Umowa o Przetwarzaniu Danych luty 2024
Ta Umowa o Przetwarzaniu Danych ma zastosowanie do Ciebie, jeśli zarejestrowałeś(-aś) się na nasze Usługi (w tym poprzez któregokolwiek z naszych Partnerów) przed, w dniu lub po 1 lutego 2024 o godzinie 13:00 CET. Nasza zarchiwizowana Umowa o Przetwarzaniu Danych jest dostępna tutaj.
To Porozumienie dotyczące przetwarzania danych, w tym załączniki („DPA”), stanowi część Umowy między nami a Klientem dotyczącej zakupu (online) usług komunikacyjnych od nas, aby odzwierciedlić zgodę Stron w odniesieniu do przetwarzania Danych Osobowych Klienta. W tym DPA, terminy „ty”, „twój” lub „Klient” odnoszą się do Ciebie jako naszego Klienta (z zastrzeżeniem Sekcji 1.2 poniżej), a terminy „my”, „nas” lub „nasz” odnoszą się do nas jako Dostawcy (zgodnie z definicją poniżej). Pojęcia pisane wielką literą użyte w tym DPA, ale niewyjaśnione poniżej, są zdefiniowane w naszych Ogólnych Warunkach Użytkowania lub innej Umowie z nami regulującej korzystanie z Usług przez Ciebie.
1.1 Zakres
Ta DPA reguluje przetwarzanie danych osobowych klienta przez nas jako procesora.
1.2 Podmioty Stowarzyszone Klienta
Klient zawiera tę DPA w swoim imieniu oraz, w zakresie wymaganym przez przepisy o ochronie danych, w imieniu i na rzecz swoich Partnerów (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim udostępniasz takim Partnerom dostęp do Usług i przetwarzamy Dane Osobowe Klienta, dla których tacy Partnerzy kwalifikują się jako administrator danych („Partnerzy Klienta”). Na potrzeby tej DPA i z wyjątkiem sytuacji wskazanych inaczej, terminy „Klient” i „ty” obejmują Klienta i Partnerów Klienta.
1.3 Warunki
To DPA pozostanie w mocy tak długo, jak będziemy przetwarzać Dane Osobowe Klienta podlegające temu DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definitions
Dane Konta
“Dane Konta” to wszelkie Dane Osobowe dostarczone przez ciebie lub dla ciebie nam w związku z zawarciem i zarządzaniem Umową oraz twoim kontem, w tym, ale nie wyłącznie, dane kontaktowe, szczegóły rozliczeń i korespondencja dotycząca zawarcia i zarządzania Umową oraz związane z nią Usługi.
CCPA
„CCPA” oznacza California Consumer Privacy Act z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, w miarę późniejszych zmian.
Dane Klienta
“Dane Klienta” oznaczają wszelkie dane i inne informacje lub treści dostarczone przez ciebie lub dla ciebie (lub przez użytkownika twojej Aplikacji Klienta) na podstawie Umowy i przetwarzane lub przechowywane przez Usługi.
Dane Osobowe Klienta
“Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta przetwarzanych przez nas jako procesor, chyba że w niniejszym DPA określono inaczej.
Prawa dotyczące ochrony danych
“Prawa dotyczące ochrony danych” oznaczają wszystkie prawa i przepisy jakiejkolwiek jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na podstawie Umowy, w tym, na przykład i gdzie ma to zastosowanie, GDPR lub CCPA.
EEA
„EEA” oznacza, dla celów niniejszego DPA, Europejski Obszar Gospodarczy i Szwajcarię.
GDPR
“GDPR” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady dotyczące ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych i swobodnym przepływem takich danych (Ogólne rozporządzenie o ochronie danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o ochronie danych z 2018 roku.
Dane Osobowe
“Dane Osobowe” oznaczają wszelkie informacje dotyczące bezpośrednio lub pośrednio zidentyfikowanej lub identyfikowalnej osoby fizycznej, zarówno samodzielnie, jak i w połączeniu z innymi informacjami.
Naruszenie Danych Osobowych
“Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta i wszelkie inne podobne terminy w ramach mających zastosowanie Praw Ochrony Danych, takie jak „Naruszenie bezpieczeństwa”.
Usługi
“Usługi” oznaczają wszystkie produkty i usługi dostarczane przez nas lub naszych partnerów, które są (a) zamówione przez ciebie na podstawie Formularza Zamówienia; lub (b) używane przez ciebie.
Dostawca
„Dostawca” oznacza nasz podmiot umowny, który jest stroną niniejszego DPA, będący podmiotem umownym wymienionym w Sekcji 15 w Ogólnych Warunkach (Podmiot umowny), o ile na twoim Formularzu Zamówienia nie określono inaczej. Ty lub Dostawca możesz być również indywidualnie nazywany „Stroną”, a razem jako „Strony” w niniejszym DPA.
Standardowe Klauzule Umowne
“Standardowe Klauzule Umowne” oznaczają Kontroler do Procesora (Moduł Drugi) lub Procesor do Procesora (Moduł Trzeci), w zależności od przypadku, Standardowych Klauzul Umownych dotyczących przekazywania Danych Osobowych do krajów trzecich zgodnie z Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzonych przez Decyzję Wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 roku, jak obecnie określono na https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.
Sub-procesor
“Sub-procesor” oznacza podmiot trzeciej strony przetwarzający Dane Osobowe Klienta w imieniu Dostawcy gdzie Dostawca działa jako procesor danych lub sub-procesor.
UK Standardowe Klauzule Umowne
“UK Standardowe Klauzule Umowne” oznaczają którekolwiek z następujących: (i) międzynarodowe porozumienie dotyczące transferu danych wydane przez Komisarza ds. Informacji w Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; (ii) międzynarodowe dodatki dotyczące transferu danych do standardowych klauzul umownych Komisji Europejskiej dotyczących międzynarodowych transferów danych wydane przez Komisarza ds. Informacji w Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; lub (iii) takie standardowe postanowienia umowne wydane przez Komisarza ds. Informacji w Wielkiej Brytanii lub Komisję Europejską, które mogą zastąpić te od czasu do czasu. Terminy takie jak „przetwarzanie”, „administrator danych”, „procesor danych”, „podmiot danych” itp. będą miały znaczenie przypisane im w GDPR. Definicja „administratora danych” obejmuje „biznes”, „konsument”, „kontroler” i „organizacja”; „procesor danych” obejmuje „dostawcę usług”, „procesor” i „pośrednik danych”; „podmiot danych” obejmuje „konsumenta” i „indywidualnego”; oraz „Dane Osobowe” obejmują „informacje osobiste”, w każdym przypadku zgodnie z definicją w CCPA, i innych mających zastosowanie Praw Ochrony Danych. Terminy „cel biznesowy”, „cel handlowy”, „sprzedawać” i „udzielać” będą miały takie samo znaczenie, jak w mających zastosowanie Praw Ochrony Danych i w każdym przypadku ich pokrewne terminy będą interpretowane odpowiednio.
3. Processing of Customer Personal Data
3.1 Cele
Będziemy przetwarzać Dane Osobowe Klientów jedynie w zakresie niezbędnym (i) do świadczenia Usług, w tym przekazywania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dotyczących dostarczania, udzielania wsparcia oraz opracowywania i wdrażania usprawnień i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami dla nas jako przetwarzających dane, określonymi w Sekcji 3.2 tego DPA, (ii) dla naszych uzasadnionych celów biznesowych określonych w Sekcji 3.4 tego DPA jako administrator danych, oraz (iii) w sposób wymagany przez obowiązujące prawo.
3.2 Instrukcje Klienta
Umowa i niniejsze DPA stanowią Twoje pełne instrukcje dla nas jako przetwarzających dane w momencie podpisania tego DPA. Będziemy postępować zgodnie z innymi rozsądnie udokumentowanymi instrukcjami, pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania
Aneks I, Część B (Opis przekazu) Załącznika I do tego DPA określa charakter i cel przetwarzania przez nas jako przetwarzających danych lub Podprzetwarzających, czynności przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie podmiotów danych.
3.4 Uzasadnione Cele Biznesowe
Uznajesz, że przetwarzamy Dane Osobowe Klientów jako niezależny administrator danych w zakresie niezbędnym do realizacji następujących uzasadnionych celów biznesowych: fakturowania, zarządzania kontem, sprawozdawczości finansowej i wewnętrznej, przeciwdziałania zagrożeniom bezpieczeństwa, atakom cybernetycznym i cyberprzestępczości, które mogą dotyczyć Ciebie, nas lub naszych usług, modelowania biznesowego (np. prognozowanie, planowanie zdolności i przychodów oraz strategii produktowej), zapobiegania oszustwom, spamowi i nadużyciom, ulepszania naszej gamy produktów i usług oraz spełniania naszych zobowiązań prawnych.
4. Customer Obligations
4.1 Zgodność z prawem
Kiedy działasz jako administrator danych osobowych klienta, gwarantujesz, że wszystkie czynności przetwarzania są zgodne z prawem, mają określony cel i że istnieją wszelkie wymagane powiadomienia, zgody lub inne odpowiednie podstawy prawne umożliwiające zgodny z prawem transfer danych osobowych klienta. Jeśli jesteś przetwarzającym dane (w takim przypadku my będziemy działać jako Podprzetwarzający), zapewnisz, że odpowiedni administrator danych gwarantuje spełnienie warunków wymienionych w niniejszym punkcie 4.1.
4.2 Zgodność
Jesteś wyłącznie odpowiedzialny za (a) zapewnienie zgodności z przepisami o ochronie danych osobowych, które mają zastosowanie do twojego używania Usług i do twojego przetwarzania danych osobowych klientów, (b) dokonanie niezależnej oceny, czy środki techniczne i organizacyjne Usług spełniają twoje wymagania, oraz (c) wdrażanie i utrzymywanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, ale nie ograniczając się do haseł, urządzeń używanych z Usługami i Aplikacjami Klienta).
5. Security
5.1 Środki bezpieczeństwa
Biorąc pod uwagę stan technologii, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko o różnym prawdopodobieństwie i skali dla praw i wolności osób fizycznych, wdrożymy i utrzymamy odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Dane Osobowe Klienta przed naruszeniami danych osobowych i zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta, których nasze systemy używają do przetwarzania Danych Osobowych Klienta. Zastosowane przez nas środki bezpieczeństwa są opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa
Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta i dokonanie niezależnej oceny, czy te informacje spełniają Twoje wymagania i obowiązki prawne wynikające z przepisów o ochronie danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa podlegają postępowi technicznemu i rozwojowi oraz że możemy od czasu do czasu aktualizować lub modyfikować nasze środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrola dostępu
Stosujemy zasady „konieczności wiedzy” i „najmniejszego przywileju”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony do tego Personelu, który jest niezbędny do świadczenia Usług i zgodny z Umową, w tym niniejszym DPA.
5.4 Poufność przetwarzania
Zapewnimy, że każda osoba lub strona, która jest przez nas upoważniona do przetwarzania Danych Osobowych Klienta (w tym nasz personel, agenci i Podprocesorzy), będą poinformowani o poufnym charakterze takich Danych Osobowych Klienta i będą zobowiązani do odpowiedniej tajemnicy (czy to umownej, czy ustawowej), która przetrwa zakończenie ich zatrudnienia.
5.5 Reakcja i powiadomienie o naruszeniu danych osobowych
Po uzyskaniu informacji o naruszeniu danych osobowych, niezwłocznie
(i) powiadomimy Cię,
(ii) przeprowadzimy dochodzenie dotyczące naruszenia danych osobowych,
(iii) dostarczymy terminowe informacje dotyczące naruszenia danych osobowych, gdy staną się znane lub gdy będą one rozsądnie przez Ciebie wymagane, oraz (iv) podejmiemy komercyjnie uzasadnione kroki, aby złagodzić skutki i zapobiec ponownemu wystąpieniu naruszenia danych osobowych.
6. Assistance
6.1 Pomoc w zakresie ochrony danych
Zapewnimy Ci racjonalną pomoc w celu umożliwienia Ci spełnienia Twoich obowiązków na mocy Praw Ochrony Danych, w tym powiadamiania o Naruszeniu Danych Osobowych, oceny odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomocy w przeprowadzaniu odpowiedniej oceny skutków dla ochrony danych.
6.2 Pomoc w zakresie praw osób, których dane dotyczą
Zapewnimy Ci racjonalną pomoc w celu umożliwienia Ci spełnienia Twoich obowiązków wobec osób, które realizują swoje prawa na mocy Praw Ochrony Danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Aby uniknąć wątpliwości, jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich wniosków lub skarg od osób, których dane dotyczą, w odniesieniu do Klientowskich Danych Osobowych osoby, której dane dotyczą.
7. Disclosure and Disclosure Requests
7.1 Ograniczenia ujawniania i dostępu
Nie udzielimy dostępu do Danych Osobowych Klientów ani ich nie ujawnimy, chyba że (i) zgodnie z Twoimi instrukcjami, (ii) zgodnie z Umową i niniejszym DPA lub (iii) wymagane przez prawo.
7.2 Prośby o ujawnienie
Poinformujemy Cię tak szybko, jak to będzie możliwe, jeśli otrzymamy żądanie od organu rządowego lub regulacyjnego dotyczące ujawnienia Danych Osobowych Klientów, chyba że takie powiadomienie jest zabronione przez prawo. Będziemy zajmować się prośbami o ujawnienie zgodnie z polityką dotyczącą wniosków o ujawnienie, dostępną na naszej stronie internetowej tutaj.
8. Podwykonawcy
8.1 Lista Obecnych Podprocesorów
Zgadzasz się na angażowanie Podprocesorów w związku z Usługami, wymienionymi na naszej liście podprocesorów, która zawiera również procedurę subskrypcji powiadomień o zmianach w użyciu Podprocesorów. Jeśli subskrybujesz takie powiadomienia, z uwzględnieniem Sekcji 8.3 niniejszej DPA, przekażemy szczegóły wszelkich zmian w Podprocesorach tak szybko, jak to jest rozsądnie możliwe.
8.2 Powołanie Podprocesorów
Na mocy niniejszej DPA, udzielasz nam ogólnego pisemnego upoważnienia do angażowania Podprocesorów do przetwarzania Danych Osobowych Klienta, zgodnie z Sekcją 8.3 niniejszej DPA oraz następującymi wymaganiami:
Ograniczymy dostęp Podprocesorów do Danych Osobowych Klienta do tego, co jest ściśle niezbędne do świadczenia usług określonych w umowie z podprocesorem;
Uzgodnimy z Podprocesorem obowiązki w zakresie ochrony danych, które są zasadniczo takie same jak obowiązki wynikające z niniejszej DPA; i
Ponosić będziemy wobec ciebie odpowiedzialność zgodnie z niniejszą DPA za wykonanie obowiązków w zakresie ochrony danych przez Podprocesora.
8.3 Powiadomienie o Zmianach Podprocesorów i Prawo do Sprzeciwu
Przed zastąpieniem lub zatrudnieniem nowych Podprocesorów („Zmiana Podprocesora”), damy ci możliwość sprzeciwienia się Zmianie Podprocesora. Możesz sprzeciwić się Zmianie Podprocesora pod warunkiem że (i) sprzeciw zostanie złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie Podprocesora oraz (ii) sprzeciw opiera się na i jasno wyjaśnia uzasadnione podstawy związane z ochroną Danych Osobowych Klienta. Kiedy sprzeciwiasz się proponowanej Zmianie Podprocesora, będziemy współpracować z tobą w dobrej wierze, aby dokonać komercyjnie rozsądnej zmiany w świadczeniu Usług, która unika użycia danego Podprocesora. Jeśli taka zmiana nie może zostać racjonalnie dokonana w ciągu trzydziestu (30) dni roboczych od otrzymania twojego zawiadomienia o sprzeciwie lub jeśli zmiana jest komercyjnie nieuzasadniona dla nas, każda ze stron może zakończyć stosowanie odpowiednich funkcji Usług, które nie mogą być świadczone bez użycia danego Podprocesora. To prawo do rozwiązania umowy jest twoim jedynym i wyłącznym środkiem prawnym, jeśli sprzeciwisz się Zmianie Podprocesora.
9. Cross Border Transfers of Customer Personal Data
9.1 Transfery Danych Osobowych Klientów
Możemy przekazywać Dane Osobowe Klientów pod warunkiem, że wszelkie wymagane zabezpieczenia określone przez przepisy o ochronie danych są na miejscu. Może to obejmować wcześniejszą ocenę wpływu transferu danych, przyjęcie, monitorowanie i ocenę uzupełniających środków technicznych, organizacyjnych i prawnych, egzekwowalnych praw podmiotów danych oraz zapewnienie skutecznych środki prawnych dla podmiotów danych.
9.2 Standardowe klauzule umowne podwykonawców
O ile nie obowiązuje decyzja o adekwatności lub alternatywny mechanizm transferu, na przykład EU-US Data Privacy Framework, zawarliśmy i będziemy utrzymywać Standardowe Klauzule Umowne z podwykonawcami (w tym naszymi podmiotami powiązanymi) zlokalizowanymi poza EEA, zgodnie z warunkami określonymi w sekcji 9.1 niniejszej DPA.
9.3 Mechanizmy transferu dla transferów danych osobowych klientów
W zakresie, w jakim korzystanie z Usług wymaga mechanizmu transferu danych transgranicznych do legalnego eksportowania Danych Osobowych Klienta z jurysdykcji (np. EEA, Kalifornia, Singapur, Szwajcaria lub Zjednoczone Królestwo) do nas zlokalizowanych poza tą jurysdykcją, zastosowanie ma ta sekcja. Jeśli podczas wykonywania Usług Dane Osobowe Klienta, które podlegają RODO lub innym przepisom dotyczącym ochrony lub prywatności osób, które mają zastosowanie do tej DPA, są przekazywane do jednostki świadczeniodawcy zlokalizowanej w kraju, który nie zapewnia odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, mechanizmy transferu wymienione poniżej mają zastosowanie do takich transferów i mogą być bezpośrednio egzekwowane przez strony, o ile takie transfery podlegają przepisom o ochronie danych.
9.3.1
Strony zgadzają się, że Standardowe Klauzule Umowne będą miały zastosowanie do Danych Osobowych Klienta przesyłanych za pośrednictwem Usług z EEA lub Szwajcarii, bezpośrednio lub w drodze dalszego transferu, do jednostki świadczeniodawcy zlokalizowanej w kraju poza EEA lub Szwajcarią, który nie jest uznany przez Komisję Europejską (lub w przypadku transferów ze Szwajcarii, odpowiedni organ dla Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1
Gdy działasz jako administrator danych, a my jesteśmy przetwarzającym dane, Klauzule Standardowych Kontraktów UE (Moduł Drugi) będą miały zastosowanie do wszelkiego takiego transferu Danych Osobowych Klienta z EEA. Gdy działasz jako przetwarzający dane, a my jesteśmy podprzetwarzającym, Klauzule Standardowych Kontraktów dla Przetwarzający-Przetwarzający (Moduł Trzeci) będą miały zastosowanie do wszelkiego takiego transferu Danych Osobowych Klienta z EEA.
9.3.1.2
Będziemy uznani za importera danych, a Ty będziesz uznany za eksportera danych w ramach Standardowych Klauzul Umownych. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych, które będą uznane za włączone do tej DPA. Szczegóły wymagane na mocy Załącznika 1 i Załącznika 2 do Standardowych Klauzul Umownych są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiejkolwiek sprzeczności lub niespójności między tą DPA a Standardowymi Klauzulami Umownymi, Standardowe Klauzule Umowne mają pierwszeństwo tylko w odniesieniu do transferu Danych Osobowych Klienta z EEA.
9.3.1.3
Gdy Standardowe Klauzule Umowne wymagają, aby strony wybrały między opcjami i wprowadziły informacje, strony uczyniły to, jak poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokowania” nie zostanie przyjęta.
ii. Dla Klauzuli 9 „Użycie podprzetwarzaczy”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne upoważnienie: importer danych ma ogólne upoważnienie administratora do zaangażowania podprzetwarzacza z uzgodnionej listy. Importer danych musi konkretnie poinformować administratora pisemnie o wszelkich zamierzonych zmianach na tej liście poprzez dodanie lub zastąpienie podprzetwarzaczy co najmniej 10 dni roboczych wcześniej, dając tym samym administratorowi wystarczająco dużo czasu na wyrażenie sprzeciwu wobec takich zmian przed zaangażowaniem podprzetwarzacza. Importer danych musi dostarczyć eksporterowi danych informacji niezbędnych do umożliwienia eksporterowi danych skorzystania z prawa do sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podprzetwarzacz(a).”
iii. Dla Klauzuli 11 (a) „Odszkodowanie”, strony nie przyjmują opcji.
iv. Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Klauzule te będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem że prawo to pozwala na prawa beneficjentów trzeciej strony. Strony zgadzają się, że będzie to prawo Niderlandów.”
v. Dla Klauzuli 18 (b) „Wybór Fora i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Niderlandów.”
9.3.2
Strony zgadzają się, że Klauzule Standardowe UK będą miały zastosowanie do Danych Osobowych Klienta przesyłanych za pośrednictwem Usług ze Zjednoczonego Królestwa, bezpośrednio lub w drodze dalszego transferu, do jednostki świadczeniodawcy zlokalizowanej w kraju poza Zjednoczonym Królestwem, który nie jest uznany przez odpowiedni organ regulacyjny Zjednoczonego Królestwa lub organ rządowy Zjednoczonego Królestwa za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.2.1
Będziemy uznani za importera danych, a Ty będziesz uznany za eksportera danych na podstawie Klauzul Standardowych UK. Podpisanie przez każdą ze stron tego DPA będzie traktowane jako podpisanie Klauzul Standardowych UK, które będą uznane za włączone do tej DPA. Szczegóły wymagane na podstawie Klauzul Standardowych UK są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakiejkolwiek sprzeczności lub niespójności między tą DPA a Klauzulami Standardowymi UK, Klauzule Standardowe UK mają pierwszeństwo tylko w odniesieniu do transferu Danych Osobowych Klienta ze Zjednoczonego Królestwa.
10. Audit
10.1 Raport z Audytu
Nasza platforma komunikacyjna będzie regularnie audytowana według standardu ISO 27001 (lub równoważnego). Audyt może być, według naszego wyłącznego uznania, audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemne żądanie, dostarczymy Ci streszczenie raportu z audytu (“Raport z Audytu”), abyś mógł zweryfikować naszą zgodność ze standardami audytu i tym DPA. Takie Raporty z Audytów, jak również wszelkie wnioski lub ustalenia w nich określone, stanowią naszą Informację Poufną.
10.2 Żądania Informacji Klienta
Udostępnimy Ci wszelkie informacje, które są racjonalnie niezbędne do wykazania zgodności z obowiązkami określonymi w tym DPA. Udzielimy pisemnych odpowiedzi na racjonalne prośby o informacje złożone przez Ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są racjonalne pod względem zakresu i niezbędne do potwierdzenia zgodności z tym DPA, pod warunkiem, że (i) najpierw podjąłeś racjonalny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów z Audytów i innych informacji dostarczonych lub udostępnionych przez nas publicznie, oraz (ii) nie będziesz korzystał z tego prawa więcej niż raz w roku, chyba że Naruszenie Danych Osobowych lub znacząca zmiana w naszych działaniach przetwarzających w związku z Usługami wymaga wykonania dodatkowego kwestionariusza. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt Klienta
Jeśli Raport z Audytu dostarczony przez nas Tobie daje uzasadnione powody, aby sądzić, że naruszamy nasze zobowiązania wynikające z tego DPA, związane z Danymi Osobowymi Klienta dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi trzeciej strony, wyznaczonemu przez Ciebie i zatwierdzonemu przez nas, przeprowadzić audyt odpowiednich działań przetwarzania Danych Osobowych, pod warunkiem, że w maksymalnym zakresie dopuszczalnym przez obowiązujące prawo zostaną spełnione następujące wymagania:
a) Musisz powiadomić nas z przynajmniej sześćdziesięciodniowym (60) racjonalnym wyprzedzeniem przed skorzystaniem z prawa do audytu;
b) Audytor zgodzi się na standardowe rynkowe zobowiązania dotyczące poufności z nami;
c) Ty i audytor podejmiecie środki, aby zminimalizować zakłócenia w naszych operacjach biznesowych;
d) Audyt zostanie przeprowadzony w regularnych godzinach pracy;
e) Nie będziemy zobligowani do udzielania dostępu do danych klienta innych klientów ani do systemów niezaangażowanych w świadczenie Usług;
f) oraz Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i Zwrot Danych Osobowych Klienta
Upon termination or expiration of the Agreement, we will (at your election) delete or return to you all Customer Personal Data (including copies) in our possession or control, save that this requirement will not apply to the extent we are required by law to retain some or all of the Customer Personal Data. If you instruct us to delete Customer Personal Data, Customer Personal Data archived on our back up systems will be protected from further processing, and deleted when the required retention period has passed.
12. Komunikacja i prawa afiliacji klienta
Wejście w życie tego DPA w imieniu oraz na rzecz Oddziału Klienta, jak określono w Sekcji 1.2, stanowi oddzielne DPA pomiędzy nami a tym Oddziałem Klienta, pod warunkiem spełnienia następujących warunków:
12.1. Komunikacja
Klient będący stroną umowy pozostaje odpowiedzialny za koordynację wszelkiej komunikacji z nami na mocy tego DPA oraz ma prawo do prowadzenia i otrzymywania wszelkiej komunikacji w związku z tym DPA w imieniu swoich Oddziałów Klienta.
12.2 Prawa Oddziałów Klienta
Gdy Oddział Klienta staje się stroną DPA z nami, to w zakresie wymaganym przez Przepisy o Ochronie Danych ma prawo do realizacji praw i domagania się środków zaradczych zgodnie z tym DPA, pod warunkiem spełnienia następujących warunków: (i) O ile Przepisy o Ochronie Danych nie wymagają, aby Oddział Klienta realizował prawo lub domagał się środka zaradczego zgodnie z tym DPA bezpośrednio przeciwko nam, strony zgadzają się, że
(i) wyłącznie Klient będący stroną umowy będzie realizować takie prawo lub domagać się takiego środka zaradczego w imieniu Oddziału Klienta, oraz
(ii) Klient będący stroną umowy będzie realizować takie prawa na mocy tego DPA nie oddzielnie dla każdego Oddziału Klienta indywidualnie, lecz w sposób zintegrowany dla siebie i wszystkich swoich Oddziałów Klienta razem. (ii) Strony zgadzają się, że Klient będący stroną umowy, gdy jest przeprowadzany audyt na miejscu procedur dotyczących ochrony Danych Osobowych Klienta w jego imieniu, zgodnie z Sekcją 10.3 tego DPA, podejmie wszelkie rozsądne środki w celu zminimalizowania wpływu na nas poprzez, w miarę możliwości, połączenie kilku wniosków o audyt przeprowadzonych w jego imieniu oraz wszystkich jego Oddziałów Klienta w jednym audycie.
Dla jasności, Oddział Klienta nie staje się stroną umowy.
13. California Consumer Privacy Act
W zakresie, w jakim ma to zastosowanie, składamy następujące dodatkowe zobowiązania wobec Państwa w odniesieniu do przetwarzania Danych Osobowych Klientów w ramach CCPA.
13.1 Nasze Zobowiązania Zgodnie z Amerykańskimi Przepisami o Ochronie Danych
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedać” i „udzielać” używane w tej Sekcji 13.1 mają znaczenia nadane im w CCPA. W zakresie, w jakim ma to zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym obowiązującym amerykańskim Przepisom o Ochronie Danych („Amerykańskie Dane Osobowe”) zgodnie z postanowieniami CCPA i innych amerykańskich Przepisów o Ochronie Danych. W odniesieniu do Amerykańskich Danych Osobowych, jesteśmy dostawcą usług zgodnie z CCPA i procesorem danych zgodnie z innymi amerykańskimi Przepisami o Ochronie Danych. Nie będziemy sprzedawać Amerykańskich Danych Osobowych. Nie będziemy zachowywać, używać ani ujawniać żadnych Amerykańskich Danych Osobowych (i) w jakimkolwiek innym celu niż cele biznesowe określone w Umowie (w tym zachowywanie, używanie lub ujawnianie Amerykańskich Danych Osobowych w celu komercyjnym innym niż cel biznesowy określony w Umowie lub jak inny dozwolony przez CCPA lub obowiązujące przepisy); lub (ii) poza bezpośrednią relacją biznesową między Państwem a nami.
13.2 Zobowiązania Klienta
Oświadczacie i gwarantujecie, że poinformowaliście Użytkownika Końcowego, że Dane Osobowe są używane lub udostępniane zgodnie z obowiązującymi Przepisami o Ochronie Danych. Jesteście odpowiedzialni za przestrzeganie wymagań Przepisów o Ochronie Danych w zakresie, w jakim mają one zastosowanie do Państwa jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spory”) wynikające z niniejszego DPA lub z nim związane będą regulowane i interpretowane zgodnie z prawem Holandii. Każda ze stron zgadza się, że właściwe sądy w Amsterdamie będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z niniejszego DPA lub z nim związanych.
13.1 Nasze Zobowiązania w Ramach U.S. Praw Ochrony Danych
Termin „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” i „udział” użyte w tej sekcji 13.1 mają znaczenie nadane im w CCPA. O ile ma to zastosowanie, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA i innym obowiązującym U.S. Prawom Ochrony Danych („U.S. Dane Osobowe”) zgodnie z postanowieniami CCPA i innych U.S. Praw Ochrony Danych. W odniesieniu do U.S. Danych Osobowych jesteśmy dostawcą usług w rozumieniu CCPA oraz procesorem danych w świetle innych U.S. Praw Ochrony Danych. Nie będziemy sprzedawać U.S. Danych Osobowych. Nie będziemy zatrzymywać, używać ani ujawniać żadnych U.S. Danych Osobowych (i) do żadnego celu innego niż cele biznesowe określone w Umowie (w tym zatrzymywanie, używanie lub ujawnianie U.S. Danych Osobowych do celów komercyjnych innych niż cel biznesowy określony w Umowie lub dozwolonych przez CCPA lub obowiązujące prawa); lub (ii) poza bezpośrednim związkiem biznesowym z tobą i nami.
ANEKS I - SZCZEGÓŁY PRZETWARZANIA
Gdzie ma to zastosowanie, Niniejszy Załącznik I będzie pełnił rolę Załącznika I do Standardowych Klauzul Umownych EOG.
Załącznik I, Część A. Lista Stron
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedać” i „dzielić się” używane w niniejszej Sekcji 13.1 mają znaczenia nadane im w CCPA. O ile to możliwe, będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klientów podlegające CCPA oraz innym obowiązującym amerykańskim przepisom o ochronie danych osobowych („Dane Osobowe USA”) zgodnie z postanowieniami CCPA i innymi amerykańskimi przepisami o ochronie danych osobowych. W odniesieniu do Danych Osobowych USA, jesteśmy dostawcą usług zgodnie z CCPA i procesorem danych zgodnie z innymi amerykańskimi przepisami o ochronie danych osobowych. Nie będziemy sprzedawać Danych Osobowych USA. Nie będziemy zachowywać, używać ani ujawniać żadnych Danych Osobowych USA (i) w jakimkolwiek celu innym niż cele biznesowe określone w Umowie (w tym nie będąc zachowały, używane lub ujawniane Dane Osobowe USA w celu komercyjnym innym niż cel biznesowy określony w Umowie lub jak inaczej dozwolone w CCPA lub obowiązujących przepisach); lub (ii) poza bezpośrednią relacją biznesową z Tobą i nami.
Eksporter danych
Klient
Dane kontaktowe eksportera danych
Adres podany na koncie Klienta, lub adres e-mail właściciela konta Klienta, lub adres(y) e-mail, na które Klient wybiera otrzymywanie powiadomień na mocy Umowy.
Rola eksportera danych
Rola eksportera danych jest wyjaśniona w Sekcji 4 DPA.
Podpis i data
Jeśli i gdy ma to zastosowanie, uznaje się, że eksporter danych podpisał Standardowe Klauzule Umowne włączone tutaj z dniem wejścia w życie DPA.
Importer danych
Dostawca
Dane kontaktowe importera danych
Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych
Importer danych działa jako procesor danych.
Podpis i data
Jeśli i gdy ma to zastosowanie, uznaje się, że importer danych podpisał Standardowe Klauzule Umowne włączone tutaj z dniem wejścia w życie DPA.
Załącznik I, Część B. Opis Transferu
1. Kategorie osób, których Dane Osobowe są przekazywane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, wykonawcy lub pracownicy tymczasowi (obecni, przyszli, byli) Klienta korzystający z Usług („Użytkownicy”);
Użytkownicy Końcowi. Każda osoba, (i) której dane kontaktowe są zawarte na liście kontaktowej Klienta; (ii) której informacje są przechowywane w Usługach lub zbierane za ich pośrednictwem, lub (iii) której Klient wysyła komunikaty lub w inny sposób angażuje się lub komunikuje się za pośrednictwem Usług (zbiorczo, „Użytkownicy Końcowi”). Klient jako Klient wyłączne określa kategorie osób, których dane są zawarte w komunikacji wysyłanej za pośrednictwem naszej platformy komunikacyjnej.
2. Kategorie przekazywanych Danych Osobowych
Dane Osobowe Klientów zawarte w, treściach komunikacyjnych, danych o ruchu, danych Użytkowników Końcowych i danych dotyczących użytkowania przez Klienta.
Treść komunikacyjna, która może zawierać Dane Osobowe lub inne spersonalizowane cechy, w zależności od treści komunikacyjnej określonej przez Klienta.
Dane o ruchu, które mogą zawierać Dane Osobowe Klienta dotyczące trasy, czasu trwania lub czasu komunikacji, np. rozmowa głosowa, SMS lub e-mail, niezależnie od tego, czy dotyczy osoby fizycznej czy firmy.
Dane Użytkowników Końcowych, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane dotyczące użytkowania przez Klienta, mogą zawierać dane, które mogą być połączone z Klientem jako osobą indywidualną, w tym dane statystyczne i informacje związane z kontem i działaniami serwisowymi, analizę usług związanych z komunikacją wysyłaną i wsparciem klienta.
3. Przekazywanie danych wrażliwych
Dane wrażliwe przekazywane (jeśli ma to zastosowanie) i zastosowane ograniczenia lub środki zabezpieczające w pełni uwzględniające charakter danych i związane z nimi ryzyko, takie jak, na przykład, ścisłe ograniczenie celów, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu posiadającego specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia przekazywania dalej lub dodatkowe środki bezpieczeństwa.
a) Treść komunikacyjna. Dane wrażliwe mogą być niekiedy przetwarzane za pośrednictwem Usług, gdy Klient lub jego Użytkownicy Końcowi zdecydują się na włączenie do komunikacji danych wrażliwych przesyłanych za pośrednictwem Usług. Klient jest odpowiedzialny za zapewnienie odpowiednich środków zabezpieczających przed przesyłaniem lub przetwarzaniem, lub przed zatwierdzeniem przesyłania lub przetwarzania danych wrażliwych przez Użytkowników Końcowych za pośrednictwem Usług, zgodnie z Sekcją 3.2 Umowy.
b) Dane o ruchu, dane Użytkowników Końcowych i dane dotyczące użytkowania przez Klienta. Żadne dane wrażliwe nie są zawarte w danych o ruchu, danych Użytkowników Końcowych lub danych dotyczących użytkowania przez Klienta.
4. Częstotliwość transferu
Częstotliwość transferu (np. czy dane są przesyłane jednorazowo czy na zasadzie ciągłej): Dane Osobowe Klientów są przesyłane na zasadzie ciągłej przez czas trwania Umowy.
5. Charakter przetwarzania
Będziemy przetwarzać Dane Osobowe Klienta w zakresie niezbędnym do świadczenia Usług na mocy Umowy. Nie sprzedajemy żadnych Danych Osobowych, w tym Danych Osobowych Klientów, i nie udostępniamy Danych Osobowych stronom trzecim za wynagrodzeniem lub dla własnych celów biznesowych stron trzecich.
6. Cel(e) transferu danych i dalszego przetwarzania
Będziemy przetwarzać Dane Osobowe Klienta jako procesor danych zgodnie z instrukcjami Klienta określonymi w tym DPA, chyba że przetwarzanie jest niezbędne do spełnienia obowiązku prawnego, któremu podlegamy, w takim przypadku będziemy klasyfikować się jako administrator danych.
Treść komunikacyjna, dane o ruchu, dane Użytkowników Końcowych i dane dotyczące użytkowania przez Klienta. Dane Osobowe zawarte w treściach komunikacyjnych, danych o ruchu, danych Użytkowników Końcowych i danych dotyczących użytkowania przez Klienta będą podlegały następującym podstawowym czynnościom przetwarzania:
a) Treść komunikacyjna. Świadczenie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programistycznych aplikacji (API) lub za pośrednictwem Dashboarda, dla Klienta, w tym przekazywanie do lub z aplikacji oprogramowania Klienta z lub na naszą platformę komunikacyjną i inne sieci komunikacyjne.
b) Dane o ruchu. Dane o ruchu są przetwarzane w celu przesyłania komunikacji w elektronicznej sieci komunikacyjnej lub do rozliczeń z tytułu tej komunikacji. Może to obejmować Dane Osobowe Klienta dotyczące trasy, czasu trwania lub czasu komunikacji, np. rozmowa głosowa, SMS lub e-mail, niezależnie od tego, czy dotyczy osoby fizycznej czy firmy.
c) Dane Użytkowników Końcowych. Dane Osobowe Użytkowników Końcowych są wymagane w celu realizacji Usług i będą przetwarzane wyłącznie w celach przesyłania komunikacji, wsparcia klienta i zapewnienia zgodności z naszymi obowiązkami prawnymi.
d) Dane dotyczące użytkowania przez Klienta. Dane Osobowe zawarte w danych dotyczących użytkowania przez Klienta będą podlegały czynnościom przetwarzania mającym na celu świadczenie Usług na mocy Umowy, z zamiarem dostarczania Klientowi analiz usług związanych z komunikacją wysyłaną, wsparciem klienta oraz ciągłym doskonaleniem Usług.
7. Okres Retencji Danych Osobowych
Okres, przez który Dane Osobowe będą przechowywane, lub, jeśli nie jest to możliwe, kryteria używane do określenia tego okresu: Treść komunikacyjna i dane o ruchu. Dla treści komunikacyjnych i danych o ruchu zawartych w Usługach SMS i Voice obowiązuje okres przechowywania sześciu miesięcy; Dla treści komunikacyjnych i danych o ruchu w Usługach Video treści komunikacyjne i dane o ruchu są przechowywane przez minimum 30 dni do czasu uzgodnionego z Klientem; Dla usług email treści komunikacyjne i dane o ruchu są przechowywane przez 72 godziny; Dla wszystkich innych usług treści komunikacyjne i dane o ruchu są przechowywane przez czas trwania Usług, chyba że Klient usunie treści komunikacyjne lub dane o ruchu za pośrednictwem środków technicznych i organizacyjnych dostarczonych przez Usługi. Dane Użytkowników Końcowych. Dane Użytkowników Końcowych będą przetwarzane przez okres określony przez Klienta, kiedy dane Użytkowników Końcowych są zawarte w profilach kontaktowych Klienta, domyślny okres retencji jest zgodny z czasem trwania Usług, z uwzględnieniem Sekcji 6(c) niniejszego Załącznika I, Część B. Dane dotyczące użytkowania przez Klienta. Po zakończeniu Umowy, możemy przechowywać, używać i ujawniać Dane Użytkowania Klienta dla celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B, zgodnie z obowiązkami poufności określonymi w Umowie. Będziemy anonimizować lub usuwać dane dotyczące użytkowania klienta, gdy przestaną one być potrzebne do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B.
7. Retencja Danych Osobowych
Okres, przez który Dane Osobowe będą przechowywane, lub, jeśli nie jest to możliwe, kryteria używane do określenia tego okresu:
Treść komunikacyjna i dane o ruchu;
Dla treści komunikacyjnych i danych o ruchu zawartych w Usługach SMS i Voice obowiązuje okres przechowywania sześciu miesięcy;
Dla Usług Video treść komunikacyjna i dane o ruchu są przechowywane przez minimum 30 dni do czasu uzgodnionego z Klientem;
Dla usług email treść komunikacyjna i dane o ruchu są przechowywane przez 72 godziny;
Dla wszystkich innych usług treść komunikacyjna i dane o ruchu są przechowywane przez czas trwania Usług, z wyjątkiem przypadku usunięcia treści komunikacyjnych lub danych o ruchu przez Klienta za pośrednictwem środków technicznych i organizacyjnych dostarczonych przez Usługi.
Dane Użytkowników Końcowych będą przetwarzane przez okres określony przez Klienta, kiedy dane Użytkowników Końcowych są zawarte w profilach kontaktowych Klienta domyślny okres retencji jest zgodny z czasem trwania Usług, z zastrzeżeniem Sekcji 6(c) niniejszego Załącznika I, Część B.
Dane dotyczące użytkowania przez Klienta: Po zakończeniu Umowy, możemy przechowywać, używać i ujawniać Dane Użytkowania Klienta dla celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B, zgodnie z obowiązkami poufności określonymi w Umowie. Będziemy anonimizować lub usuwać dane dotyczące użytkowania klienta, gdy nie będą już potrzebne do celów określonych w Sekcji 6(d) niniejszego Załącznika I, Część B.
8. Dla transferów do (pod-)procesorów
Dla transferów do pod-procesorów, również określ przedmiot, charakter i czas trwania przetwarzania: Dla transferów do pod-procesorów, przedmiot i charakter przetwarzania są określone w naszym przeglądzie pod-procesorów, a czas trwania to czas trwania Umowy.
Załącznik I, Część C. Kompetentny Organ Nadzorczy
Organem nadzorczym będzie Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens).
ANEKS II - Techniczne i Organizacyjne Środki Bezpieczeństwa
Gdzie ma to zastosowanie, niniejszy Załącznik II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej znajduje się więcej informacji dotyczących naszych technicznych i organizacyjnych środków bezpieczeństwa określonych poniżej.
Techniczne i Organizacyjne Środki Bezpieczeństwa
Środki pseudonimizacji i ochrony Danych Osobowych w przechowywaniu i transporcie:
Wszystkie Dane Osobowe są szyfrowane podczas przesyłania i w stanie spoczynku, a w miarę potrzeby z punktu widzenia bezpieczeństwa traktowane są jak dane wrażliwe. Informacje zawsze są przesyłane przez TLS z aktualnymi metodami szyfrowania domyślnie.
Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów i usług przetwarzania:
Zawieramy umowy, które zawierają klauzule poufności z naszymi pracownikami, kontrahentami, dostawcami i podprocesorami. Nasza polityka ciągłości działania ma na celu przygotowanie naszego biznesu i usług na wypadek długotrwałych przerw spowodowanych czynnikami niezależnymi od nas i jak najszybsze przywrócenie usług do jak najszerszego zakresu. Rozumiemy, że usługi, które świadczymy, są kluczowe dla naszych klientów, dlatego mamy bardzo niewielką tolerancję na przerwy w działaniu usług. Nasze terminy odzyskiwania są zaprojektowane tak, abyśmy mogli spełnić nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceny i wyceny skuteczności technicznych i organizacyjnych środków w celu zapewnienia bezpieczeństwa przetwarzania:
Celem bezpieczeństwa informacyjnego i naszego Systemu Zarządzania Bezpieczeństwem Informacyjnym (ISMS) jest ochrona poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów, klientów i (autoryzowanych) systemów informacyjnych, a także minimalizacja ryzyka uszkodzeń poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami bezpieczeństwa. Nasz zespół prawny, Inspektor Ochrony Danych i Zespół Bezpieczeństwa dbają o to, by odpowiednie przepisy i standardy były uwzględnione w naszych ramach bezpieczeństwa.
Środki identyfikacji i autoryzacji użytkownika:
Kierujemy się zasadami „potrzeby wiedzy” i „minimum uprawnień”. Promujemy stosowanie kontroli dostępu opartej na rolach. Provisioning i deprovisioning są nadzorowane przez zespół ds. bezpieczeństwa, z Single-Sign-On i 2FA domyślnie. Właściciele zostali zdefiniowani dla każdego zasobu informacyjnego, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie przeglądany. Kiedy zajmujemy się informacjami poufnymi lub podejmujemy działania krytyczne, stosujemy zasadę dwóch osób (four-eyes principle).
Środki zapewnienia logowania zdarzeń:
Dzienniki audytów są centralnie przechowywane i regularnie monitorowane pod kątem zdarzeń bezpieczeństwa oraz są zabezpieczone, aby uniknąć ryzyka manipulacji. Polityka zarządzania incydentami wprowadza w życie plan reagowania na incydenty i jego procedury. Te wytyczne są przestrzegane, jeśli dojdzie do jakiegokolwiek rodzaju incydentu bezpieczeństwa lub technicznego.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną:
Przestrzegamy spójnego procesu zarządzania zmianami dla wszelkich zmian w produkcyjnym środowisku Platformy Komunikacyjnej jako Usługi. Aby wyjaśnić, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i realizowane zgodnie z formalnym procesem kontroli zmiany. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wydawane w kontrolowany sposób; oraz że status każdej proponowanej zmiany jest monitorowany. Bazy konfiguracji są przestrzegane, aby skonfigurować systemy bezpiecznie zgodnie z najlepszymi praktykami. W Dziale Inżynierii stosowany jest również radar technologiczny, aby określić, które technologie (języki, narzędzia platformowe, bazy danych i narzędzia zarządzania danymi) mogą być przyjęte lub muszą być unikane podczas rozwoju.
Środki dotyczące bezpieczeństwa fizycznego
Aktywnie promujemy politykę „Praca z dowolnego miejsca”, aby nasi pracownicy mogli pracować z dowolnego miejsca, które chcą. Niemniej jednak, wciąż mamy nasze biura. Nie mamy obszarów chronionych/centrum danych w naszych biurach, ponieważ jesteśmy całkowicie oparte na chmurze. Nasze piętra biurowe są chronione za pomocą fizycznej kontroli dostępu, CCTV i ochrony.
Środki dotyczące wewnętrznego zarządzania IT i IT security governance:
Utrzymujemy oparte na ocenie ryzyka program bezpieczeństwa, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne zabezpieczenia zaprojektowane, aby chronić Usługi oraz poufność, integralność i dostępność Danych Klientów. Nasz program bezpieczeństwa informacyjnego jest zorganizowany i systematyczny. Ponadto, stosowane są wymagania prawne i regulacyjne w celu zapewnienia poufności, integralności i dostępności informacji dla organizacji, pracowników, partnerów i klientów. Wszystko to jest przetłumaczone na nasze polityki, procedury i wytyczne dotyczące bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie działań strategicznych na działania operacyjne w naszym bezpieczeństwie oraz ciągłe utrzymanie zgodności z przepisami. Wszyscy pracownicy są odpowiedzialni za ochronę zasobów firmy. Wszyscy nasi pracownicy są sprawdzani pod kątem wiedzy, doświadczenia i integralności. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie adaptacyjnym, jak również poprzez regularne szkolenia specyficzne dla zespołu oraz inne prezentacje dla całej firmy dotyczące znaczenia ochrony danych i zgodności z bezpieczeństwem. Posiadamy certyfikat ISO 27001, globalnie uznany standard bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy usług hostingowych mają certyfikat ISO 27001.
Jesteśmy również zarejestrowani w Holenderskim Urzędzie ds. Konsumentów i Rynków. Oznacza to, że jesteśmy zawsze odpowiedzialni i całkowicie przejrzyści wobec naszych klientów.
Jesteśmy Członkiem Stowarzyszonym Groupe Spéciale Mobile Association (GSMA). GSMA reprezentuje interesy operatorów mobilnych na całym świecie.
Zawsze jesteśmy na bieżąco z wszystkimi obowiązującymi przepisami i regulacjami, w tym z Ogólnym Rozporządzeniem o Ochronie Danych oraz Ramami Ochrony Danych UE-USA.
Środki dotyczące certyfikacji/zgodnościprocesów i produktów:
Podlegamy rygorystycznym przeglądom oraz audytom certyfikacyjnym w ramach naszej zgodności z ISO/IEC 27001 i regularnie przeprowadzamy testy wrażliwości aplikacji oraz testy penetracyjne.
Środki zapewniające odpowiedzialność:
Wdrażamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami i publikujemy przegląd informacji istotnych dla naszego ISMS (link). Mianowaliśmy dedykowanego Dyrektora ds. Bezpieczeństwa, Oficera ds. Bezpieczeństwa Informacji, Oficera ds. Zgodności oraz Inspektora Ochrony Danych i utrzymujemy dokumentację naszych działań przetwarzania, w tym rejestrowanie i raportowanie incydentów bezpieczeństwa, gdy ma to zastosowanie.
Środki zapewniające usuwanie danych:
Zapewniamy usuwanie danych poprzez zautomatyzowany proces usuwania w naszym środowisku komunikacyjnym i infrastrukturalnym. Ten proces usuwania danych zapewnia, że wszystkie dane, które nie są już potrzebne do osiągnięcia określonego celu, są usuwane z naszych systemów po przetworzeniu.