Ta Umowa o Przetwarzaniu Danych dotyczy Ciebie, jeśli zarejestrowałeś się do usług MessageBird (w tym za pośrednictwem któregokolwiek z jego filii) przed, w dniu lub po 3 maja 2023 roku. Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Ta Umowa o Przetwarzaniu Danych, w tym załączniki, („DPA”) stanowi część Umowy pomiędzy MessageBird a Klientem na zakup (internetowych) usług komunikacyjnych od MessageBird, aby odzwierciedlić ustalenia Stron dotyczące przetwarzania Danych Osobowych Klienta. W tej DPA terminy „ty”, „twój” lub „Klient” odnoszą się do Ciebie (zgodnie z punktem 1.2 poniżej), a terminy „my”, „nas”, „nasze” lub „MessageBird” odnosi się do nas. Słowa pisane wielką literą używane w tej DPA, ale nie zdefiniowane poniżej, są zdefiniowane w Ogólnych Warunkach i Zasadach MessageBird lub innej Umowie z nami dotyczącej korzystania z Usług.
Strony zgadzają się, że ta DPA zastąpi wszelkie istniejące aneksy dotyczące ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
Ptak
1. Zakres, Podmioty Klienta i Czas trwania
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako procesora.
1.2 Podmioty powiązane z Klientem. Klient zawiera tę DPA w imieniu własnym oraz, w zakresie wymaganym na podstawie przepisów o ochronie danych, w imieniu i na rzecz swoich Podmiotów powiązanych (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim udostępniasz takie Podmioty powiązane do Usług, a my przetwarzamy Danych Osobowych Klienta, dla których takie Podmioty powiązane kwalifikują się jako administrator danych („Podmioty powiązane z Klientem”). Na potrzeby niniejszej DPA, o ile nie wskazano inaczej, terminy „Klient” i „Ty” obejmować będą Klienta oraz Podmioty powiązane z Klientem.
2. Definicje
“Dane konta” to wszelkie dane osobowe przekazane przez lub dla Ciebie do MessageBird w związku z zawarciem i zarządzaniem umową oraz Twoim kontem, w tym m.in. informacje kontaktowe, dane rozliczeniowe i korespondencję dotyczącą zawarcia i zarządzania umową oraz związanymi usługami.
“CCPA” oznacza Ustawę o prywatności konsumentów w Kalifornii z 2018 roku oraz wszelkie przepisy wydane na jej mocy, w każdym przypadku, w brzmieniu zmienionym od czasu do czasu.
“Dane klienta” oznaczają wszelkie dane i inne informacje lub treści przesłane przez Ciebie lub w Twoim imieniu (lub przez użytkownika Twojej aplikacji Klienta) na podstawie umowy i przetwarzane lub przechowywane przez Usługi.
“Dane osobowe klienta” oznaczają dane osobowe zawarte w danych klienta przetwarzanych przez MessageBird jako procesora, chyba że w niniejszym DPA określono inaczej.
“Przepisy o ochronie danych” oznaczają wszelkie przepisy i regulacje dowolnej jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub przetwarzania danych osobowych na mocy umowy, w tym, na przykład i tam, gdzie to ma zastosowanie, RODO lub CCPA. .
“EOG” oznacza, na potrzeby niniejszego DPA, Europejski Obszar Gospodarczy oraz Szwajcarię.
“RODO” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w odniesieniu do Wielkiej Brytanii, Ustawę o ochronie danych z 2018 roku.
“MessageBird” oznacza podmiot MessageBird, który jest stroną niniejszego DPA, będącym podmiotem zawierającym umowę wymienioną w Sekcji 15 w Ogólnych Warunkach Umowy (Podmiot umowy), chyba że w Twoim formularzu zamówienia podano inaczej. Ty lub MessageBird mogą także być określane indywidualnie jako “Strona” i łącznie jako “Strony” w niniejszym DPA.
“Dane osobowe” oznaczają wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub identyfikowalnej osoby fizycznej, czy to same w sobie, czy w połączeniu z innymi informacjami.
“Naruszenie danych osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub bezprawne zniszczenie, utratę, zmianę, ujawnienie lub dostęp do danych osobowych klienta oraz wszelkie inne podobne określenia zgodnie z obowiązującymi przepisami o ochronie danych, takie jak “Naruszenie bezpieczeństwa”.
“Usługi” oznaczają wszystkie produkty i usługi świadczone przez nas lub nasze Podmioty powiązane, które są (a) zamówione przez Ciebie na podstawie jakiegokolwiek formularza zamówienia; lub (b) używane przez Ciebie.
“Standardowe klauzule umowne” oznaczają Klauzule umowne kontrolera z procesorem (Moduł drugi) lub procesora z procesorem (Moduł trzeci), w zależności od przypadku, standardowych klauzul umownych dotyczących transferu danych osobowych do krajów trzecich na mocy Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonego przez decyzję wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 roku, w obecnym brzmieniu w Dzienniku Urzędowym Unii Europejskiej.
“Podprocesor” oznacza stronę trzecią, która przetwarza dane osobowe klienta w imieniu podmiotu MessageBird działającego jako procesor danych lub podprocesor.
“Brytyjskie standardowe klauzule umowne” oznaczają jakiekolwiek lub wszystkie z następujących: (i) umowa o międzynarodowym transferze danych wydana przez Brytyjskiego Komisarza Informacji na podstawie sekcji 119A Ustawy o ochronie danych z 2018 roku; (ii) dodatek do umowy o międzynarodowym transferze danych do standardowych klauzul umownych Komisji Europejskiej dotyczących międzynarodowych transferów danych wydany przez Brytyjskiego Komisarza Informacji na podstawie sekcji 119A Ustawy o ochronie danych z 2018 roku; lub (iii) takie standardowe postanowienia umowne wydane przez Brytyjskiego Komisarza Informacji lub Komisję Europejską, które mogą je zastąpić od czasu do czasu.
Terminy takie jak “przetwarzanie”, “kontroler danych”, “procesor danych”, “podmiot danych”, itd. mają znaczenie przypisane im na podstawie RODO. Definicja “kontrolera danych” obejmuje “biznes”, “konsumenta”, “kontrolera” oraz “organizację”; "procesor danych" obejmuje “dostawcę usług”, “procesora” oraz “pośrednika danych”; “podmiot danych” obejmuje “konsumenta” oraz “osobę fizyczną”; a “dane osobowe” obejmują “informacje osobiste”, w każdym przypadku zgodnie z definicją w CCPA oraz innymi obowiązującymi przepisami o ochronie danych. Terminy “cel biznesowy”, “cel komercyjny”, “sprzedaż” oraz “udostępnianie” mają to samo znaczenie, co w obowiązujących przepisach o ochronie danych, a w każdym przypadku ich pokrewne terminy należy interpretować odpowiednio.
3. Przetwarzanie danych osobowych Klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawczych, udzielania wsparcia oraz rozwijania i wdrażania usprawnień i aktualizacji zgodnie z dokumentowanymi instrukcjami, które nam przekazujesz jako administrator danych, zgodnie z zapisami w punkcie 3.2 niniejszej DPA, (ii) dla naszych uzasadnionych celów biznesowych, jak określono w punkcie 3.4 niniejszej DPA jako administrator danych, oraz (iii) w inny sposób wymagany przez obowiązujące prawo.
3.2 Instrukcje Klienta. Umowa oraz ta DPA stanowią pełne instrukcje dla nas jako administratora danych w momencie podpisania tej DPA. Będziemy przestrzegać innych dokumentowanych instrukcji, pod warunkiem, że są one zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania. Załącznik I, Część B (Opis transferu) załącznika I do tej DPA określa charakter i cel przetwarzania przez nas jako administratora danych lub podwykonawcę, czynności przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie danych osób.
3.4 Uzasadnione Cele Biznesowe. Potwierdzasz, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: fakturowanie, zarządzanie kontem, raportowanie finansowe i wewnętrzne, przeciwdziałanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i przestępczości komputerowej, które mogą wpływać na Ciebie, nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów oraz strategia produktowa), zapobieganie i wykrywanie oszustw, spamu i nadużyć, poprawa produktów lub usług w zestawie MessageBird oraz w celu spełnienia naszych zobowiązań prawnych.
4. Obowiązki Klienta
4.1 Legalność. Gdy działasz jako administrator danych osobowych Klienta, gwarantujesz, że wszystkie działania związane z przetwarzaniem są zgodne z prawem, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inne odpowiednie podstawy prawne są dostępne, aby umożliwić legalny transfer Danych Osobowych Klienta. Jeśli jesteś procesorem danych (w takim przypadku będziemy działać jako Podprocesor), zapewnisz, że odpowiedni administrator danych gwarantuje, że warunki wymienione w tej Sekcji 4.1 są spełnione.
4.2 Zgodność. Czy jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że stosujesz się do przepisów o ochronie danych stosownych do Twojego korzystania z Usług i do własnego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki Usług spełniają Twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, ale nie ograniczając się do haseł, urządzeń używanych z Usługami i Aplikacjami Klienta).
5. Bezpieczeństwo
5.1 Środki zabezpieczające. Biorąc pod uwagę stan wiedzy, koszty wprowadzenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i ciężkości dla praw i wolności osób fizycznych, wdrożymy i utrzymamy odpowiednie techniczne i organizacyjne środki zabezpieczające, aby chronić Dane Osobowe Klienta przed Naruszeniami Danych Osobowych oraz zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Zastosowane przez nas środki zabezpieczające opisano w Załączniku II.
5.2 Aktualizacje środków zabezpieczających. Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta i dokonanie niezależnej oceny, aby sprawdzić, czy takie informacje odpowiadają Twoim wymaganiom i obowiązkom prawnym wynikającym z Ustaw o Ochronie Danych. Przyjmujesz do wiadomości, że środki zabezpieczające są uzależnione od postępu technicznego i rozwoju, i że możemy od czasu do czasu aktualizować lub modyfikować nasze środki zabezpieczające, pod warunkiem, że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrola dostępu. Stosujemy zasady „potrzeby wiedzy” oraz „najmniejszych uprawnień”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do tych Pracowników, którzy są wymagani do świadczenia Usług i zgodnie z Umową, w tym niniejszą DPA.
5.4 Poufność przetwarzania. Zapewnimy, że każda osoba lub strona, która jest upoważniona przez nas do przetwarzania Danych Osobowych Klienta (w tym nasz personel, agenci i Podwykonawcy) zostanie poinformowana o poufnym charakterze takich Danych Osobowych Klienta i będzie miała odpowiedni obowiązek poufności (czy to umowny, czy ustawowy), który przetrwa zakończenie ich angażowania.
5.5 Reakcja na naruszenie danych osobowych i powiadomienie. Po uzyskaniu informacji o Naruszeniu Danych Osobowych, bez zbędnej zwłoki (i) powiadomimy Cię, (ii) zbadamy Naruszenie Danych Osobowych, (iii) dostarczymy na czas informacje dotyczące Naruszenia Danych Osobowych, gdy tylko będą dostępne lub gdy zostaną rozsądnie zażądane przez Ciebie oraz (iv) podejmiemy rozsądne kroki komercyjne w celu złagodzenia skutków i zapobieżenia powtórzeniu się Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w zakresie ochrony danych. Będziemy świadczyć Ci rozsądnie żądaną pomoc, aby umożliwić Ci wypełnienie swoich obowiązków wynikających z przepisów o ochronie danych, w tym zgłoszenie naruszenia danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w przeprowadzeniu odpowiedniej oceny wpływu na ochronę danych.
6.2 Pomoc w zakresie praw podmiotów danych. Będziemy świadczyć Ci rozsądną pomoc, aby umożliwić Ci wypełnienie swoich obowiązków wobec podmiotów danych, które wykonują swoje prawa na podstawie przepisów o ochronie danych, udostępniając środki techniczne i organizacyjne za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, to Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich żądań lub skarg od podmiotów danych w odniesieniu do Danych Osobowych Klienta podmiotu danych.
7. Ujawnienie i prośby o ujawnienie
7.1 Ograniczenia dotyczące ujawnienia i dostępu. Nie udostępnimy dostępu do ani nie ujawnimy Danych Osobowych Klienta, chyba że (i) zgodnie z Twoimi wskazaniami, (ii) zgodnie z Umową oraz niniejszą DPA, lub (iii) jeśli wymaga tego prawo.
7.2 Żądania ujawnienia. Poinformujemy Cię tak szybko, jak to możliwe, jeśli otrzymamy prośbę od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że takie powiadomienie jest zabronione przez prawo. Będziemy obsługiwać żądania ujawnienia zgodnie z naszą Polityką Żądań Ujawnienia.
8. Podprocesory
8.1 Lista bieżących podwykonawców. Zgadzasz się na zaangażowanie podwykonawców wymienionych w Przeglądzie przetwarzających i podwykonawców MessageBird w sekcji „Dane osobowe użytkownika końcowego”, która zawiera procedurę, aby subskrybować powiadomienia o zmianach w naszym wykorzystaniu podwykonawców. Jeśli zapiszesz się na takie powiadomienia, uwzględniając punkt 8.3 tej umowy DPA, przekażemy szczegóły dotyczące wszelkich zmian w podwykonawcach tak szybko, jak to będzie rozsądnie możliwe.
8.2 Wyznaczenie podwykonawców. Na mocy tej umowy DPA wyrażasz ogólne pisemne upoważnienie do zaangażowania podwykonawców do przetwarzania danych osobowych klientów, z zastrzeżeniem punktu 8.3 tej umowy DPA oraz poniższych wymagań:
Ograniczymy dostęp do danych osobowych klientów przez podwykonawców do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podwykonawcą;
Uzyskamy zgodę na obowiązki w zakresie ochrony danych z podwykonawcą, które są zasadniczo takie same jak obowiązki wynikające z tej umowy DPA; oraz
Pozostajemy odpowiedzialni wobec Ciebie na mocy tej umowy DPA za wykonanie obowiązków w zakresie ochrony danych przez podwykonawcę.
9. Przekazywanie danych osobowych klientów poza granicami kraju
9.1 Przekazywanie danych osobowych Klienta. Możemy przekazywać dane osobowe Klienta pod warunkiem, że wszystkie odpowiednie zabezpieczenia wymagane przez przepisy dotyczące ochrony danych są wdrożone. Może to obejmować wcześniejszą ocenę wpływu na transfer danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz dostępność skutecznych środków prawnych dla osób, których dane dotyczą.
9.2 Standardowe klauzule umowne dla podwykonawców. O ile nie ma decyzji o odpowiedniości lub alternatywnego mechanizmu transferu, zawarliśmy i będziemy utrzymywać standardowe klauzule umowne z podwykonawcami (w tym naszymi podmiotami powiązanymi) znajdującymi się poza EOG, zgodnie z warunkami określonymi w Rozdziale 9.1 tej DPA.
9.3 Mechanizmy transferu danych osobowych Klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznego do legalnego eksportu danych osobowych Klienta z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Zjednoczone Królestwo) do nas znajdujących się poza tą jurysdykcją, ta sekcja będzie miała zastosowanie. Jeśli w trakcie świadczenia Usług dane osobowe Klienta, które podlegają RODO lub innym przepisom prawa dotyczących ochrony lub prywatności osób, które mają zastosowanie w tej DPA, zostaną przekazane do MessageBird znajdującego się w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, stosowane będą poniższe mechanizmy transferu, które mogą być bezpośrednio egzekwowane przez strony, o ile takie transfery podlegają przepisom o ochronie danych.
9.3.1 Strony zgadzają się, że standardowe klauzule umowne mają zastosowanie do danych osobowych Klienta, które są przekazywane za pośrednictwem Usług z EOG lub Szwajcarii, zarówno bezpośrednio, jak i poprzez dalszy transfer, do podmiotu MessageBird znajdującego się w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, przez właściwy organ w Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako administrator danych, a MessageBird jako procesor danych, będą mieć zastosowanie odpowiednie standardowe klauzule umowne dla transferu danych z EOG. Gdy działasz jako procesor danych, a MessageBird jako podwykonawca, będą mieć zastosowanie standardowe klauzule umowne dla procesora danych.
9.3.1.2 MessageBird będzie uważany za importera danych, a Ty będziesz uważany za eksportera danych na mocy standardowych klauzul umownych. Podpisanie tej DPA przez każdą stronę będzie traktowane jako podpisanie odpowiednich standardowych klauzul umownych, które będą uważane za włączone do tej DPA. Szczegóły wymagane na mocy Załącznika 1 i Załącznika 2 do standardowych klauzul umownych są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiejkolwiek sprzeczności lub niezgodności pomiędzy tą DPA a standardowymi klauzulami umownymi, standardowe klauzule umowne mają pierwszeństwo wyłącznie w odniesieniu do transferu danych osobowych Klienta z EOG.
9.3.1.3 Gdzie standardowe klauzule umowne wymagają od stron wyboru pomiędzy opcjami oraz wprowadzenia informacji, strony uczyniły to zgodnie z poniższym:
i. Opcjonalna Klauzula 7 „Klauzula dokująca” nie będzie przyjęta.
ii. W przypadku Klauzuli 9 „Użycie podwykonawców”, strony wybierają następującą opcję: „Opcja 2 ogólne pisemne upoważnienie: importer danych ma ogólne upoważnienie administratora do zaangażowania podwykonawców z uzgodnionej listy. Importer danych ma obowiązek pisemnie informować administratora o wszelkich zamierzonych zmianach na tej liście poprzez dodanie lub wymianę podwykonawców z co najmniej 10-dniowym wyprzedzeniem, co daje administratorowi wystarczająco dużo czasu na zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podwykonawców. Importer danych ma obowiązek dostarczyć eksporterowi danych informacje niezbędne do umożliwienia mu wykonania prawa do sprzeciwu. Importer danych ma obowiązek informować eksportera danych o zaangażowaniu podwykonawców.”
iii. W przypadku Klauzuli 11 (a) „Środki zaradcze”, strony nie przyjmują Opcji.
iv. W przypadku Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Niniejsze Klauzule podlegają prawu jednego z państw członkowskich UE, pod warunkiem, że takie prawo pozwala na prawa beneficjenta trzeciego. Strony zgadzają się, że będzie to prawo Holandii.”
v. W przypadku Klauzuli 18 (b) „Wybór forum i jurysdykcji”: „Strony zgadzają się, że będą to sądy Holandii.”
9.3.2 Strony zgadzają się, że standardowe klauzule umowne UK mają zastosowanie do danych osobowych Klienta, które są przekazywane za pośrednictwem Usług z Zjednoczonego Królestwa, zarówno bezpośrednio, jak i poprzez dalszy transfer, do podmiotu MessageBird znajdującego się w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez właściwy organ regulacyjny lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
10. Audyt
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie poddawana audytowi zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemną prośbę przekażemy Ci podsumowanie raportu audytowego (“Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytu i niniejszą DPA. Takie Raporty z audytu, jak również wszelkie wnioski lub ustalenia w nich określone, są naszymi Informacjami Poufnymi.
10.2 Prośby o informacje od klientów. Udostępnimy Ci wszystkie informacje, które są rozsądnie niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszej DPA. Dostarczymy pisemne odpowiedzi na rozsądne prośby o informacje składane przez Ciebie, w tym odpowiedzi na ankiety dotyczące bezpieczeństwa informacji i audytu, które są rozsądne w zakresie i niezbędne do potwierdzenia zgodności z niniejszą DPA, pod warunkiem, że (i) najpierw podjąłeś rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów z audytu i innych informacji dostarczonych lub upublicznionych przez nas, oraz (ii) nie będziesz korzystać z tego prawa więcej niż raz w roku, chyba że naruszenie danych osobowych lub istotna zmiana w naszych działaniach przetwarzających w związku z Usługami wymaga, aby została wykonana dodatkowa ankieta. Wszystkie udzielone odpowiedzi są naszymi Informacjami Poufnymi.
10.3 Audyt klienta. Jeśli Raport z audytu dostarczony przez nas Tobie daje Ci uzasadnione powody do przypuszczenia, że naruszamy nasze obowiązki na mocy niniejszej DPA, związane z danymi osobowymi Klienta dostarczonymi przez Ciebie, umożliwimy niezależnemu i wykwalifikowanemu audytorowi stronie trzeciej, wybranemu przez Ciebie i zatwierdzonemu przez nas, audyt odpowiednich działań przetwarzania danych osobowych, pod warunkiem że w jak największym zakresie dozwolonym na mocy obowiązującego prawa, spełnione są następujące wymagania:
Musisz dać nam co najmniej sześćdziesiąt (60) dni rozsądnego powiadomienia z wyprzedzeniem przed skorzystaniem z prawa do audytu;
Audytor zgadza się na standardowe obowiązki poufności z nami;
Ty i audytor podejmujecie kroki w celu zminimalizowania zakłóceń w naszych operacjach biznesowych;
Audyt zostanie przeprowadzony w godzinach pracy;
Nie będziemy zobowiązani do udostępnienia dostępu do danych klientów innych klientów lub systemów niezwiązanych z świadczeniem Usług; oraz
Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i zwrot danych osobowych klientów
Po zakończeniu lub wygaśnięciu Umowy, usuniemy (według Twojego wyboru) wszystkie Dane Osobowe Klienta (w tym kopie) w naszym posiadaniu lub kontroli, z wyjątkiem sytuacji, gdy zgodnie z prawem jesteśmy zobowiązani do zatrzymania części lub wszystkich Danych Osobowych Klienta. Jeśli zlecisz nam usunięcie Danych Osobowych Klienta, Dane Osobowe Klienta archiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte po upływie wymaganego okresu przechowywania.
12. Komunikacja i prawa partnerów klientów
Wstąpienie w tę DPA w imieniu i na rzecz podmiotu stowarzyszonego Klienta, jak określono w Sekcji 1.2, stanowi oddzielną DPA między nami a tym podmiotem stowarzyszonym Klienta, z zastrzeżeniem następujących:
12.1. Komunikacja. Klient, który jest stroną umowy, pozostaje odpowiedzialny za koordynowanie wszelkiej komunikacji z nami w ramach tej DPA i ma prawo dokonywać oraz otrzymywać wszelką komunikację w związku z tą DPA w imieniu swoich podmiotów stowarzyszonych Klienta.
12.2. Prawa podmiotów stowarzyszonych Klienta. Gdy podmiot stowarzyszony Klienta staje się stroną DPA z nami, ma on, w zakresie wymaganym przez przepisy o ochronie danych osobowych, prawo do wykonywania praw i dochodzenia roszczeń na mocy tej DPA, z zastrzeżeniem następujących:
(i) O ile przepisy o ochronie danych osobowych nie wymagają od podmiotu stowarzyszonego Klienta wykonywania prawa lub dochodzenia roszczenia na mocy tej DPA bezpośrednio przeciwko MessageBird, strony zgadzają się, że (i) wyłącznie Klient, który jest stroną umowy, ma prawo wykonywać takie prawa lub dochodzić takich roszczeń w imieniu podmiotu stowarzyszonego Klienta, oraz (ii) Klient, który jest stroną umowy, będzie wykonywał wszelkie takie prawa w ramach tej DPA nie oddzielnie dla każdego podmiotu stowarzyszonego Klienta, ale w sposób zbiorowy w imieniu swoim i wszystkich swoich podmiotów stowarzyszonych Klienta razem.
(ii) Strony zgadzają się, że Klient, który jest stroną umowy, powinien, gdy przeprowadzany jest audyt na miejscu procedur dotyczących ochrony danych osobowych Klienta w jego imieniu, zgodnie z Sekcją 10.3 tej DPA, podjąć wszelkie rozsądne środki w celu ograniczenia wpływu na nas poprzez połączenie, w zakresie rozsądnie możliwym, kilku wniosków audytowych przeprowadzonych w imieniu swoim i wszystkich swoich podmiotów stowarzyszonych Klienta w jeden wspólny audyt.
Dla jasności, podmiot stowarzyszony Klienta nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów w Kalifornii.
Na tyle, na ile to ma zastosowanie, składamy następujące dodatkowe zobowiązania względem Ciebie w odniesieniu do przetwarzania Danych Osobowych Klientów w zakresie CCPA.
13.1 Nasze zobowiązania zgodnie z amerykańskimi przepisami o ochronie danych. Terminy "cel biznesowy", "cel komercyjny", "konsument", "sprzedaż" i "udostępnianie", używane w tej sekcji 13.1, mają znaczenie określone w CCPA. W zakresie, w jakim ma to zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów objęte CCPA oraz innymi obowiązującymi amerykańskimi przepisami o ochronie danych („Dane Osobowe USA”) zgodnie z postanowieniami CCPA i innymi amerykańskimi przepisami o ochronie danych. W odniesieniu do Danych Osobowych USA, jesteśmy dostawcą usług zgodnie z CCPA oraz procesorem danych zgodnie z innymi amerykańskimi przepisami o ochronie danych. Nie będziemy sprzedawać Danych Osobowych USA. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych Osobowych USA (i) w żadnym celu innym niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych Osobowych USA w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w inny sposób dozwolony przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
13.2 Obowiązki Klienta. Oświadczasz i zapewniasz, że poinformowałeś Użytkownika Końcowego, że Dane Osobowe są wykorzystywane lub udostępniane zgodnie z obowiązującymi przepisami o ochronie danych. Jesteś odpowiedzialny za przestrzeganie wymogów przepisów o ochronie danych w zakresie, w jakim mają one zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i rozwiązywanie sporów. Wszelkie spory, roszczenia lub kontrowersje („Spory”) powstałe z lub związane z niniejszym DPA będą regulowane i interpretowane zgodnie z prawem Holandii. Każda Strona zgadza się, że właściwe sądy w Amsterdamie będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów powstałych z lub związanych z niniejszym DPA.
