Umowa o Przetwarzaniu Danych Maj 2023
Dokumenty
Zawartość
Ta Umowa o Przetwarzaniu Danych ma zastosowanie, jeśli zarejestrowałeś się do Usług MessageBird (w tym przez którykolwiek z jej podmiotów stowarzyszonych) przed, w dniu lub po 3 maja 2023. Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
Ta Umowa o Przetwarzaniu Danych, włączając załączniki, („DPA”) jest częścią Umowy między MessageBird a Klientem dotyczącej zakupu usług komunikacji (online) od MessageBird, aby odzwierciedlać porozumienie Stron w odniesieniu do przetwarzania Danych Osobowych Klienta. W tej DPA terminy „ty”, „twój” lub „Klient” odnoszą się do ciebie (zgodnie z punktem 1.2 poniżej), a terminy „my”, „nas”, „nasze” lub „MessageBird” odnoszą się do nas. Terminy pisane wielką literą używane w tej DPA, ale niezdefiniowane poniżej, są zdefiniowane w Ogólnych Warunkach MessageBird lub innej Umowie z nami regulującej korzystanie z Usług.
Strony uzgadniają, że ta DPA zastąpi wszelkie istniejące dodatki o ochronie danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
Wprowadzenie
1. Scope, Customer Affiliates and Term
1.1 Zakres. Niniejsza DPA reguluje przetwarzanie Danych Osobowych Klienta przez MessageBird jako procesora.
1.2 Podmioty powiązane z klientem. Klient wchodzi w niniejszą DPA w swoim imieniu oraz, w zakresie wymaganym przez Ustawy o ochronie danych, w imieniu i na rzecz swoich Podmiotów powiązanych (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim zapewniasz tym Podmiotom powiązanym dostęp do Usług, a my przetwarzamy Dane Osobowe Klientów, dla których takie Podmioty powiązane kwalifikują się jako administrator danych („Podmioty powiązane z klientem”). Do celów niniejszej DPA, i z wyjątkiem sytuacji wskazanej inaczej, terminy „Klient” i „ty” będą obejmować Klienta i Podmioty powiązane z klientem.
2. Definicje
„Dane Konta” to wszelkie dane osobowe dostarczone przez ciebie lub dla ciebie do MessageBird w związku z zawarciem i administracją Umowy oraz twojego konta, w tym między innymi informacje kontaktowe, szczegóły dotyczące fakturowania i korespondencja na temat zawarcia i administracji Umowy oraz powiązanych usług.
„CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, zmieniane od czasu do czasu.
„Dane Klienta” oznaczają wszelkie dane i inne informacje lub treści przesłane przez ciebie lub dla ciebie (lub przez użytkownika Twojej Aplikacji Klienta) w ramach Umowy i przetwarzane lub przechowywane przez Usługi.
„Dane Osobowe Klienta” oznaczają dane osobowe zawarte w Danych Klienta przetwarzane przez MessageBird jako procesora, chyba że w niniejszym DPA podano inaczej.
„Prawa Ochrony Danych” oznaczają wszystkie przepisy prawne i regulacje dowolnej jurysdykcji dotyczące poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych w ramach Umowy, w tym na przykład i tam, gdzie mają zastosowanie, GDPR lub CCPA.
„EEA” oznacza, dla celów niniejszego DPA, Europejski Obszar Gospodarczy i Szwajcarię.
„GDPR” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w kontekście przetwarzania Danych Osobowych oraz swobodnego przepływu takich danych (Ogólne Rozporządzenie o Ochronie Danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa Ustawę o Ochronie Danych 2018.
„MessageBird” oznacza podmiot MessageBird będący stroną niniejszego DPA, będący podmiotem kontraktowym wymienionym w Sekcji 15 w Ogólnych Warunkach (Podmiot Kontraktujący), chyba że na Formularzu Zamówienia podano inaczej. Ty lub MessageBird możecie także być indywidualnie nazywani „Stroną”, a wspólnie „Stronami” w niniejszym DPA.
„Dane Osobowe” oznaczają wszelkie informacje dotyczące osoby fizycznej, bezpośrednio lub pośrednio zidentyfikowanej lub możliwej do zidentyfikowania, zarówno same w sobie, jak i w połączeniu z innymi informacjami.
„Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta oraz wszelkie inne podobne terminy zgodnie z obowiązującymi Prawami Ochrony Danych, takie jak „Naruszenie Bezpieczeństwa”.
„Usługi” oznaczają wszystkie produkty i usługi dostarczane przez nas lub naszych partnerów, które są (a) zamówione przez ciebie na podstawie dowolnego Formularza Zamówienia; lub (b) używane przez ciebie.
„Standardowe Klauzule Umowne” oznaczają Controller to Processor (Moduł Drugi) lub Processor to Processor (Moduł Trzeci), w zależności od przypadku, Standardowych Klauzul Umownych dla transferu Danych Osobowych do krajów trzecich zgodnie z Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonych przez Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 roku, jak obecnie określono pod https://eurlex.europa.eu/eli/dec_impl/2021/914/oj,.
„Podprocesor” oznacza podmiot zewnętrzny, który przetwarza Dane Osobowe Klienta w imieniu podmiotu MessageBird działającego jako procesor danych lub Podprocesor.
„UK Standardowe Klauzule Umowne” oznaczają dowolne lub wszystkie z następujących: (i) międzynarodową umowę o transferze danych wydaną przez Komisarza ds. Informacji Zjednoczonego Królestwa na podstawie sekcji 119A DPA 2018; (ii) międzynarodowy załącznik do transferu danych do standardowych klauzul umownych Komisji Europejskiej dla międzynarodowych transferów danych wydany przez Komisarza ds. Informacji Zjednoczonego Królestwa na podstawie sekcji 119A DPA 2018; lub (iii) wszelkie standardowe klauzule umowne wydane przez Komisarza ds. Informacji Zjednoczonego Królestwa lub Komisję Europejską, które mogą zastąpić te klauzule w przyszłości.
Takie terminy jak „przetwarzanie”, „administrator danych”, „procesor danych”, „podmiot danych” itd. mają znaczenie przypisane im przez GDPR. Definicja „administrator danych” obejmuje „biznes”, „konsumenta”, „kontrolera” i „organizację”; „procesor danych” obejmuje „dostawcę usług”, „procesora” i „pośrednika danych”; „podmiot danych” obejmuje „konsumenta” i „indywidualnego”; a „Dane Osobowe” obejmują „informacje osobowe”, w każdym przypadku zgodnie z definicją zawartą w CCPA i innych obowiązujących Prawach Ochrony Danych. Terminy „cel biznesowy”, „cel handlowy”, „sprzedaż” i „udostępnienie” mają to samo znaczenie, co w obowiązujących Prawach Ochrony Danych, a w każdym przypadku ich podobne terminy będą interpretowane odpowiednio.
3. Przetwarzanie Danych Osobowych Klienta
3.1 Cele. Będziemy przetwarzać Dane Osobowe Klienta tylko w takim zakresie, jaki jest konieczny (i) do świadczenia Usług, w tym transmisji komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawy, świadczenia wsparcia oraz opracowywania i wdrażania ulepszeń i aktualizacji zgodnie z Państwa udokumentowanymi instrukcjami jako podmiotu przetwarzającego dane, jak określono w Sekcji 3.2 niniejszego DPA, (ii) do naszych uzasadnionych celów biznesowych, jak określono w Sekcji 3.4 niniejszego DPA jako administratora danych, oraz (iii) w inny sposób wymagany przez obowiązujące prawo.
3.2 Instrukcje Klienta. Umowa i niniejszy DPA stanowią Państwa kompletne instrukcje dla nas jako podmiotu przetwarzającego dane w momencie podpisania niniejszego DPA. Będziemy stosować się do innych racjonalnie udokumentowanych instrukcji, pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania. Załącznik I, Część B (Opis transferu) Aneksu I do niniejszego DPA określa charakter i cel przetwarzania przez nas jako podmiot przetwarzający dane lub Podprzetwarzający, czynności przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie podmiotów danych.
3.4 Uzasadnione Cele Biznesowe. Przyjmują Państwo do wiadomości, że przetwarzamy Dane Osobowe Klienta jako niezależny administrator danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: fakturowanie, zarządzanie kontem, raportowanie finansowe i wewnętrzne, zwalczanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą dotyczyć Państwa, nas lub naszych usług, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów oraz strategia produktowa), zapobieganie i wykrywanie oszustw, spamu i nadużyć, poprawa produktów lub usług w MessageBird suite oraz spełnianie naszych obowiązków prawnych.
4. Customer Obligations
4.1 Zgodność z prawem. Gdy działasz jako administrator danych Klienta, gwarantujesz, że wszystkie czynności przetwarzania są zgodne z prawem, mają określony cel, a wszelkie wymagane zawiadomienia i zgody lub inne odpowiednie podstawy prawne są zapewnione, aby umożliwić legalny transfer danych osobowych Klienta. Jeśli jesteś podmiotem przetwarzającym dane (w takim przypadku my będziemy działać jako podprzetwarzający), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w tej Sekcji 4.1.
4.2 Zgodność. Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz przepisów o ochronie danych osobowych mających zastosowanie do twojego korzystania z Usług i twojego własnego przetwarzania danych osobowych Klienta, (b) dokonanie niezależnej oceny, czy środki techniczne i organizacyjne Usług spełniają twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które zapewniasz lub kontrolujesz (w tym między innymi hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa. Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o zmiennej prawdopodobieństwie i powadze dla praw i wolności osób fizycznych, wdrażamy i utrzymujemy odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Klienta przed Naruszeniami Danych Osobowych oraz w celu zachowania bezpieczeństwa, integralności, dostępności, odporności i poufności Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Stosowane przez nas środki bezpieczeństwa opisane są w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa. Odpowiadasz za przegląd informacji udostępnianych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz za dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i prawne zobowiązania wynikające z Przepisów o Ochronie Danych. Przyznajesz, że środki bezpieczeństwa podlegają postępowi technologicznemu i rozwojowi oraz że możemy je aktualizować lub modyfikować od czasu do czasu, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego poziomu bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrole dostępu. Stosujemy zasady „konieczności posiadania wiedzy” i „najmniejszego przywileju”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do tych pracowników, którzy są niezbędni do świadczenia Usług i zgodnie z Umową, w tym z niniejszą Umową DPA.
5.4 Poufność przetwarzania. Zapewniamy, że każda osoba lub strona upoważniona przez nas do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i Podprocesorzy) jest poinformowana o poufnym charakterze takich Danych Osobowych Klienta i jest zobowiązana do zachowania odpowiedniej poufności (czy to na podstawie obowiązku umownego, czy ustawowego), który przetrwa zakończenie ich zaangażowania.
5.5 Odpowiedź na naruszenie danych osobowych i powiadomienie. Po uzyskaniu świadomości o Naruszeniu Danych Osobowych, niezwłocznie (i) powiadomimy Ciebie, (ii) zbadamy Naruszenie Danych Osobowych, (iii) dostarczymy na bieżąco informacji dotyczących Naruszenia Danych Osobowych, kiedy będą znane lub będą rozsądnie wymagane przez Ciebie, oraz (iv) podejmiemy komercyjnie uzasadnione kroki, aby zminimalizować skutki i zapobiec powtórzeniu się Naruszenia Danych Osobowych.
6. Pomoc
6.1 Pomoc w ochronie danych. Będziemy zapewniać Ci rozsądną pomoc, abyś mógł spełnić swoje obowiązki wynikające z Przepisów o ochronie danych, w tym powiadamianie o naruszeniu danych osobowych, ocenianie odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomaganie w przeprowadzeniu odpowiedniej oceny skutków dla ochrony danych.
6.2 Pomoc w prawach podmiotów danych. Udzielimy Ci rozsądnej pomocy, abyś mógł spełnić swoje obowiązki wobec podmiotów danych, które korzystają ze swoich praw wynikających z Przepisów o ochronie danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Dla uniknięcia wątpliwości, Ty jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich żądań lub skarg od podmiotów danych dotyczących Danych osobowych Klienta tego podmiotu danych.
7. Ujawnienie i prośby o ujawnienie
7.1 Ograniczenia ujawniania i dostępu. Nie udostępnimy dostępu do Danych Osobowych Klienta ani ich nie ujawnimy, z wyjątkiem sytuacji (i) zgodnie z Twoimi instrukcjami, (ii) zgodnie z Umową i niniejszym DPA lub (iii) jeśli wymagają tego przepisy prawa.
7.2 Żądania ujawnienia. Poinformujemy Cię tak szybko, jak to będzie rozsądnie możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego dotyczące ujawnienia Danych Osobowych Klienta, chyba że takie powiadomienie jest zabronione przez prawo. Będziemy obsługiwać żądania ujawnienia zgodnie z polityką dotyczącą żądań ujawnienia dostępną na https://bird.com/legal/disclosure-requests.
8. Sub-processors
8.1 Lista aktualnych Pod-procesorów. Zgadzasz się na zaangażowanie Pod-procesorów wymienionych w przeglądzie Procesorów i Pod-procesorów MessageBird pod nagłówkiem „Dane Osobowe Użytkownika Końcowego”, który zawiera procedurę subskrypcji powiadomień o zmianach w naszym wykorzystaniu Pod-procesorów. Jeśli zapiszesz się na takie powiadomienia, biorąc pod uwagę Sekcję 8.3 niniejszego DPA, przekażemy szczegóły wszelkich zmian w Pod-procesorach tak szybko, jak to będzie w praktyce możliwe.
8.2 Powierzenie Pod-procesorów. Za pomocą tego DPA udzielasz nam ogólnej pisemnej autoryzacji do angażowania Pod-procesorów do przetwarzania Danych Osobowych Klienta, z zastrzeżeniem Sekcji 8.3 niniejszego DPA oraz poniższych wymagań:
Ograniczymy dostęp do Danych Osobowych Klienta przez Pod-procesorów do tego, co jest ściśle niezbędne do świadczenia usług określonych w umowie z pod-procesorem;
Uzgodnimy zobowiązania w zakresie ochrony danych z Pod-procesorem, które są zasadniczo takie same jak zobowiązania wynikające z niniejszego DPA; oraz
Pozostajemy odpowiedzialni wobec ciebie na mocy tego DPA za wykonywanie zobowiązań w zakresie ochrony danych przez Pod-procesora.
9. Transfery transgraniczne danych osobowych klientów
9.1 Transfery danych osobowych klienta. Możemy przekazywać dane osobowe klienta pod warunkiem, że zastosowane są wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa osób, których dane dotyczą, oraz dostęp do skutecznych środków prawnych dla osób, których dane dotyczą.
9.2 Standardowe klauzule umowne dla podprzetwarzających. O ile nie stosuje się decyzja w zakresie adekwatności lub alternatywny mechanizm transferu, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z podprzetwarzającymi (w tym naszymi filiami) zlokalizowanymi poza EEA, zgodnie z zasadami określonymi w sekcji 9.1 tego DPA.
9.3 Mechanizmy transferu dla transferów danych osobowych klienta. W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych, aby legalnie eksportować dane osobowe klienta z jurysdykcji (np. EEA, Kalifornia, Singapur, Szwajcaria lub Wielka Brytania) do nas znajdujących się poza tą jurysdykcją, ta sekcja będzie miała zastosowanie. Jeśli w ramach wykonywania Usług, dane osobowe klienta, które podlegają RODO lub jakimkolwiek innym przepisom dotyczącym ochrony lub prywatności osób, które mają zastosowanie do tego DPA, są przekazywane do MessageBird zlokalizowanego w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, mechanizmy transferu wymienione poniżej będą miały zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony w zakresie, w jakim takie transfery podlegają przepisom o ochronie danych.
9.3.1 Strony zgadzają się, że Standardowe Klauzule Umowne zastosują się do danych osobowych klienta, które są transferowane za pośrednictwem Usług z EEA lub Szwajcarii, bezpośrednio lub poprzez dalszy transfer, do podmiotu MessageBird zlokalizowanego w kraju poza EEA lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku transferów ze Szwajcarii, kompetentny organ dla Szwajcarii) jako zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1 Gdy działasz jako kontroler danych, a MessageBird jest procesorem danych, stosuje się model EU Kontroler-do-Procesor (Moduł Dwa) Standardowych Klauzul Umownych do takich transferów danych osobowych klienta z EEA. Gdy działasz jako procesor danych, a MessageBird jest podprocesor, stosuje się model Procesor-do-Procesor (Moduł Trzy) Standardowych Klauzul Umownych do takich transferów danych osobowych klienta z EEA.
9.3.1.2 MessageBird będzie uznawane za importera danych, a Ty będziesz uznawany za eksportera danych w ramach Standardowych Klauzul Umownych. Podpisanie tego DPA przez każdą ze stron będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które zostaną uznane za włączone do tego DPA. Szczegóły wymagane w załącznikach 1 i 2 do Standardowych Klauzul Umownych są dostępne w Aneksie I i Aneksie II do tego DPA. W przypadku jakiegokolwiek konfliktu lub niespójności między tym DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne będą miały pierwszeństwo jedynie w przypadku transferu danych osobowych klienta z EEA.
9.3.1.3 Gdy Standardowe Klauzule Umowne wymagają od stron wyboru między opcjonalnymi klauzulami i wprowadzenia informacji, strony to zrobiły, jak przedstawiono poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokowania” nie zostanie przyjęta.
ii. W przypadku Klauzuli 9 „Użycie podprzetwarzających”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne upoważnienie: importer danych ma ogólne upoważnienie kontrolera do zaangażowania podprocesora(-ów) z uzgodnionej listy. Importer danych musi konkretnie poinformować kontrolera na piśmie o wszelkich zamierzonych zmianach tej listy poprzez dodanie lub zastąpienie podprocesorów co najmniej 10 dni roboczych wcześniej, dając tym samym kontrolerowi wystarczająco dużo czasu, aby móc sprzeciwić się takim zmianom przed zaangażowaniem podprocesora(-ów). Importer danych musi dostarczyć eksporterowi danych informacji niezbędnych do umożliwienia eksporterowi danych skorzystania z prawa do sprzeciwu. Importer danych musi poinformować eksportera danych o zaangażowaniu podprocesora(-ów).”
iii. W przypadku Klauzuli 11 (a) „Odszkodowanie”, strony nie przyjmują opcji.
iv. Dla Klauzuli 17 „Prawo rządzące”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem że takie prawo pozwala na uprawnienia beneficjentów trzecich. Strony zgadzają się, że będzie to prawo Holandii.”
v. Dla Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będzie to sądy Holandii.”
9.3.2 Strony zgadzają się, że KLauzule Standardowe dla Zjednoczonego Królestwa zastosują się do danych osobowych klienta, które są transferowane za pośrednictwem Usług z Zjednoczonego Królestwa, bezpośrednio lub poprzez dalszy transfer, do podmiotu MessageBird zlokalizowanego w kraju poza Zjednoczonym Królestwem, który nie jest uznawany przez kompetentną jednostkę regulacyjną Zjednoczonego Królestwa lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
10. Audit
10.1 Raport z audytu. Nasza platforma komunikacyjna będzie regularnie poddawana audytom zgodnie z normą ISO 27001:2013 (lub równoważną). Audyt może, według naszego wyłącznego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie udostępnimy Ci streszczenie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować naszą zgodność z normami audytu i niniejszym DPA. Takie Raporty z audytu, jak również wszelkie zawarte w nich wnioski lub ustalenia, są naszą Informacją Poufną.
10.2 Żądania informacji od Klienta. Udostępnimy Ci wszelkie informacje racjonalnie niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszym DPA. Dostarczymy pisemne odpowiedzi na uzasadnione żądania informacji zgłoszone przez Ciebie, łącznie z odpowiedziami na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są rozsądne co do zakresu i niezbędne do potwierdzenia zgodności z niniejszym DPA, pod warunkiem że (i) najpierw podejmiesz racjonalne starania w celu uzyskania żądanych informacji z Dokumentacji, Raportów z audytu i innych informacji dostarczanych lub udostępnianych przez nas; oraz (ii) nie skorzystasz z tego prawa więcej niż raz w roku, chyba że naruszenie Danych Osobowych lub istotna zmiana naszych działań przetwarzania w związku z Usługami wymaga wykonania dodatkowego kwestionariusza. Wszystkie udzielane odpowiedzi są naszą Informacją Poufną.
10.3 Audyt Klienta. Jeśli Raport z audytu dostarczony przez nas Tobie daje Ci uzasadnione powody, by sądzić, że naruszamy nasze zobowiązania wynikające z niniejszego DPA, związane z Osobistymi Danymi Klienta dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi zewnętrznemu wyznaczonemu przez Ciebie i zatwierdzonemu przez nas przeprowadzić audyt odpowiednich działań przetwarzania Danych Osobowych, pod warunkiem że, w najszerszym zakresie dozwolonym przez obowiązujące prawo, spełnione zostaną następujące wymagania:
Powinieneś dać nam co najmniej sześćdziesiąt (60) dni uprzedniego zawiadomienia przed skorzystaniem z prawa do audytu;
Audytor zgadza się na rynkowe standardowe zobowiązania poufności z nami;
Ty i audytor podejmujecie środki w celu zminimalizowania zakłóceń w naszej działalności;
Audyt będzie prowadzony w standardowych godzinach pracy;
Nie będziemy zobowiązani do udzielania dostępu do danych klientów innych klientów lub systemów niezaangażowanych w świadczenie Usług; oraz
Powinieneś pokryć wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Komunikacja i prawa afiliacji klienta
Wejście w życie niniejszej Umowy o Przetwarzanie Danych (DPA) w imieniu i na rzecz Podmiotu Powiązanego Klienta, zgodnie z postanowieniami Sekcji 1.2, stanowi odrębną Umowę o Przetwarzanie Danych między nami a tym Podmiotem Powiązanym Klienta, z zastrzeżeniem poniższych warunków:
12.1. Komunikacja. Klient będący stroną umowy pozostaje odpowiedzialny za koordynację całej komunikacji z nami na mocy tej DPA i jest uprawniony do dokonywania i odbierania wszelkiej komunikacji związanej z niniejszą DPA w imieniu swoich Podmiotów Powiązanych.
12.2 Prawa Podmiotów Powiązanych Klienta. Gdy Podmiot Powiązany Klienta staje się stroną DPA z nami, ma on w zakresie wymaganym przez Prawo Ochrony Danych prawo do wykonywania praw i dochodzenia środków zaradczych na podstawie tej DPA, z zastrzeżeniem poniższych warunków:
(i) O ile Prawo Ochrony Danych nie wymaga, aby Podmiot Powiązany Klienta wykonywał prawo lub dochodził środka zaradczego na podstawie tej DPA przeciwko MessageBird bezpośrednio przez siebie, strony zgadzają się, że (i) wyłącznie Klient będący stroną Umowy będzie wykonywał takie prawo lub dochodził takiego środka zaradczego w imieniu Podmiotu Powiązanego Klienta, oraz (ii) Klient będący stroną Umowy będzie wykonywał wszelkie takie prawa na mocy tej DPA łącznie, dla siebie i wszystkich swoich Podmiotów Powiązanych, a nie osobno dla każdego Podmiotu Powiązanego Klienta indywidualnie.
(ii) Strony zgadzają się, że Klient będący stroną Umowy będzie, gdy na jego rzecz jest przeprowadzany audyt procedur związanych z ochroną Danych Osobowych Klienta zgodnie z Sekcją 10.3 tej DPA, podejmował wszelkie rozsądne środki mające na celu ograniczenie wpływu na nas poprzez, w miarę możliwości, łączenie wielu wniosków auditowych realizowanych na jego rzecz i na rzecz wszystkich jego Podmiotów Powiązanych w jednym wspólnym audycie.
Dla jasności, Podmiot Powiązany Klienta nie staje się stroną zawierającą Umowę.
13. California Consumer Privacy Act.
W zakresie, w jakim ma to zastosowanie, zobowiązujemy się do następujących dodatkowych zobowiązań wobec Ciebie w odniesieniu do przetwarzania Danych Osobowych Klientów w ramach CCPA.
13.1 Nasze Zobowiązania Zgodnie z Amerykańskimi Przepisami o Ochronie Danych. Termin “cel biznesowy,” “cel komercyjny,” “konsument,” “sprzedawać” i “dzielić się” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. W zakresie, w jakim ma to zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym obowiązującym Amerykańskim Przepisom o Ochronie Danych („Amerykańskie Dane Osobowe”) zgodnie z postanowieniami CCPA i innych Amerykańskich Przepisów o Ochronie Danych. W odniesieniu do Amerykańskich Danych Osobowych, jesteśmy dostawcą usług zgodnie z CCPA i procesorem danych zgodnie z innymi Amerykańskimi Przepisami o Ochronie Danych. Nie będziemy sprzedawać Amerykańskich Danych Osobowych. Nie będziemy przechowywać, używać ani ujawniać żadnych Amerykańskich Danych Osobowych (i) w jakimkolwiek innym celu niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Amerykańskich Danych Osobowych w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w innej sytuacji dozwolonej przez CCPA lub obowiązujące przepisy); lub (ii) poza bezpośrednim związkiem biznesowym z tobą i nami.
13.2 Zobowiązania Klienta. Oświadczasz i gwarantujesz, że powiadomiłeś Użytkownika Końcowego, że Dane Osobowe są używane lub udostępniane zgodnie z obowiązującymi Przepisami o Ochronie Danych. Jesteś odpowiedzialny za zgodność z wymaganiami Przepisów o Ochronie Danych w zakresie, w jakim mają one zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i Rozwiązywanie Sporów. Wszelkie spory, roszczenia lub kontrowersje („Spory”) wynikające z tego DPA lub z nim związane będą regulowane i interpretowane zgodnie z prawem Holandii. Każda ze stron zgadza się, że właściwe sądy w Amsterdamie będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z tego DPA lub z nim związanych.