Umowa o Przetwarzaniu Danych Maj 2023
Ta Umowa o Przetwarzaniu Danych ma zastosowanie, jeśli zarejestrujesz się w Usługach MessageBird (w tym za pośrednictwem jakichkolwiek jego Filialnych) przed, w dniu lub po 3 maja 2023. Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Ta Umowa o Przetwarzaniu Danych, w tym załączniki ("DPA"), jest częścią Umowy pomiędzy MessageBird a Klientem dotyczącej zakupu (online) usług komunikacyjnych z MessageBird, aby odzwierciedlić porozumienie Stron w odniesieniu do przetwarzania danych osobowych Klienta. W tym DPA, terminy „ty”, „twój”, lub „Klient” odnoszą się do Ciebie (zgodnie z Sekcją 1.2 poniżej), a terminy „my”, „nas”, „nasz” lub „MessageBird” odnoszą się do nas. Terminy pisane wielką literą używane w tym DPA, ale niezdefiniowane poniżej, są zdefiniowane w Ogólnych Warunkach MessageBird lub innej Umowie z nami regulującej korzystanie z Usług.
Strony zgadzają się, że ten DPA zastąpi wszelkie istniejące dodatki dotyczące ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
1. Scope, Customer Affiliates and Term
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako procesora.
1.2 Podmioty powiązane z klientem. Klient wchodzi w niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przez Ustawy o ochronie danych, w imieniu i na rzecz swoich Podmiotów powiązanych (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim zapewniasz tym Podmiotom powiązanym dostęp do Usług, a my przetwarzamy Dane Osobowe Klientów, dla których takie Podmioty powiązane kwalifikują się jako administrator danych („Podmioty powiązane z klientem”). Do celów niniejszej DPA, i z wyjątkiem sytuacji wskazanej inaczej, terminy „Klient” i „ty” będą obejmować Klienta i Podmioty powiązane z klientem.
2. Definitions
“Dane Konta” to wszelkie Dane Osobowe przekazane przez Ciebie lub w Twoim imieniu do MessageBird w związku z zawarciem i zarządzaniem Umową oraz Twoim kontem, w tym między innymi dane kontaktowe, szczegóły dotyczące rozliczeń i korespondencja dotycząca zawarcia i zarządzania Umową oraz związanych z nią Usług.
“CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku oraz wszelkie przepisy wykonawcze wydane na jej podstawie, w każdym przypadku ze zmianami dokonywanymi od czasu do czasu.
“Dane Klienta” oznaczają wszelkie dane oraz inne informacje lub treści przesłane przez Ciebie lub w Twoim imieniu (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy i przetwarzane lub przechowywane przez Usługi.
“Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta przetwarzanych przez MessageBird jako procesor, chyba że inne postanowienia są zawarte w niniejszej DPA.
“Przepisy o Ochronie Danych” oznaczają wszystkie przepisy i regulacje każdej jurysdykcji dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym na przykład i gdzie ma to zastosowanie, RODO czy CCPA.
“EEA” oznacza, dla celów niniejszej DPA, Europejski Obszar Gospodarczy i Szwajcarię.
“RODO” oznacza: (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie swobodnego przepływu takich danych (Ogólne Rozporządzenie o Ochronie Danych); lub (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o Ochronie Danych z 2018 roku.
“MessageBird” oznacza jednostkę MessageBird, która jest stroną tej DPA, będącą podmiotem zawierającym umowę wymienioną w Sekcji 15 Ogólnych Warunków i Zasad (Podmiot Zawierający Umowę), chyba że inaczej wskazano w Twoim Formularzu Zamówienia. Ty lub MessageBird może być również nazywane indywidualnie jako „Strona” i łącznie jako „Strony” w niniejszej DPA.
“Dane Osobowe” oznaczają wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, samodzielnie lub w połączeniu z innymi informacjami.
“Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta oraz jakiekolwiek inne podobne pojęcie w ramach obowiązujących Przepisów o Ochronie Danych, takie jak „Naruszenie Bezpieczeństwa”.
“Usługi” oznaczają wszystkie produkty i usługi świadczone przez nas lub nasze Podmioty Powiązane, które są (a) zamówione przez Ciebie na podstawie dowolnego Formularza Zamówienia; lub (b) używane przez Ciebie.
“Standardowe Klauzule Umowne” oznaczają Klauzule Standardowe Umowy dla Przetwarzającego (Moduł Drugi) lub dla Przetwarzającego do Przetwarzającego (Moduł Trzeci), jeśli mają zastosowanie, zgodnie z Klauzulami Standardowymi Umowy dla przekazywania Danych Osobowych do państw trzecich zgodnie z Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonego decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r., jak obecnie zamieszczono pod https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
“Sub-procesor” oznacza jednostkę będącą stroną trzecią, która przetwarza Dane Osobowe Klienta na rzecz jednostki MessageBird działającej jako procesor danych lub Sub-procesor.
“UK Standardowe Klauzule Umowne” oznaczają dowolne lub wszystkie z następujących: (i) międzynarodowa umowa o przekazaniu danych wydana przez Komisarza ds. Informacji w Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; (ii) międzynarodowy dodatek do Klauzul Standardowych Komisji Europejskiej dla międzynarodowego przekazywania danych wydany przez Komisarza ds. Informacji w Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; lub (iii) takie standardowe klauzule umowne wydane przez Komisarza ds. Informacji w Wielkiej Brytanii lub Komisję Europejską, które mogą je zastąpić w przyszłości.
Terminologia taka jak „przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „podmiot danych” itd. mają znaczenie nadane im w ramach RODO. Definicja „administratora danych” obejmuje „biznes”, „konsumenta”, „administrator” oraz „organizację”; „podmiot przetwarzający” obejmuje „dostawcę usług”, „procesor”, oraz „pośrednik danych”; „podmiot danych” obejmuje „konsumenta” oraz „osobę fizyczną”; a „Dane Osobowe” obejmują „informacje osobiste”, w każdym przypadku zgodnie z definicjami zawartymi w CCPA oraz innych obowiązujących Przepisach o Ochronie Danych. Terminy „cel biznesowy”, „cel komercyjny”, „sprzedaż” oraz „udział” mają te same znaczenie jak w obowiązujących Przepisach o Ochronie Danych i w każdym przypadku ich pochodne powinny być interpretowane analogicznie.
3. Processing of Customer Personal Data
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w takim zakresie, jaki jest konieczny (i) do świadczenia Usług, w tym transmisji komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawy, świadczenia wsparcia oraz opracowywania i wdrażania ulepszeń i aktualizacji zgodnie z Państwa udokumentowanymi instrukcjami jako podmiotu przetwarzającego dane, jak określono w Sekcji 3.2 niniejszego DPA, (ii) do naszych uzasadnionych celów biznesowych, jak określono w Sekcji 3.4 niniejszego DPA jako administratora danych, oraz (iii) w inny sposób wymagany przez obowiązujące prawo.
3.2 Instrukcje Klienta. Umowa i niniejszy DPA stanowią Państwa kompletne instrukcje dla nas jako podmiotu przetwarzającego dane w momencie podpisania niniejszego DPA. Będziemy stosować się do innych racjonalnie udokumentowanych instrukcji, pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania. Załącznik I, Część B (Opis transferu) Aneksu I do niniejszego DPA określa charakter i cel przetwarzania przez nas jako podmiot przetwarzający dane lub Podprzetwarzający, czynności przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie podmiotów danych.
3.4 Uzasadnione Cele Biznesowe. Przyjmują Państwo do wiadomości, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: fakturowanie, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą dotyczyć Państwa, nas lub naszych usług, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów oraz strategia produktowa), zapobieganie i wykrywanie oszustw, spamu i nadużyć, poprawa produktów lub usług w MessageBird suite oraz spełnianie naszych obowiązków prawnych.
4. Customer Obligations
4.1 Zgodność z prawem. Gdy działasz jako administrator danych Klienta, gwarantujesz, że wszystkie czynności przetwarzania są zgodne z prawem, mają określony cel, a wszelkie wymagane zawiadomienia i zgody lub inne odpowiednie podstawy prawne są zapewnione, aby umożliwić legalny transfer danych osobowych Klienta. Jeśli jesteś podmiotem przetwarzającym dane (w takim przypadku my będziemy działać jako podprzetwarzający), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w tej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz przepisów o ochronie danych osobowych mających zastosowanie do twojego korzystania z Usług i twojego własnego przetwarzania danych osobowych Klienta, (b) dokonanie niezależnej oceny, czy środki techniczne i organizacyjne Usług spełniają twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które zapewniasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Security
5.1 Środki bezpieczeństwa. Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o zmiennej prawdopodobieństwie i powadze dla praw i wolności osób fizycznych, wdrażamy i utrzymujemy odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed Naruszeniami Danych Osobowych oraz w celu zachowania bezpieczeństwa, integralności, dostępności, odporności i poufności Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Stosowane przez nas środki bezpieczeństwa opisane są w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Odpowiadasz za przegląd informacji udostępnianych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i prawne zobowiązania wynikające z Przepisów o Ochronie Danych. Przyznajesz, że środki bezpieczeństwa podlegają postępowi technologicznemu i rozwojowi oraz że możemy je aktualizować lub modyfikować od czasu do czasu, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego poziomu bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „konieczności posiadania wiedzy” i „najmniejszego przywileju”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do tych pracowników, którzy są niezbędni do świadczenia Usług i zgodnie z Umową, w tym z niniejszą Umową DPA.
5.4 Poufność przetwarzania. Zapewniamy, że każda osoba lub strona upoważniona przez nas do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podprocesorzy) jest poinformowana o poufnym charakterze takich Danych Osobowych Klienta i jest zobowiązana do zachowania odpowiedniej poufności (czy to na podstawie obowiązku umownego, czy ustawowego), który przetrwa zakończenie ich zaangażowania.
5.5 Odpowiedź na naruszenie danych osobowych i powiadomienie. Po uzyskaniu świadomości o Naruszeniu Danych Osobowych, niezwłocznie (i) powiadomimy Ciebie, (ii) zbadamy Naruszenie Danych Osobowych, (iii) dostarczymy na bieżąco informacji dotyczących Naruszenia Danych Osobowych, kiedy będą znane lub będą rozsądnie wymagane przez Ciebie, oraz (iv) podejmiemy komercyjnie uzasadnione kroki, aby zminimalizować skutki i zapobiec powtórzeniu się Naruszenia Danych Osobowych.
6. Assistance
6.1 Pomoc w ochronie danych. Będziemy zapewniać Ci rozsądną pomoc, abyś mógł spełnić swoje obowiązki wynikające z Przepisów o ochronie danych, w tym powiadamianie o naruszeniu danych osobowych, ocenianie odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomaganie w przeprowadzeniu odpowiedniej oceny skutków dla ochrony danych.
6.2 Pomoc w prawach podmiotów danych. Udzielimy Ci rozsądnej pomocy, abyś mógł spełnić swoje obowiązki wobec podmiotów danych, które korzystają ze swoich praw wynikających z Przepisów o ochronie danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich żądań lub skarg od podmiotów danych dotyczących Danych osobowych Klienta tego podmiotu danych.
7. Disclosure and Disclosure Requests
7.1 Ograniczenia dotyczące ujawniania i dostępu. Nie będziemy udostępniać ani ujawniać Danych Osobowych Klientów, z wyjątkiem (i) na twoje polecenie, (ii) zgodnie z Umową i niniejszym DPA lub (iii) gdy wymaga tego prawo.
7.2 Żądania ujawnienia. Powiadomimy cię tak szybko, jak to będzie możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego dotyczące ujawnienia Danych Osobowych Klientów, chyba że takie powiadomienie jest zabronione przez prawo. Będziemy obsługiwać żądania ujawnienia zgodnie z polityką żądań ujawnienia dostępną pod adresem https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Lista Obecnych Podwykonawców. Zgadzasz się na angażowanie Podwykonawców wymienionych w przeglądzie Procesorów i Podwykonawców MessageBird pod nagłówkiem „Dane Osobowe Użytkownika Końcowego”, który zawiera procedurę subskrypcji powiadomień o zmianach w naszym korzystaniu z Podwykonawców. Jeśli subskrybujesz takie powiadomienia, biorąc pod uwagę Sekcję 8.3 tego DPA, przekażemy szczegóły wszelkich zmian w Podwykonawcach tak szybko, jak to będzie możliwe.
8.2 Powołanie Podwykonawców. Na mocy tego DPA udzielasz nam ogólnego pisemnego upoważnienia do angażowania Podwykonawców do przetwarzania Danych Osobowych Klientów, z zastrzeżeniem Sekcji 8.3 tego DPA i następujących wymagań:
Ograniczymy dostęp do Danych Osobowych Klientów przez Podwykonawców do tego, co jest ściśle niezbędne do świadczenia usług określonych w umowie z podwykonawcą;
Uzgodnimy z Podwykonawcą zobowiązania dotyczące ochrony danych, które będą w zasadniczy sposób takie same jak zobowiązania wynikające z tego DPA; oraz
Pozostajemy za ciebie odpowiedzialni zgodnie z tym DPA za wypełnianie zobowiązań dotyczących ochrony danych przez Podwykonawcę.
9. Cross Border Transfers of Customer Personal Data
9.1 Transfery danych osobowych klienta. Możemy przekazywać dane osobowe klienta pod warunkiem, że zastosowane są wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz dostęp do skutecznych środków prawnych dla osób, których dane dotyczą.
9.2 Standardowe klauzule umowne dla podprzetwarzających. O ile nie stosuje się decyzja w zakresie adekwatności lub alternatywny mechanizm transferu, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z podprzetwarzającymi (w tym naszymi filiami) zlokalizowanymi poza EEA, zgodnie z zasadami określonymi w sekcji 9.1 tego DPA.
9.3 Mechanizmy transferu dla transferów danych osobowych klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych, aby legalnie eksportować dane osobowe klienta z jurysdykcji (np. EEA, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas znajdujących się poza tą jurysdykcją, ta sekcja będzie miała zastosowanie. Jeśli w ramach wykonywania Usług, dane osobowe klienta, które podlegają RODO lub jakimkolwiek innym przepisom dotyczącym ochrony lub prywatności osób, które mają zastosowanie do tego DPA, są przekazywane do MessageBird zlokalizowanego w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, mechanizmy transferu wymienione poniżej będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony w zakresie, w jakim takie transfery podlegają przepisom o ochronie danych.
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne zastosują się do danych osobowych klienta, które są transferowane za pośrednictwem Usług z EEA lub Szwajcarii, bezpośrednio lub poprzez dalszy transfer, do podmiotu MessageBird zlokalizowanego w kraju poza EEA lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, kompetentny organ dla Szwajcarii) jako zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako kontroler danych, a MessageBird jest procesorem danych, stosuje się model EU Kontroler-do-Procesor (Moduł Dwa) Standardowych Klauzul Umownych do takich transferów danych osobowych klienta z EEA. Gdy działasz jako procesor danych, a MessageBird jest podprocesor, stosuje się model Procesor-do-Procesor (Moduł Trzy) Standardowych Klauzul Umownych do takich transferów danych osobowych klienta z EEA.
9.3.1.2 MessageBird będzie uznawane za importera danych, a Ty będziesz uznawany za eksportera danych w ramach Standardowych Klauzul Umownych. Podpisanie tego DPA przez każdą ze stron będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które zostaną uznane za włączone do tego DPA. Szczegóły wymagane w załącznikach 1 i 2 do Standardowych Klauzul Umownych są dostępne w Aneksie I i Aneksie II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały pierwszeństwo jedynie w przypadku transferu danych osobowych klienta z EEA.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają od stron wyboru między opcjonalnymi klauzulami i wprowadzenia informacji, strony to zrobiły, jak przedstawiono poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokowania” nie zostanie przyjęta.
ii. W przypadku Klauzuli 9 „Użycie podprzetwarzających”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne upoważnienie: importer danych ma ogólne upoważnienie kontrolera do zaangażowania podprocesora(-ów) z uzgodnionej listy. Importer danych musi konkretnie poinformować kontrolera na piśmie o wszelkich zamierzonych zmianach tej listy poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając tym samym kontrolerowi wystarczająco dużo czasu, aby móc sprzeciwić się takim zmianom przed zaangażowaniem podprocesora(-ów). Importer danych musi dostarczyć eksporterowi danych informacji niezbędnych do umożliwienia eksporterowi danych skorzystania z prawa do sprzeciwu. Importer danych musi poinformować eksportera danych o zaangażowaniu podprocesora(-ów).”
iii. W przypadku Klauzuli 11 (a) „Odszkodowanie”, strony nie przyjmują opcji.
iv. Dla Klauzuli 17 „Prawo rządzące”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem że takie prawo pozwala na uprawnienia beneficjentów trzecich. Strony zgadzają się, że będzie to prawo Holandii.”
v. Dla Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będzie to sądy Holandii.”
9.3.2 Strony zgadzają się, że KLauzule Standardowe dla Zjednoczonego Królestwa zastosują się do danych osobowych klienta, które są transferowane za pośrednictwem Usług z Zjednoczonego Królestwa, bezpośrednio lub poprzez dalszy transfer, do podmiotu MessageBird zlokalizowanego w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez kompetentną jednostkę regulacyjną Zjednoczonego Królestwa lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
10. Audit
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie poddawana audytom zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego wyłącznego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie udostępnimy Ci streszczenie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytu i niniejszym DPA. Takie Raporty z audytu, jak również wszelkie zawarte w nich wnioski lub ustalenia, są naszą Informacją Poufną.
10.2 Żądania informacji od Klienta. Udostępnimy Ci wszelkie informacje racjonalnie niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszym DPA. Dostarczymy pisemne odpowiedzi na uzasadnione żądania informacji zgłoszone przez Ciebie, łącznie z odpowiedziami na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są rozsądne co do zakresu i niezbędne do potwierdzenia zgodności z niniejszym DPA, pod warunkiem że (i) najpierw podejmiesz racjonalne starania w celu uzyskania żądanych informacji z Dokumentacji, Raportów z audytu i innych informacji dostarczanych lub udostępnianych przez nas; oraz (ii) nie skorzystasz z tego prawa więcej niż raz w roku, chyba że naruszenie Danych Osobowych lub istotna zmiana naszych działań przetwarzania w związku z Usługami wymaga wykonania dodatkowego kwestionariusza. Wszystkie udzielane odpowiedzi są naszą Informacją Poufną.
10.3 Audyt Klienta. Jeśli Raport z audytu dostarczony przez nas Tobie daje Ci uzasadnione powody, by sądzić, że naruszamy nasze zobowiązania wynikające z niniejszego DPA, związane z Osobistymi Danymi Klienta dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi zewnętrznemu wyznaczonemu przez Ciebie i zatwierdzonemu przez nas przeprowadzić audyt odpowiednich działań przetwarzania Danych Osobowych, pod warunkiem że, w najszerszym zakresie dozwolonym przez obowiązujące prawo, spełnione zostaną następujące wymagania:
Powinieneś dać nam co najmniej sześćdziesiąt (60) dni uprzedniego zawiadomienia przed skorzystaniem z prawa do audytu;
Audytor zgadza się na rynkowe standardowe zobowiązania poufności z nami;
Ty i audytor podejmujecie środki w celu zminimalizowania zakłóceń w naszej działalności;
Audyt będzie prowadzony w standardowych godzinach pracy;
Nie będziemy zobowiązani do udzielania dostępu do danych klientów innych klientów lub systemów niezaangażowanych w świadczenie Usług; oraz
Powinieneś pokryć wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Komunikacja i prawa afiliacji klienta
Wejście w życie niniejszej Umowy o Przetwarzanie Danych (DPA) w imieniu i na rzecz Podmiotu Powiązanego Klienta, zgodnie z postanowieniami Sekcji 1.2, stanowi odrębną Umowę o Przetwarzanie Danych między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem poniższych warunków:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację całej komunikacji z nami na mocy tej DPA i jest uprawniony do dokonywania i odbierania wszelkiej komunikacji związanej z niniejszą DPA w imieniu swoich Podmiotów Powiązanych.
12.2 Prawa Podmiotów Powiązanych Klienta. Gdy Podmiot Powiązany Klienta staje się stroną DPA z nami, ma on w zakresie wymaganym przez Prawo Ochrony Danych prawo do wykonywania praw i dochodzenia środków zaradczych na podstawie tej DPA, z zastrzeżeniem poniższych warunków:
(i) O ile Prawo Ochrony Danych nie wymaga, aby Podmiot Powiązany Klienta wykonywał prawo lub dochodził środka zaradczego na podstawie tej DPA przeciwko MessageBird bezpośrednio przez siebie, strony zgadzają się, że (i) wyłącznie Klient będący stroną Umowy będzie wykonywał takie prawo lub dochodził takiego środka zaradczego w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną Umowy będzie wykonywał wszelkie takie prawa na mocy tej DPA łącznie, dla siebie i wszystkich swoich Podmiotów Powiązanych, a nie osobno dla każdego Podmiotu Powiązanego Klienta indywidualnie.
(ii) Strony zgadzają się, że Klient będący stroną Umowy będzie, gdy na jego rzecz jest przeprowadzany audyt procedur związanych z ochroną Danych Osobowych Klienta zgodnie z Sekcją 10.3 tej DPA, podejmował wszelkie rozsądne środki mające na celu ograniczenie wpływu na nas poprzez, w miarę możliwości, łączenie wielu wniosków auditowych realizowanych na jego rzecz i na rzecz wszystkich jego Podmiotów Powiązanych w jednym wspólnym audycie.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną zawierającą Umowę.
13. California Consumer Privacy Act.
W zakresie, w jakim ma to zastosowanie, zobowiązujemy się do następujących dodatkowych zobowiązań wobec Ciebie w odniesieniu do przetwarzania Danych Osobowych Klientów w ramach CCPA.
13.1 Nasze Zobowiązania Zgodnie z Amerykańskimi Przepisami o Ochronie Danych. Termin “cel biznesowy,” “cel komercyjny,” “konsument,” “sprzedawać” i “dzielić się” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. W zakresie, w jakim ma to zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym obowiązującym Amerykańskim Przepisom o Ochronie Danych („Amerykańskie Dane Osobowe”) zgodnie z postanowieniami CCPA i innych Amerykańskich Przepisów o Ochronie Danych. W odniesieniu do Amerykańskich Danych Osobowych, jesteśmy dostawcą usług zgodnie z CCPA i procesorem danych zgodnie z innymi Amerykańskimi Przepisami o Ochronie Danych. Nie będziemy sprzedawać Amerykańskich Danych Osobowych. Nie będziemy przechowywać, używać ani ujawniać żadnych Amerykańskich Danych Osobowych (i) w jakimkolwiek innym celu niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Amerykańskich Danych Osobowych w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w innej sytuacji dozwolonej przez CCPA lub obowiązujące przepisy); lub (ii) poza bezpośrednim związkiem biznesowym z tobą i nami.
13.2 Zobowiązania Klienta. Oświadczasz i gwarantujesz, że powiadomiłeś Użytkownika Końcowego, że Dane Osobowe są używane lub udostępniane zgodnie z obowiązującymi Przepisami o Ochronie Danych. Jesteś odpowiedzialny za zgodność z wymaganiami Przepisów o Ochronie Danych w zakresie, w jakim mają one zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i Rozwiązywanie Sporów. Wszelkie spory, roszczenia lub kontrowersje („Spory”) wynikające z tego DPA lub z nim związane będą regulowane i interpretowane zgodnie z prawem Holandii. Każda ze stron zgadza się, że właściwe sądy w Amsterdamie będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z tego DPA lub z nim związanych.