami skontaktowali i przesłali swoje uwagi na security@bird.com. Mamy dedykowany zespół bezpieczeństwa, który zajmuje się zgłoszeniami i wysyła zaproszenia do naszego programu bug bounty w celu zbadania i naprawienia usterek, gdy jest to konieczne.
Środki zapewniające odpowiedzialność: wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami i publikujemy przegląd informacji ISMS w naszych Bird documentation. Wyznaczyliśmy dedykowanego VP ds. Zgodności i Bezpieczeństwa Informacji oraz Inspektora Ochrony Danych i prowadzimy dokumentację naszych działań przetwarzania, w tym rejestrowanie i raportowanie incydentów bezpieczeństwa dotyczących Danych Osobowych, gdy jest to stosowne.
