Ta Umowa o Przetwarzaniu Danych, w tym załączniki, („DPA”) jest częścią Umowy między nami a Klientem na zakup usług komunikacyjnych (online) od nas, aby odzwierciedlić zgodę Stron w sprawie przetwarzania Danych Osobowych Klienta. W tej DPA, terminy „ty”, „twój” lub „Klient” odnoszą się do Ciebie jako naszego Klienta (zgodnie z sekcją 1.2 poniżej), a terminy „my”, „nas” lub „nasze” odnoszą się do nas jako Dostawcy (jak zdefiniowano poniżej). Zdefiniowane terminy używane w tej DPA, ale nie zdefiniowane poniżej, są zdefiniowane w naszych Ogólnych Warunkach i Regulaminie lub innej Umowie z nami dotyczącej twojego korzystania z Usług.
1.1 Zakres
Ten DPA reguluje przetwarzanie Danych Osobowych Klienta przez nas jako procesora.
1.2 Afilianci klientów
Klient zawiera tę DPA w imieniu własnym oraz, o ile to wymagane na mocy przepisów dotyczących ochrony danych, w imieniu i na rzecz swoich Podmiotów Powiązanych (zgodnie z definicją w Warunkach), jeśli i w zakresie, w jakim udostępniasz takie Podmioty Powiązane dostęp do Usług, a my przetwarzamy Dane Osobowe Klienta, dla których takie Podmioty Powiązane kwalifikują się jako administrator danych („Podmioty Powiązane Klienta”). Na potrzeby tej DPA, a chyba że wskazano inaczej, terminy „Klient” i „ty” będą obejmować Klienta oraz Podmioty Powiązane Klienta.
1.3 Warunki
Niniejsza DPA pozostaje w mocy tak długo, jak długo przetwarzamy Dane Osobowe Klienta objęte niniejszą DPA, niezależnie od wygaśnięcia lub rozwiązania Umowy.
2. Definicje
Dane Konta
„Dane Konta” to wszelkie Dane Osobowe dostarczone przez Ciebie lub dla Ciebie do nas w związku z zawarciem i zarządzaniem Umową oraz Twoim kontem, w tym, ale nie ograniczając się do, informacji kontaktowych, szczegółów dotyczących płatności i korespondencji dotyczącej zawarcia i zarządzania Umową oraz związanych z nią Usług.
CCPA
„CCPA” oznacza Ustawę o Prywatności Konsumentów w Kalifornii z 2018 roku oraz wszelkie przepisy wprowadzone na jej mocy, w każdym przypadku, w brzmieniu zmienionym od czasu do czasu.
Dane Klienta
„Dane Klienta” oznaczają wszelkie dane oraz inne informacje lub treści przekazane przez Ciebie lub dla Ciebie (lub przez użytkownika Twojej Aplikacji Klienta) na podstawie Umowy i przetwarzane lub przechowywane przez Usługi.
Dane Osobowe Klienta
„Dane Osobowe Klienta” oznaczają Dane Osobowe zawarte w Danych Klienta przetwarzanych przez nas jako podmiot przetwarzający, chyba że w DPA określono inaczej.
Prawo Ochrony Danych
„Prawo Ochrony Danych” oznacza wszelkie ustawy i przepisy jakiejkolwiek jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub przetwarzania Danych Osobowych na mocy Umowy, w tym, na przykład i tam, gdzie ma to zastosowanie, RODO lub CCPA.
EEE
„EEE” oznacza, na potrzeby tej DPA, Europejski Obszar Gospodarczy i Szwajcarię.
RODO
„RODO” oznacza (i) rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych oraz w sprawie swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych); lub (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o Ochronie Danych z 2018 roku.
Dane Osobowe
„Dane Osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, niezależnie od tego, czy samodzielnie, czy w połączeniu z innymi informacjami.
Naruszenie Danych Osobowych
„Naruszenie Danych Osobowych” oznacza wszelkie przypadkowe, nieuprawnione lub bezprawne zniszczenie, utratę, zmianę, ujawnienie lub dostęp do Danych Osobowych Klienta oraz każdy inny podobny termin zgodnie z obowiązującymi Prawami Ochrony Danych, takim jak „Naruszenie zabezpieczeń”.
Usługi
„Usługi” oznaczają wszystkie produkty i usługi świadczone przez nas lub nasze Podmioty Stowarzyszone, które są (a) zamawiane przez Ciebie na podstawie jakiegokolwiek Formularza Zamówienia; lub (b) używane przez Ciebie.
Dostawca
„Dostawca” oznacza nasz podmiot umowy, który jest stroną tej DPA, będącym podmiotem umowy wymienionym w Sekcji 15 w Ogólnych Warunkach Umowy (Podmiot Umowy), chyba że na Twoim Formularzu Zamówienia określono inaczej. Ty lub Dostawca mogą być również określani indywidualnie jako „Strona” oraz razem jako „Strony” w tej DPA.
Standardowe Klauzule Umowne
„Standardowe Klauzule Umowne” oznaczają Klauzule Standardowe dla Przekazu Danych Osobowych do krajów trzecich na podstawie rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady zatwierdzone przez decyzję wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 roku, jak obecnie określono w Dzienniku Urzędowym Unii Europejskiej.
Pod-processor
„Pod-processor” oznacza stronę trzecią, która przetwarza Dane Osobowe Klienta w imieniu Dostawcy gdzie Dostawca działa jako podmiot przetwarzający lub pod-processor.
UK Standardowe Klauzule Umowne
„UK Standardowe Klauzule Umowne” oznaczają jakiekolwiek lub wszystkie z następujących: (i) umowa dotycząca międzynarodowego przekazu danych wydana przez Komisarza Informacji w Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; (ii) dodatek dotyczący międzynarodowego przekazu danych do standardowych klauzul umownych Komisji Europejskiej dotyczących międzynarodowych przekazów danych wydany przez Komisarza Informacji w Wielkiej Brytanii na podstawie sekcji 119A DPA 2018; lub (iii) takie standardowe postanowienia umowne wydane przez Komisarza Informacji w Wielkiej Brytanii lub Komisję Europejską, które mogą zastąpić te od czasu do czasu. Terminy takie jak „przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „osoba, której dotyczą dane”, itp. będą miały znaczenie przypisane im na podstawie RODO. Definicja „administratora danych” obejmuje „przedsiębiorstwo”, „konsumenta”, „administrator” i „organizację”; „podmiot przetwarzający” obejmuje „dostawcę usług”, „procesora” i „pośrednika danych”; „osoba, której dotyczą dane” obejmuje „konsumenta” i „osobę fizyczną”; a „Dane Osobowe” obejmują „informacje osobiste”, w każdym przypadku zgodnie z definicjami zawartymi w CCPA oraz innych obowiązujących Prawach Ochrony Danych. Terminy „cel biznesowy”, „cel komercyjny”, „sprzedaż” oraz „udział” będą miały to samo znaczenie, co w obowiązujących Prawach Ochrony Danych, a w każdym przypadku ich pokrewne terminy będą interpretowane odpowiednio.
3. Przetwarzanie danych osobowych Klienta
3.1 Cele
Przetwarzamy Danych Osobowych Klienta tylko w zakresie niezbędnym (i) do świadczenia Usług, w tym przesyłania komunikacji, zapewnienia bezpieczeństwa usług, dostarczania raportów technicznych i dostawy, zapewnienia wsparcia oraz rozwijania i wdrażania ulepszeń i aktualizacji zgodnie z Twoimi udokumentowanymi instrukcjami jako procesor danych, o których mowa w punkcie 3.2 tej DPA, (ii) dla naszych uzasadnionych celów biznesowych, jak określono w punkcie 3.4 tej DPA jako kontroler danych, oraz (iii) w innych okolicznościach wymaganych przez obowiązujące prawo.
3.2 Instrukcje Klienta
Umowa i ta DPA stanowią Twoje pełne instrukcje dla nas jako procesora danych w momencie podpisania tej DPA. Będziemy przestrzegać innych rozsądnie udokumentowanych instrukcji pod warunkiem, że te instrukcje są zgodne z warunkami Umowy.
3.3 Szczegóły Przetwarzania
Załącznik I, część B (Opis transferu) załącznika I do tej DPA określa charakter i cel przetwarzania przez nas jako procesora danych lub podprocesora, działalność przetwarzania, czas trwania przetwarzania, rodzaje Danych Osobowych oraz kategorie osób, których dane dotyczą.
3.4 Uzasadnione Cele Biznesowe
Potwierdzasz, że przetwarzamy Danych Osobowych Klienta jako niezależny kontroler danych w zakresie niezbędnym do następujących uzasadnionych celów biznesowych: fakturowanie, zarządzanie kontem, raportowanie finansowe i wewnętrzne, przeciwdziałanie i zapobieganie zagrożeniom bezpieczeństwa, atakom cybernetycznym oraz cyberprzestępczości, które mogą wpłynąć na Ciebie, nas lub nasze usługi, modelowanie biznesowe (np. prognozowanie, planowanie pojemności i przychodów, oraz strategia produktu), zapobieganie i wykrywanie oszustw, spamu i nadużyć, poprawa naszej gamy produktów i usług oraz przestrzeganie naszych zobowiązań prawnych.
4. Obowiązki Klienta
4.1 Legalność
Gdy działasz jako administrator danych klienta, gwarantujesz, że wszystkie czynności przetwarzania są legalne, mają określony cel, a wszelkie wymagane powiadomienia i zgody lub inne odpowiednie podstawy prawne są wprowadzone, aby umożliwić legalny transfer Danych Osobowych Klienta. Jeśli jesteś podmiotem przetwarzającym dane (w takim przypadku będziemy działać jako Podwykonawca), zapewnisz, że odpowiedni administrator danych gwarantuje, że warunki wymienione w tej sekcji 4.1 są spełnione.
4.2 Zgodność
Jesteś wyłącznie odpowiedzialny za (a) zapewnienie, że przestrzegasz przepisów o ochronie danych mających zastosowanie do korzystania z Usług oraz do własnego przetwarzania Danych Osobowych Klienta, (b) dokonanie niezależnej oceny, czy techniczne i organizacyjne środki Usług spełniają Twoje wymagania, oraz (c) wdrożenie i utrzymanie środków ochrony prywatności i bezpieczeństwa dla komponentów, które dostarczasz lub kontrolujesz (w tym, ale nie tylko, hasła, urządzenia używane z Usługami i Aplikacje Klienta).
5. Bezpieczeństwo
5.1 Środki bezpieczeństwa
Uwzględniając stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko o zróżnicowanej prawdopodobieństwie i powadze dla praw i wolności osób fizycznych, wprowadzimy i będziemy utrzymywać odpowiednie środki techniczne i organizacyjne zabezpieczające Dane Osobowe Klienta przed Naruszeniami Danych Osobowych oraz chroniące bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Klienta, które nasze systemy wykorzystują do przetwarzania Danych Osobowych Klienta. Środki bezpieczeństwa stosowane przez nas zostały opisane w Załączniku II.
5.2 Aktualizacje środków bezpieczeństwa
Jesteś odpowiedzialny za przeglądanie informacji udostępnionych przez nas dotyczących bezpieczeństwa Danych Osobowych Klienta oraz dokonanie niezależnej oceny, czy takie informacje spełniają Twoje wymagania i obowiązki prawne wynikające z Ustaw o Ochronie Danych. Przyjmujesz do wiadomości, że środki bezpieczeństwa są poddane postępowi technicznemu i rozwojowi, a my możemy aktualizować lub modyfikować nasze środki bezpieczeństwa od czasu do czasu, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa Danych Osobowych Klienta.
5.3 Kontrola dostępu
Stosujemy zasady „potrzeby wiedzy” i „najmniejszych uprawnień”, zapewniając, że dostęp do Danych Osobowych Klienta jest ograniczony tylko do tych pracowników, którzy są wymagani do świadczenia usług zgodnie z Umową, w tym niniejszym DPA.
5.4 Poufność przetwarzania
Zapewnimy, że każda osoba lub strona, która jest przez nas upoważniona do przetwarzania Danych Osobowych Klienta (w tym nasi pracownicy, agenci i podwykonawcy) zostanie poinformowana o poufnym charakterze takich Danych Osobowych Klienta i będzie miała odpowiedni obowiązek zachowania poufności (czy to na mocy umowy, czy z mocy przepisów prawa), który przetrwa zakończenie ich zaangażowania.
5.5 Reakcja i powiadomienie o Naruszeniu Danych Osobowych
Po uzyskaniu informacji o Naruszeniu Danych Osobowych, bezzwłocznie
(i) powiadomimy Cię,
(ii) zbadamy Naruszenie Danych Osobowych,
(iii) udzielimy na czas informacji dotyczących Naruszenia Danych Osobowych, gdy stanie się ono znane lub gdy zostanie rozsądnie zażądane przez Ciebie, oraz (iv) podejmiemy rozsądne kroki komercyjne w celu złagodzenia skutków i zapobieżenia powtórzeniu się Naruszenia Danych Osobowych.
6. Pomoc
6.1 Asysta w Ochronie Danych
Zapewnimy Ci rozsądnie żądaną pomoc, aby umożliwić Ci spełnienie Twoich obowiązków wynikających z Ustawy o Ochronie Danych, w tym powiadomienie o naruszeniu danych osobowych, ocenę odpowiedniego poziomu bezpieczeństwa przetwarzania oraz pomoc w przeprowadzeniu odpowiedniej oceny wpływu na ochronę danych.
6.2 Pomoc w Prawach Osób, których Dane Dotyczą
Zapewnimy Ci rozsądną pomoc, aby umożliwić Ci spełnienie Twoich obowiązków wobec osób, których dane dotyczą, które korzystają ze swoich praw na podstawie Ustawy o Ochronie Danych, udostępniając techniczne i organizacyjne środki za pośrednictwem Twojego konta. Dla jasności, jako administrator danych jesteś odpowiedzialny za przetwarzanie wszelkich żądań lub skarg od osób, których dane dotyczą, w zakresie Danych Osobowych Klienta osoby, której to dotyczy.
7. Ujawnienie i prośby o ujawnienie
7.1 Ograniczenia dotyczące ujawnienia i dostępu
Nie udostępnimy dostępu do ani nie ujawnimy Danych Osobowych Klienta, chyba że (i) na Twoje polecenie, (ii) zgodnie z postanowieniami Umowy i tego DPA, lub (iii) gdy wymagają tego przepisy prawa.
7.2 Wnioski o ujawnienie
Niezwłocznie powiadomimy Cię, jeśli otrzymamy wniosek od organu rządowego lub regulacyjnego o ujawnienie Danych Osobowych Klienta, chyba że takie powiadomienie jest zabronione przez prawo. Będziemy obsługiwać wnioski o ujawnienie zgodnie z polityką dotyczącą wniosków o ujawnienie, dostępną na naszej stronie internetowej tutaj.
8. Podprocesory
8.1 Lista bieżących podwykonawców
Wyrażasz zgodę na zatrudnienie podwykonawców w związku z usługami, które są wymienione w naszym przeglądzie podwykonawców, który zawiera również procedurę, dzięki której możesz subskrybować powiadomienia o zmianach w naszym korzystaniu z podwykonawców. Jeśli subskrybujesz takie powiadomienia, a biorąc pod uwagę sekcję 8.3 tej umowy DPA, będziemy dzielić się szczegółami wszelkich zmian w podwykonawcach najszybciej jak to będzie możliwe.
8.2 Zatrudnienie podwykonawców
Dzięki tej umowie DPA udzielasz nam ogólnego pisemnego zezwolenia na zatrudnienie podwykonawców do przetwarzania danych osobowych klientów, zgodnie z sekcją 8.3 tej umowy DPA oraz następującymi wymaganiami:
Ograniczymy dostęp do danych osobowych klientów przez podwykonawców do tego, co jest ściśle konieczne do świadczenia usług określonych w umowie z podwykonawcą;
Uzyskamy ustalenia dotyczące obowiązków w zakresie ochrony danych z podwykonawcą, które będą zasadniczo takie same jak obowiązki określone w tej umowie DPA; oraz
Wciąż jesteśmy odpowiedzialni przed Tobą na mocy tej umowy DPA za realizację obowiązków w zakresie ochrony danych podwykonawcy.
8.3 Powiadomienie o zmianach podwykonawców oraz prawo do sprzeciwu
Przed wymianą lub zatrudnieniem nowych podwykonawców („Zmiana podwykonawcy”), damy Ci możliwość wniesienia sprzeciwu wobec Zmiany podwykonawcy. Możesz wnieść sprzeciw wobec Zmiany podwykonawcy pod warunkiem, że (i) sprzeciw zostanie złożony na piśmie w ciągu dziesięciu (10) dni roboczych od naszego powiadomienia o Zmianie podwykonawcy oraz (ii) sprzeciw jest uzasadniony i wyraźnie wyjaśnia rozsądne podstawy dotyczące ochrony danych osobowych klientów. Kiedy wniesiesz sprzeciw wobec proponowanej Zmiany podwykonawcy, będziemy współpracować z Tobą w dobrej wierze, aby dokonać komercyjnie rozsądnej zmiany w świadczeniu usług, która unika korzystania z odpowiedniego podwykonawcy. Jeśli taka zmiana nie może być dokonana w rozsądny sposób w ciągu trzydziestu (30) dni roboczych od naszego otrzymania Twojego powiadomienia o sprzeciwie, lub jeśli zmiana jest komercyjnie nierozsądna dla nas, każda strona może wypowiedzieć odpowiednie funkcje usług, które nie mogą być świadczone bez korzystania z odpowiedniego podwykonawcy. To prawo do wypowiedzenia jest Twoim jedynym i wyłącznym środkiem odwoławczym, jeśli wniesiesz sprzeciw wobec Zmiany podwykonawcy.
9. Przekazywanie danych osobowych klientów poza granicami kraju
9.1 Przekazywanie danych osobowych Klientów
Możemy przekazywać dane osobowe Klientów pod warunkiem, że wszystkie odpowiednie zabezpieczenia wymagane przez przepisy o ochronie danych są na miejscu. Może to obejmować ocenę wpływu na przekazywanie danych przed transferem, przyjęcie, monitorowanie i ocenę dodatkowych środków technicznych, organizacyjnych i prawnych, egzekwowalne prawa podmiotów danych oraz dostępność skutecznych środków prawnych dla podmiotów danych.
9.2 Standardowe klauzule umowne dla pod-przetwarzających
O ile nie ma decyzji dotyczącej adekwatności lub alternatywnego mechanizmu transferu, takiego jak Ramy Prywatności UE-USA, zawarliśmy i będziemy utrzymywać standardowe klauzule umowne z pod-przetwarzającymi (w tym naszymi afiliacjami) znajdującymi się poza EOG, zgodnie z warunkami określonymi w punkcie 9.1 niniejszej DPA.
9.3 Mechanizmy transferu dla przekazywania danych osobowych Klientów
W zakresie, w jakim korzystanie z Usług wymaga mechanizmu przekazywania danych transgranicznych, aby legalnie eksportować dane osobowe Klientów z jurysdykcji (np. EOG, Kalifornia, Singapur, Szwajcaria lub Zjednoczone Królestwo) do nas znajdujących się poza tą jurysdykcją, niniejszy punkt będzie miał zastosowanie. Jeśli w trakcie wykonywania Usług dane osobowe Klientów, które podlegają GDPR lub innym przepisom dotyczącym ochrony lub prywatności osób, które mają zastosowanie do tej DPA, są przekazywane podmiotom dostarczającym znajdującym się w krajach, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu przepisów o ochronie danych, zastosowanie mają mechanizmy transferu wymienione poniżej i mogą być bezpośrednio egzekwowane przez strony w zakresie, w jakim takie transfery podlegają przepisom o ochronie danych.
9.3.1
Strony zgadzają się, że standardowe klauzule umowne będą miały zastosowanie do danych osobowych Klientów, które są przekazywane za pośrednictwem Usług z EOG lub Szwajcarii, either bezpośrednio, lub z dalszym przekazaniem, do jednostki dostarczającej znajdującej się w kraju poza EOG lub Szwajcarią, który nie jest uznawany przez Komisję Europejską (lub, w przypadku przekazywania z Szwajcarii, właściwy organ dla Szwajcarii) za zapewniający odpowiedni poziom ochrony danych osobowych.
9.3.1.1
Gdy działasz jako administrator danych, a my jako podmiot przetwarzający, będą miały zastosowanie zasady Module Two standardowych klauzul umownych do jakiegokolwiek transferu danych osobowych Klientów z EOG. Gdy działasz jako podmiot przetwarzający, a my jako pod-przetwarzający, będą miały zastosowanie zasady Module Three standardowych klauzul umownych do jakiegokolwiek transferu danych osobowych Klientów z EOG.
9.3.1.2
Uznamy się za importera danych, a Ty będziesz uznawany za eksportera danych w ramach standardowych klauzul umownych. Podpisanie niniejszej DPA przez każdą ze stron będzie traktowane jako podpisanie odpowiednich standardowych klauzul umownych, które będą uznawane za włączone do tej DPA. Szczegóły wymagane zgodnie z Aneksami 1 i 2 do standardowych klauzul umownych są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakichkolwiek konfliktów lub niespójności między niniejszą DPA a standardowymi klauzulami umownymi, standardowe klauzule umowne będą miały przewagę wyłącznie w odniesieniu do transferu danych osobowych Klientów z EOG.
9.3.1.3
Gdy standardowe klauzule umowne wymagają od stron wyboru pomiędzy opcjonalnymi klauzulami i wprowadzenia informacji, strony uczyniły to, jak podano poniżej:
i. Opcjonalna Klauzula 7 „Klauzula dokująca” nie zostanie przyjęta.
ii. Dla Klauzuli 9 „Wykorzystanie pod-przetwarzających”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne zezwolenie: importer danych ma ogólne zezwolenie administratora na zaangażowanie pod-przetwarzających z uzgodnionej listy. Importujący dane powinien poinformować administratora na piśmie o wszelkich zamierzonych zmianach tej listy poprzez dodanie lub zastąpienie pod-przetwarzających co najmniej 10 dni roboczych przed zamanifestowaniem się tych zmian, dając tym samym administratorowi wystarczająco dużo czasu, aby mógł odrzucić te zmiany przed zaangażowaniem pod-przetwarzających. Importujący dane zapewni eksporterowi danych informacje niezbędne do umożliwienia eksporterowi danych skorzystać z prawa do sprzeciwu. Importujący dane powinien poinformować eksportera danych o zaangażowaniu pod-przetwarzających.”
iii. Dla Klauzuli 11 (a) „Zadośćuczynienie”, strony nie przyjmują opcji.
iv. Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Niniejsze Klauzule będzie regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że prawo to zezwala na prawa beneficjenta osób trzecich. Strony zgadzają się, że będzie to prawo Holandii.”
v. Dla Klauzuli 18 (b) „Wybór Forum i Jurysdykcji”: „Strony zgadzają się, że będą to sądy Holandii.”
9.3.2
Strony zgadzają się, że będą miały zastosowanie brytyjskie standardowe klauzule umowne do danych osobowych Klientów, które są przekazywane za pośrednictwem Usług z Zjednoczonego Królestwa, either bezpośrednio lub z dalszym przekazaniem, do jednostki dostarczającej znajdującej się w kraju poza Zjednoczonym Królestwem, która nie jest uznawana przez właściwy organ regulacyjny Zjednoczonego Królestwa ani organ rządowy Zjednoczonego Królestwa za zapewniającą odpowiedni poziom ochrony danych osobowych.
9.3.2.1
Uznajemy się za importera danych, a Ty będziesz uznawany za eksportera danych w ramach brytyjskich standardowych klauzul umownych. Podpisanie niniejszej DPA przez każdą ze stron będzie traktowane jako podpisanie brytyjskich standardowych klauzul umownych, które będą uznawane za włączone do tej DPA. Szczegóły wymagane zgodnie z brytyjskimi standardowymi klauzulami umownymi są dostępne w Załączniku I i Załączniku II do tej DPA. W przypadku jakichkolwiek konfliktów lub niespójności między niniejszą DPA a brytyjskimi standardowymi klauzulami umownymi, brytyjskie standardowe klauzule umowne będą miały przewagę wyłącznie w odniesieniu do transferu danych osobowych Klientów z Zjednoczonego Królestwa.
10. Audyt
10.1 Raport z audytu
Nasza platforma komunikacyjna będzie regularnie audytowana zgodnie z normą ISO 27001 (lub równoważną). Audyt może, według naszego uznania, być audytem wewnętrznym lub audytem przeprowadzonym przez stronę trzecią. Na pisemną prośbę, udostępnimy Ci podsumowanie raportu z audytu („Raport z audytu”), abyś mógł zweryfikować nasze przestrzeganie standardów audytu i tej DPA. Takie Raporty z audytów, jak również wszelkie wnioski lub ustalenia w nich określone, są naszą Informacją Poufną.
10.2 Żądania informacji od Klienta
Udostępnimy Ci wszystkie informacje, które są rozsądnie konieczne do wykazania zgodności z obowiązkami określonymi w tej DPA. Udzielimy pisemnych odpowiedzi na rozsądne żądania informacji zgłoszone przez Ciebie, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są rozsądne w zasięgu i niezbędne do potwierdzenia zgodności z tą DPA, pod warunkiem, że (i) najpierw podjąłeś rozsądny wysiłek, aby uzyskać żądane informacje z Dokumentacji, Raportów z audytów i innych informacji dostarczonych lub udostępnionych przez nas publicznie, oraz (ii) nie będziesz korzystać z tego prawa więcej niż raz w roku, chyba że wystąpi Naruszenie Danych Osobowych lub znacząca zmiana w naszych działaniach przetwarzania w związku z Usługami wymaga, aby dodatkowy kwestionariusz został zrealizowany. Wszystkie udzielone odpowiedzi są naszą Informacją Poufną.
10.3 Audyt Klienta
Jeśli Raport z audytu dostarczony przez nas do Ciebie daje Ci uzasadnione powody, aby wierzyć, że naruszamy nasze zobowiązania na mocy tej DPA, związane z Danymi Osobowymi Klienta dostarczonymi przez Ciebie, pozwolimy niezależnemu i wykwalifikowanemu audytorowi strony trzeciej mianowanemu przez Ciebie i zatwierdzonemu przez nas, na audyt odpowiednich działalności przetwarzania Danych Osobowych, pod warunkiem, że w maksymalnym zakresie dozwolonym przez odpowiednie prawo, spełnione są następujące wymagania:
a) Musisz dać nam przynajmniej sześćdziesiąt (60) dni rozsądnego powiadomienia przed skorzystaniem z prawa do audytu;
b) Auditor zgadza się na standardowe obowiązki poufności w stosunku do nas;
c) Ty i audytor podejmujecie środki mające na celu zminimalizowanie zakłóceń w naszej działalności;
d) Audyt będzie przeprowadzany w regularnych godzinach pracy;
e) Nie będziemy zobowiązani do udostępnienia dostępu do danych klientów innych klientów lub systemów niezwiązanych z dostarczaniem Usług;
f) oraz Musisz pokryć wszystkie koszty audytu.
11. Usunięcie i zwrot danych osobowych klientów
Po wygaśnięciu umowy lub jej zakończeniu, usuniemy lub zwrócimy Ci wszystkie Dane Osobowe Klienta (w tym kopie), które posiadamy lub nad którymi mamy kontrolę, chyba że wymagania te nie będą miały zastosowania w zakresie, w jakim przepisy prawa wymagają od nas zachowania części lub wszystkich Danych Osobowych Klienta. Jeśli polecisz nam usunąć Dane Osobowe Klienta, Dane Osobowe Klienta archiwizowane w naszych systemach kopii zapasowych będą chronione przed dalszym przetwarzaniem i usunięte, gdy upłynie wymagany okres przechowywania.
12. Komunikacja i prawa partnerów klientów
Wprowadzenie do tej DPA w imieniu i na rzecz Afiliacji Klienta, jak określono w Sekcji 1.2, stanowi oddzielną DPA między nami a tą Afiliacją Klienta, z zastrzeżeniem następujących warunków:
12.1. Komunikacja
Klient, który jest stroną umowy, pozostaje odpowiedzialny za koordynowanie wszystkich komunikatów z nami na podstawie tej DPA i ma prawo do wysyłania i odbierania wszelkiej komunikacji dotyczącej tej DPA w imieniu swoich Afiliacji Klienta.
12.2 Prawa Afiliacji Klienta
Gdy Afiliacja Klienta staje się stroną DPA z nami, ma prawo do zakresu wymaganego przez przepisy dotyczące ochrony danych do wykonywania praw i dochodzenia roszczeń na podstawie tej DPA, z zastrzeżeniem następującego: (i) O ile przepisy dotyczące ochrony danych nie wymagają, aby Afiliacja Klienta wykonywała prawo lub dochodziła roszczenia na podstawie tej DPA bezpośrednio przeciwko nam, strony zgadzają się, że
(i) tylko Klient, który jest stroną umowy, będzie wykonywał wszelkie takie prawa lub dochodził wszelkich takich roszczeń w imieniu Afiliacji Klienta oraz
(ii) Klient, który jest stroną umowy, będzie wykonywał wszelkie takie prawa na podstawie tej DPA nie oddzielnie dla każdej Afiliacji Klienta, ale w sposób zbiorowy dla siebie i wszystkich swoich Afiliacji Klienta razem. (ii) Strony zgadzają się, że Klient, który jest stroną umowy, podejmie wszelkie rozsądne kroki w celu ograniczenia jakiegokolwiek wpływu na nas, gdy przeprowadzany jest audyt na miejscu procedur związanych z ochroną Danych Osobowych Klienta na jego zlecenie, jak określono w Sekcji 10.3 tej DPA, łącząc, w miarę możliwości, kilka wniosków o audyt składanych w imieniu jego samego i wszystkich jego Afiliacji Klienta w jeden pojedynczy audyt.
Dla jasności, Afiliacja Klienta nie staje się stroną umowy.
13. Ustawa o ochronie prywatności konsumentów w Kalifornii
W zakresie, w jakim dotyczy to Ciebie, składamy następujące dodatkowe zobowiązania wobec Ciebie w odniesieniu do przetwarzania Danych Osobowych Klienta w zakresie CCPA.
13.1 Nasze Obowiązki na Mocy Amerykańskich Przepisów o Ochronie Danych
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” i „dzielenie się”, jak użyto w tej Sekcji 13.1, mają znaczenia przypisane im w CCPA. W stosownych przypadkach będziemy przestrzegać CCPA i traktować wszystkie Dane Osobowe Klienta podlegające CCPA oraz inne odpowiednie Amerykańskie Przepisy o Ochronie Danych („Amerykańskie Dane Osobowe”) zgodnie z postanowieniami CCPA i innymi Amerykańskimi Przepisami o Ochronie Danych. W odniesieniu do Amerykańskich Danych Osobowych, jesteśmy dostawcą usług na mocy CCPA i przetwarzającym dane na podstawie innych Amerykańskich Przepisów o Ochronie Danych. Nie będziemy sprzedawać Amerykańskich Danych Osobowych. Nie będziemy zachowywać, używać ani ujawniać żadnych Amerykańskich Danych Osobowych (i) w żadnym innym celu niż cele biznesowe określone w Umowie (w tym zachowywanie, używanie lub ujawnianie Amerykańskich Danych Osobowych w celu komercyjnego innym niż cel biznesowy określony w Umowie lub zgodnie z innymi pozwoleniami przewidzianymi przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
13.2 Obowiązki Klienta
Oświadczasz i gwarantujesz, że poinformowałeś Użytkownika Końcowego, że Dane Osobowe są używane lub udostępniane zgodnie z obowiązującymi przepisami o ochronie danych. Jesteś odpowiedzialny za przestrzeganie wymagań przepisów o ochronie danych w zakresie, w jakim mają one zastosowanie do Ciebie jako administratora danych.
14. Prawo właściwe i rozstrzyganie sporów
Wszelkie spory, roszczenia lub kontrowersje („Spory”) wynikające z lub związane z niniejszą DPA będą podlegać przepisom prawa Holandii i będą interpretowane zgodnie z nimi. Każda ze Stron zgadza się, że właściwe sądy w Amsterdamie będą miały wyłączną jurysdykcję do rozstrzygania wszelkich Sporów wynikających z lub związanych z niniejszą DPA.
13.1 Nasze obowiązki na mocy amerykańskich przepisów o ochronie danych
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” i „udzielanie” używane w tej sekcji 13.1 mają znaczenia określone w CCPA. O ile to możliwe, będziemy przestrzegać CCPA oraz traktować wszystkie dane osobowe Klienta podlegające CCPA i innym obowiązującym amerykańskim przepisom o ochronie danych („Dane osobowe z USA”) zgodnie z postanowieniami CCPA i innymi amerykańskimi przepisami o ochronie danych. W odniesieniu do danych osobowych z USA, jesteśmy dostawcą usług na mocy CCPA i procesorem danych na mocy innych amerykańskich przepisów o ochronie danych. Nie sprzedamy danych osobowych z USA. Nie będziemy przechowywać, używać ani ujawniać żadnych danych osobowych z USA (i) w celach innych niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie danych osobowych z USA w celu komercyjnym innym niż cel biznesowy określony w Umowie lub w sposób dozwolony przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednią relacją biznesową między Tobą a nami.
ZAŁĄCZNIK I - SZCZEGÓŁY PRZETWARZANIA
W miarę możliwości, ta Załącznik I będzie służył jako Załącznik I do EEA Standard Contractual Clauses.
Załącznik I, Część A. Lista Stron
Terminy „cel biznesowy”, „cel komercyjny”, „konsument”, „sprzedaż” i „udział” używane w tym Rozdziale 13.1 mają znaczenia nadane im w CCPA. W miarę możliwości będziemy przestrzegać CCPA i traktować wszystkie dane osobowe klientów objęte CCPA oraz innymi obowiązującymi przepisami o ochronie danych w USA („Dane osobowe w USA”) zgodnie z postanowieniami CCPA oraz innymi przepisami o ochronie danych w USA. W odniesieniu do Danych osobowych w USA, jesteśmy dostawcą usług zgodnie z CCPA i przetwarzającym dane zgodnie z innymi przepisami o ochronie danych w USA. Nie będziemy sprzedawać Danych osobowych w USA. Nie będziemy przechowywać, używać ani ujawniać żadnych Danych osobowych w USA (i) w żadnym celu innym niż cele biznesowe określone w Umowie (w tym przechowywanie, używanie lub ujawnianie Danych osobowych w USA w celach komercyjnych innych niż cel biznesowy określony w Umowie lub jakiekolwiek inne dozwolone przez CCPA lub obowiązujące przepisy); ani (ii) poza bezpośrednim związkiem biznesowym między Tobą a nami.
Eksporter danych
Klient
Szczegóły kontaktowe eksportera danych
Adres wymieniony w koncie Klienta, lub adres e-mail właściciela konta Klienta, lub do adresu e-mail, na który Klient wybiera otrzymywanie powiadomień na podstawie Umowy.
Rola eksportera danych
Rola eksportera danych jest określona w Rozdziale 4 DPA.
Podpis i data
Jeśli i gdy jest to odpowiednie, uznaje się, że eksporter danych podpisał Standardowe Klauzule Umowne włączone niniejszym na dzień wejścia w życie DPA.
Importer danych
Dostawca
Szczegóły kontaktowe importera danych
Inspektor Ochrony Danych - privacy@bird.com
Rola importera danych
Importer danych działa jako przetwarzający dane.
Podpis i data
Jeśli i gdy jest to odpowiednie, uznaje się, że importer danych podpisał Standardowe Klauzule Umowne włączone niniejszym na dzień wejścia w życie DPA.
Załącznik I, Część B. Opis Transferu
1. Kategorie podmiotów, których Dane osobowe są transferowane.
Użytkownicy. Osoby kontaktowe (osoby fizyczne) lub pracownicy, wykonawcy lub pracownicy tymczasowi (aktualni, potencjalni, byli) Klienta korzystającego z Usług („Użytkownicy”);
Użytkownicy końcowi. Każda osoba (i) której dane kontaktowe zostały uwzględnione w listach kontaktowych Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usług, lub (iii) do której Klient wysyła komunikaty lub w inny sposób angażuje się lub komunikuje za pomocą Usług (łącznie „Użytkownicy końcowi”). To Ty jako Klient jednoznacznie określasz kategorie podmiotów, które są objęte komunikacją wysyłaną przez naszą platformę komunikacyjną.
2. Kategorie Danych osobowych transferowanych
Dane osobowe Klienta zawarte w treści komunikacji, danych ruchu, danych Użytkowników końcowych i danych użytkowania klientów.
Treść komunikacji, która może zawierać Dane osobowe lub inne zindywidualizowane cechy, w zależności od treści komunikacji określonej przez Ciebie jako Klienta.
Dane ruchu, które mogą zawierać Dane osobowe Klienta na temat trasowania, czasu trwania lub timing komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczy to osoby fizycznej, czy firmy.
Dane Użytkownika końcowego, takie jak numer telefonu, adres e-mail, imię, nazwisko, nazwa profilu, kraj, identyfikator kanału.
Dane dotyczące użytkowania Klienta, które mogą zawierać dane, które można powiązać z Tobą jako jednostką zawartą w danych statystycznych i informacjach związanych z Twoim kontem oraz działalnością usługową, związane z usługą spostrzeżenia i analizy raporty dotyczące komunikacji wysyłanej i wsparcia dla klientów.
3. Przenoszone dane wrażliwe
Transferowane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych oraz związane z tym ryzyka, takie jak na przykład surowe ograniczenia celów, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie ewidencji dostępu do danych, ograniczenia dotyczące dalszych transferów lub dodatkowe środki bezpieczeństwa.
a) Treść komunikacji. Dane wrażliwe mogą czasem być przetwarzane za pośrednictwem Usług, gdy Ty lub Twoi Użytkownicy końcowi zdecydujecie się uwzględnić dane wrażliwe w komunikatach przekazywanych za pomocą Usług. Jesteś odpowiedzialny za zapewnienie, aby odpowiednie zabezpieczenia były wdrożone przed przekazaniem lub przetwarzaniem, lub przed zezwoleniem Twoim Użytkownikom końcowym na przekazywanie lub przetwarzanie jakichkolwiek danych wrażliwych za pomocą Usług, zgodnie z Rozdziałem 3.2 Umowy.
b) Dane ruchu, dane Użytkowników końcowych i dane dotyczące użytkowania klientów. Żadne dane wrażliwe nie są zawarte w danych ruchu, danych Użytkowników końcowych ani danych dotyczących użytkowania klientów.
4. Częstotliwość transferu
Częstotliwość transferu (np. czy dane są transferowane jednorazowo lub w sposób ciągły): Dane osobowe Klienta są transferowane w sposób ciągły przez czas trwania Umowy.
5. Charakter przetwarzania
Będziemy przetwarzać Dane osobowe Klienta w zakresie niezbędnym do świadczenia Usług zgodnie z Umową. Nie sprzedajemy żadnych Danych osobowych, w tym Danych osobowych Klienta, ani nie dzielimy się Danymi osobowymi z osobami trzecimi za wynagrodzenie lub dla własnych interesów biznesowych tych osób trzecich.
6. Cel(e) transferu danych i dalszego przetwarzania
Będziemy przetwarzać Dane osobowe Klienta jako przetwarzający dane zgodnie z instrukcjami Klienta, jak określono w tym DPA, chyba że przetwarzanie jest niezbędne dla zapewnienia zgodności z prawnym obowiązkiem, któremu podlegamy, w takim przypadku zaklasyfikujemy się jako administrator danych.
Treść komunikacji, dane ruchu, dane Użytkowników końcowych i dane dotyczące użytkowania klientów. Dane osobowe zawarte w treści komunikacji, danych ruchu, danych Użytkowników końcowych i danych dotyczących użytkowania klientów będą podlegać następującym podstawowym czynnościom przetwarzania:
a) Treść komunikacji. Zapewnienie programowalnych produktów i usług komunikacyjnych, oferowanych w formie interfejsów programowania aplikacji (API) lub za pośrednictwem Panelu, Klientowi, w tym przesyłanie do lub z oprogramowania Klienta do lub z naszej platformy komunikacyjnej oraz innych sieci komunikacyjnych.
b) Dane ruchu. Dane ruchu są przetwarzane w celu przesyłania komunikacji w sieci elektronicznych lub do celów rozliczenia związanym z tą komunikacją. Może to obejmować Dane osobowe Klienta dotyczące trasowania, długości lub czasu trwania komunikacji, takiej jak połączenie głosowe, SMS lub e-mail, niezależnie od tego, czy dotyczy osoby fizycznej, czy firmy.
c) Dane Użytkowników końcowych. Dane osobowe Użytkowników końcowych są wymagane w celu świadczenia Usług i będą przetwarzane jedynie w celach przesyłania komunikacji, wsparcia dla klientów oraz zapewnienia zgodności z naszymi obowiązkami prawnymi.
d) Dane dotyczące użytkowania Klienta. Dane osobowe zawarte w danych dotyczących użytkowania klientów będą podlegały czynnościom przetwarzania związanym z zapewnieniem Usług zgodnie z Umową, mając na celu dostarczenie Klientowi spostrzeżeń dotyczących Usług i analitycznych raportów dotyczących wysyłanej komunikacji, wsparcia dla klientów oraz ciągłego doskonalenia Usług.
7. Okres przechowywania Danych osobowych
Okres, przez który Dane osobowe będą przechowywane, lub, jeśli to niemożliwe, kryteria używane do określenia tego okresu: Treść komunikacji i dane ruchu. Dla treści komunikacji i danych ruchu zawartych w Usługach SMS i Voice obowiązuje okres przechowywania sześciu miesięcy; Dla Usług wideo treść komunikacji oraz dane ruchu są przechowywane przez minimum 30 dni do okresu uzgodnionego z Tobą; Dla usług e-mail komunikacja oraz dane ruchu są przechowywane przez 72 godziny; Dla wszystkich innych usług treść komunikacji i dane ruchu są przechowywane przez czas trwania Usług, chyba że usuniesz treść komunikacji lub dane ruchu za pomocą technicznych i organizacyjnych środków udostępnionych Tobie za pomocą Usług. Dane Użytkowników końcowych. Dane Użytkowników końcowych będą przetwarzane przez czas określony przez Klienta, gdy dane Użytkownika końcowego są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania wynosi czas trwania Usług, z zastrzeżeniem Rozdziału 6(c) tego Załącznika I, Część B. Dane dotyczące użytkowania Klienta. Po zakończeniu Umowy możemy przechowywać, używać i ujawniać Dane dotyczące użytkowania Klienta w celach określonych w Rozdziale 6(d) tego Załącznika I, Część B, z zastrzeżeniem obowiązków wynikających z tajemnicy określonych w Umowie. Zanonimizujemy lub usuniemy dane dotyczące użytkowania klientów, gdy już ich nie potrzebujemy do celów określonych w Rozdziale 6(d) tego Załącznika I, Część B.
7. Przechowywanie Danych osobowych
Okres, przez który Dane osobowe będą przechowywane, lub, jeśli to niemożliwe, kryteria używane do określenia tego okresu:
Treść komunikacji i dane ruchu;
Dla treści komunikacji i danych ruchu zawartych w Usługach SMS i Voice obowiązuje okres przechowywania sześciu miesięcy;
Dla Usług wideo treść komunikacji i dane ruchu są przechowywane przez minimum 30 dni do okresu uzgodnionego z Tobą;
Dla usług e-mail komunikacja oraz dane ruchu są przechowywane przez 72 godziny;
Dla wszystkich innych usług treść komunikacji i dane ruchu są przechowywane przez czas trwania Usług, chyba że usuniesz treść komunikacji lub dane ruchu za pomocą technicznych i organizacyjnych środków udostępnionych Tobie za pomocą Usług.
Dane Użytkowników końcowych będą przetwarzane przez czas określony przez Klienta, gdy dane Użytkownika końcowego są zawarte w Twoich profilach kontaktowych, domyślny okres przechowywania wynosi czas trwania Usług, z zastrzeżeniem Rozdziału 6(c) tego Załącznika I, Część B.
Dane dotyczące użytkowania Klienta: Po zakończeniu Umowy możemy przechowywać, używać i ujawniać Dane dotyczące użytkowania Klienta w celach określonych w Rozdziale 6(d) tego Załącznika I, Część B, z zastrzeżeniem obowiązków wynikających z tajemnicy określonych w Umowie. Zanonimizujemy lub usuniemy dane dotyczące użytkowania klientów, gdy już ich nie potrzebujemy do celów określonych w Rozdziale 6(d) tego Załącznika I, Część B.
8. W przypadku transferów do (pod-)przetwarzających
W przypadku transferów do (pod-)przetwarzających określ również przedmiot, charakter i czas trwania przetwarzania: W przypadku transferów do pod-przetwarzających, przedmiot i charakter przetwarzania określono w naszym przeglądzie pod-przetwarzających a czas trwania jest na czas trwania Umowy.
Załącznik I, Część C. Kompetentny organ nadzorczy
Holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens) będzie kompetentnym organem nadzorczym.
ZAŁĄCZNIK II - Techniczne i organizacyjne środki bezpieczeństwa
W odpowiednich przypadkach, ten Załącznik II będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej znajdują się dodatkowe informacje dotyczące naszych technicznych i organizacyjnych środków bezpieczeństwa.
Techniczne i organizacyjne środki bezpieczeństwa
Środki pseudonimizacji i ochrony danych osobowych w przechowywaniu i transporcie:
Wszystkie dane osobowe są szyfrowane w tranzycie i w spoczynku, oraz, w zakresie istotnym z punktu widzenia bezpieczeństwa, traktowane są tak, jakby były klasyfikowane jako dane wrażliwe. Informacje są zawsze przesyłane za pomocą TLS z aktualnymi metodami szyfrowania domyślnie.
Środki zapewniające ciągłość poufności, integralności, dostępności i odporności systemów przetwarzania i usług:
Zawieramy umowy, które zawierają postanowienia dotyczące poufności z naszymi pracownikami, wykonawcami, dostawcami i podprzetwórcami. Nasza polityka ciągłości biznesowej ma na celu przygotowanie naszej firmy i usług na wypadek długoterminowych przerw spowodowanych czynnikami poza naszą kontrolą, a także przywrócenie usług w jak najszerszym zakresie w minimalnym czasie. Rozumiemy, że usługi, które świadczymy, są krytyczne dla naszych klientów, dlatego posiadamy bardzo małą tolerancję na zakłócenia w świadczeniu usług. Nasze ramy czasowe dla odzyskiwania są zaprojektowane, aby zapewnić, że możemy spełnić nasze zobowiązania wobec wszystkich naszych klientów.
Procesy regularnego testowania, oceny i ewaluacji skuteczności technicznych i organizacyjnych środków w celu zapewnienia bezpieczeństwa przetwarzania:
Celem bezpieczeństwa informacji i naszego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) jest ochrona poufności, integralności i dostępności informacji w organizacji, pracownikach, partnerach, klientach oraz systemach informacyjnych (autoryzowanych), a także minimalizowanie ryzyka szkód poprzez zapobieganie incydentom bezpieczeństwa oraz zarządzanie zagrożeniami i lukami bezpieczeństwa. Nasz zespół prawny, Inspektor Ochrony Danych oraz Zespół Bezpieczeństwa dbają o to, aby obowiązujące regulacje i standardy były uwzględnione w naszych ramach bezpieczeństwa.
Środki identyfikacji użytkowników i autoryzacji:
Stosujemy zasady „potrzeba wiedzy” i „najmniejszego przywileju”. Promujemy użycie kontroli dostępu opartej na rolach. Przydzielanie i odejmowanie uprawnień jest nadzorowane przez zespół bezpieczeństwa, z domyślnym użyciem jednolitych zasad logowania i 2FA. Określono właścicieli dla każdego zasobu informacyjnego, którzy są odpowiedzialni za zapewnienie, że dostęp do ich systemów jest odpowiedni i regularnie weryfikowany. Zawsze, gdy mamy do czynienia z wrażliwymi informacjami lub podejmujemy kluczowe działania, stosujemy zasadę „czterech oczu”.
Środki zapewniające rejestrowanie zdarzeń:
Dzienniki audytowe są centralnie przechowywane i regularnie monitorowane pod kątem zdarzeń bezpieczeństwa i są zabezpieczone, aby uniknąć ryzyka manipulacji. Polityka zarządzania incydentami egzekwuje plan reakcji na incydenty i jego procedury. Te wytyczne są przestrzegane w przypadku wystąpienia jakiegokolwiek rodzaju incydentu bezpieczeństwa lub technicznego.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną:
Stosujemy spójną procedurę zarządzania zmianami dla wszystkich zmian w produkcyjnym środowisku Platformy Komunikacyjnej jako Usługi. Aby to wyjaśnić, wszystkie wnioski o zmiany (RFC) muszą być zatwierdzone przez wyznaczoną stronę i realizowane zgodnie z formalnym procesem kontroli zmian. Proces kontroli zapewnia, że proponowane zmiany są przeglądane, autoryzowane, testowane, wdrażane i wydawane w kontrolowany sposób; a status każdej proponowanej zmiany jest monitorowany. Standardy konfiguracyjne są przestrzegane, aby bezpiecznie skonfigurować systemy stosując najlepsze praktyki. Ponadto, w dziale inżynieryjnym, używany jest radar technologiczny do definiowania, które technologie (języki, narzędzia platformy, bazy danych i narzędzia zarządzania danymi) można przyjąć lub powinny być unikać podczas rozwoju.
Środki bezpieczeństwa fizycznego
Aktywnie promujemy politykę „Pracuj z dowolnego miejsca”, aby nasi pracownicy mogli pracować z dowolnego miejsca, które chcą. Niemniej jednak, nadal posiadamy nasze biura. Nie mamy bezpiecznych obszarów/centrum danych w naszych pomieszczeniach, ponieważ jesteśmy całkowicie firmą opartą na chmurze. Nasze piętra biurowe są chronione poprzez kontrolę dostępu fizycznego, CCTV i ochronę osobową.
Środki wewnętrznej IT oraz zarządzania i zarządzania bezpieczeństwem IT:
Utrzymujemy program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne zabezpieczenia mające na celu ochronę Usług oraz poufność, integralność i dostępność Danych Klienta. Nasz program bezpieczeństwa informacji jest zaprojektowany w systematyczny i dobrze zorganizowany sposób. Dodatkowo, stosuje się wymagania prawne i regulacyjne w celu zapewnienia poufności, integralności i dostępności informacji w organizacji, pracownikach, partnerach i klientach. Wszystko to jest tłumaczone na nasze polityki, procedury i wytyczne dotyczące bezpieczeństwa informacji. Mamy Komitet Sterujący ds. Bezpieczeństwa, który jest odpowiedzialny za taktyczny poziom bezpieczeństwa informacji. Obejmuje to koordynację działań związanych z bezpieczeństwem informacji oraz tłumaczenie aktywności strategicznych na operacyjne działania naszej ochrony oraz naszej ciągłej utrzymania zgodności z regulacjami. Wszyscy pracownicy są odpowiedzialni za ochronę aktywów firmy. Wszyscy nasi pracownicy są oceniani pod kątem wiedzy, doświadczenia i uczciwości. Pracownicy są informowani o bezpieczeństwie i ochronie danych na etapie onboardingu, a także poprzez regularne szkolenia specyficzne dla zespołu oraz inne prezentacje na poziomie całej firmy dotyczące znaczenia ochrony danych i zgodności z bezpieczeństwem. Jesteśmy certyfikowani zgodnie z normą ISO 27001, globalnie uznawanymi standardami bezpieczeństwa informacji dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS).
Wszyscy nasi dostawcy hostingu są certyfikowani zgodnie z normą ISO 27001.
Jesteśmy również zarejestrowani w Holenderskiej Władzy ds. Konsumentów i Rynków. Oznacza to, że jesteśmy zawsze odpowiedzialni i całkowicie przejrzysty wobec naszych klientów.
Jesteśmy członkiem stowarzyszonym Grupy Specjalnej Mobilnej (GSMA). GSMA reprezentuje interesy operatorów telefonii komórkowej na całym świecie.
Jesteśmy zawsze na bieżąco z wszystkimi obowiązującymi ustawami i regulacjami, w tym z Ogólnym Rozporządzeniem o Ochronie Danych oraz Ramami Ochrony Danych EU-US.
Środki dotyczące certyfikacji/upewnienia procesów i produktów:
Przechodzimy rygorystyczne audyty oraz audyty certyfikacyjne jako część naszej zgodności z ISO/IEC 27001, a także regularnie przeprowadzamy testy podatności aplikacji i testy penetracyjne.
Środki zapewniające odpowiedzialność:
wprowadzamy polityki bezpieczeństwa informacji i ochrony danych zgodnie z obowiązującymi przepisami prawnymi i publikujemy przegląd naszej ISMS istotnych informacji (link). Powołaliśmy dedykowanego Dyrektora ds. Bezpieczeństwa, Inspektora Bezpieczeństwa Informacji, Inspektora Zgodności oraz Inspektora Ochrony Danych i utrzymujemy dokumentację naszej działalności przetwarzania, w tym rejestrowanie i zgłaszanie incydentów bezpieczeństwa dotyczących Danych Osobowych, tam gdzie to ma zastosowanie.
Środki zapewniające usuwanie danych:
Zapewniamy usuwanie danych poprzez zautomatyzowany proces usuwania w naszym środowisku komunikacyjnym i infrastrukturalnym. Proces usuwania danych zapewnia, że wszystkie dane, które nie są już potrzebne do realizacji określonego celu, są usuwane z naszych systemów po przetworzeniu.
