Dodatek o ochronie danych SparkPost
W trakcie świadczenia usługi SparkPost naszym klientom, SparkPost może przetwarzać dane osobowe na zlecenie naszych klientów, gdy takie dane osobowe podlegają przepisom o ochronie danych osobowych UE, takim jak RODO. W tym celu oferujemy aneks do umowy o ochronie danych (DPA) jak podano poniżej. DPA będzie prawnie wiążące i skuteczne tylko wtedy, gdy: (1) zostanie podpisane tutaj; oraz (2) jesteś klientem SparkPost w dniu, w którym zostanie w pełni podpisane. Zauważ, że ponieważ mamy tak wielu klientów, nie możemy zmienić DPA dla żadnego konkretnego klienta. Jednakże, jeśli masz jakiekolwiek pytania dotyczące DPA, prosimy o kontakt pod adresem privacy@sparkpost.com.
Definicje
„Podmiot powiązany” oznacza dowolną jednostkę, która bezpośrednio lub pośrednio kontroluje podmiot, jest przez niego kontrolowana lub podlega wspólnej kontroli z podmiotem głównym. „Kontrola” na potrzeby tej definicji oznacza bezpośrednie lub pośrednie posiadanie lub kontrolę nad więcej niż 50% głosów podmiotu głównego.
„Umowa” oznacza Warunki korzystania z usługi oraz powiązane Zamówienie, które łącznie regulują świadczenie i korzystanie z Usługi.
„CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku i wszelkie przepisy wykonawcze wydane na jej podstawie, każdorazowo zmieniane.
„Standardowe Klauzule Umowne dla Administratora/Procesora” oznaczają moduły „Administrator do Procesora” (Moduł 2) standardowych klauzul umownych dla przekazywania danych osobowych do krajów trzecich zgodnie z RODO i Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r.
„Ustawy o Ochronie Danych” oznaczają wszystkie ustawy i przepisy jakiejkolwiek jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub Przetwarzania Danych Osobowych na mocy Umowy, w tym, w razie potrzeby, RODO, CCPA i wszystkie inne ustawy i przepisy dotyczące prywatności, marketingu bezpośredniego lub ochrony danych. „Administrator Danych” oznacza podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby Przetwarzania Danych Osobowych.
„Procesor Danych” oznacza podmiot, który Przetwarza Dane Osobowe w imieniu Administratora Danych. „Podmiot Danych” oznacza osobę fizyczną, której Dane Osobowe dotyczą.
„Żądanie Podmiotu Danych” oznacza żądanie Podmiotu Danych dotyczące realizacji praw tej osoby na mocy Ustaw o Ochronie Danych w odniesieniu do Danych Osobowych tej osoby, w tym, bez ograniczeń, prawa dostępu, poprawy, zmiany, transferu, uzyskania kopii, sprzeciwu wobec przetwarzania, zablokowania, usunięcia lub wycofania zgody na sprzedaż takich Danych Osobowych. „EOG” oznacza Europejski Obszar Gospodarczy i Szwajcarię.
„RODO” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnym przepływie takich danych (Ogólne Rozporządzenie o Ochronie Danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o Ochronie Danych 2018.
„Dane Osobowe” oznaczają any information that identifies, relates to, describes, or is reasonably capable of being associated with an identified or identifiable natural person or household.
„Przetwarzanie” oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych, niezależnie od tego, czy są wykonywane za pomocą zautomatyzowanych środków, takie jak zbieranie, rejestrowanie, organizacja, strukturyzacja, przechowywanie, adaptacja lub zmiana, pobieranie, konsultacja, wykorzystanie, ujawnienie poprzez przekazywanie, rozpowszechnianie lub w inny sposób udostępnianie, porządkowanie, ograniczenie, usuwanie lub niszczenie.
„Standardowe Klauzule Umowne Procesora/Podprocesora” oznaczają moduły „Procesor do Procesora” (Moduł 3) standardowych klauzul umownych dla przekazywania danych osobowych do krajów trzecich zgodnie z RODO i Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r.
„Regulator” oznacza europejski organ ochrony danych lub inny organ regulacyjny, rządowy lub nadzorczy mający uprawnienia nad całością lub jakąkolwiek częścią (a) świadczenia lub odbioru Usługi; (b) Przetwarzania Danych Osobowych w związku z Usługą; lub (c) działalności lub personelu SparkPost odnoszącej się do Usługi.
„Incydent Bezpieczeństwa” oznacza jakiekolwiek przypadkowe, nieautoryzowane lub bezprawne zniszczenie, utratę, zmianę, ujawnienie, dostęp do lub szyfrowanie Danych Osobowych.
„Usługa” oznacza dowolny produkt lub usługę dostarczaną przez SparkPost Klientowi na mocy Umowy.
„Standardowe Klauzule Umowne EOG” oznaczają albo (i) Standardowe Klauzule Umowne dla Administratora/Procesora; albo (ii) Standardowe Klauzule Umowne dla Procesora/Podprocesora, zarówno indywidualnie, jak i zbiorowo, stosownie do przypadku.
„Podprocesor” oznacza podmiot, który Przetwarza Dane Osobowe w imieniu podmiotu działającego jako Procesor lub Podprocesor.
„Standardowe Klauzule Umowne dla UK” oznaczają standardowe klauzule umowne dla przekazywania danych osobowych do procesorów ustanowionych w krajach trzecich w formie określonej w Decyzji Komisji Europejskiej 2010/87/UE, które mogą być zmienione, modyfikowane lub zastąpione przez Komisję Europejską.
Relacja z umową
Strony zgadzają się, że ten DPA zastąpi wszelkie istniejące aneksy dotyczące ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
Ten DPA ma zastosowanie, gdy i tylko w zakresie, w jakim SparkPost Przetwarza Dane Osobowe, które podlegają Prawu Ochrony Danych w trakcie świadczenia Usługi zgodnie z Umową.
Oprócz zmian wprowadzonych przez ten DPA, Umowa pozostaje niezmieniona i w pełni obowiązująca. W przypadku jakiegokolwiek konfliktu między warunkami tego DPA a warunkami Umowy, ten DPA będzie miał pierwszeństwo w zakresie tego konfliktu. W sytuacjach, gdy SparkPost polega na EEA Standardowych Klauzulach Umownych lub UK Standardowych Klauzulach Umownych (łącznie, „Standardowe Klauzule Umowne”), jeśli mają zastosowanie, do przenoszenia Danych Osobowych, obowiązujące Standardowe Klauzule Umowne będą miały pierwszeństwo w przypadku konfliktu z tym DPA.
Wszelkie roszczenia wynikające z tego DPA lub w związku z nim będą podlegały warunkom i zasadom, w tym, ale nie wyłącznie, wyłączeniom i ograniczeniom określonym w Umowie. Strony zgadzają się, że żadne ograniczenia odpowiedzialności określone w Umowie nie będą miały zastosowania do odpowiedzialności którejkolwiek ze stron wobec Podmiotów Danych na mocy przepisów o beneficjentach zewnętrznych Standardowych Klauzul Umownych w zakresie, w jakim ograniczenie takiej odpowiedzialności jest zabronione przez Prawo Ochrony Danych.
Ten DPA będzie regulowany i interpretowany zgodnie z przepisami prawa i postanowieniami jurysdykcyjnymi w Umowie, chyba że przepisy Prawa Ochrony Danych wymagają inaczej. Ten DPA pozostanie w mocy tak długo, jak SparkPost Przetwarza Dane Osobowe, niezależnie od wygaszenia lub rozwiązania Umowy. ROLE I ZAKRES PRZETWARZANIA.
Rola Stron.
Strony potwierdzają i zgadzają się, że, pomiędzy SparkPost a Klientem: W odniesieniu do Danych Osobowych jakiejkolwiek osoby uzyskującej dostęp do Usługi i/lub używającej jej przez Konto Klienta („Użytkownicy”), Klient jest Administratorem, a SparkPost jest Procesorem Danych Osobowych Użytkowników; a w odniesieniu do Danych Osobowych jakiejkolwiek osoby: (i) której adres e-mail jest zawarty na liście odbiorców Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usługi; lub (ii) do której Użytkownicy wysyłają e-maile lub w inny sposób nawiązują kontakt lub komunikują się za pośrednictwem Usługi (łącznie, „Odbiorcy”), Klient jest Procesorem, a SparkPost jest Subprocesorem Danych Osobowych Odbiorców.
Przetwarzanie Danych Osobowych przez Klienta.
Klient zgadza się, że będzie przestrzegać swoich zobowiązań wynikających z obowiązujących Praw Ochrony Danych w odniesieniu do swojego Przetwarzania Danych Osobowych w związku z Usługą i w odniesieniu do jakichkolwiek udokumentowanych instrukcji Przetwarzania, które wydaje SparkPost.
Przetwarzanie Danych Osobowych przez SparkPost. Klient instruuje SparkPost do Przetwarzania Danych Osobowych zgodnie z Umową (w tym, dla uniknięcia wątpliwości, do wykonywania innych obowiązków i egzekwowania swoich praw wynikających z Umowy) i do przestrzegania innych uzasadnionych instrukcji Klienta (np. za pośrednictwem e-mail), gdzie takie instrukcje są zgodne z Umową. SparkPost zobowiązuje się: (i) Przetwarzać Dane Osobowe wyłącznie na rzecz Klienta i zgodnie z udokumentowanymi, zgodnymi z prawem instrukcjami Klienta oraz traktować Dane Osobowe jako informacje poufne podlegające klauzulom poufności zawartym w Umowie; (ii) niezwłocznie powiadomić Klienta na piśmie, jeśli w uzasadnionej opinii SparkPost uważa, że jakakolwiek instrukcja wydana przez Klienta narusza Prawo Ochrony Danych; (iii) wykonywać Usługę i Przetwarzać Dane Osobowe zgodnie z Prawem Ochrony Danych i Umową; (iv) niezwłocznie powiadomić Klienta o jakimkolwiek nieprzestrzeganiu tego DPA. Strony zgadzają się, że ten DPA i Umowa określają całkowite i ostateczne instrukcje Klienta dla SparkPost w odniesieniu do przetwarzania Danych Osobowych, a przetwarzanie poza zakresem tych instrukcji (jeśli występuje) będzie wymagać wcześniejszej pisemnej zgody między Klientem a SparkPost.
Szczegóły Przetwarzania Danych.
Przedmiot: Przedmiotem przetwarzania danych na mocy tego DPA są Dane Osobowe. Czas trwania: Pomiędzy SparkPost a Klientem, czas trwania przetwarzania danych na mocy tego DPA trwa do zakończenia Umowy zgodnie z jej postanowieniami.
Cel: Celem przetwarzania danych na mocy tego DPA jest świadczenie Usługi dla Klienta i wykonywanie przez SparkPost zgodnie z Umową (w tym ten DPA) lub zgodnie z innymi uzgodnieniami między stronami.
Charakter przetwarzania: SparkPost zapewnia usługę dostarczania e-mail, analizy i inteligencji oraz inne związane z nią usługi, jak opisano w Umowie. Kategorie podmiotów danych: Użytkownicy i Odbiorcy.
Typy Danych Osobowych:
Klient i Użytkownicy: dane identyfikacyjne i kontaktowe (imię, adres, tytuł, dane kontaktowe, nazwa użytkownika); informacje finansowe (szczegóły konta, informacje o płatności); szczegóły dotyczące zatrudnienia (pracodawca, stanowisko, lokalizacja geograficzna, obszar odpowiedzialności);
Odbiorcy: dane identyfikacyjne i kontaktowe (imię, adres e-mail i inne dane demograficzne oraz segmentacyjne dostarczone przez Klienta); informacje IT (adresy IP, dane z używania, dane cookies, dane z nawigacji online, dane lokalizacyjne, dane przeglądarki).
California Consumer Privacy Act.
SparkPost będzie przestrzegać CCPA i traktować wszystkie Dane Osobowe podlegające CCPA („Dane Osobowe CCPA”) zgodnie z przepisami CCPA. W odniesieniu do Danych Osobowych CCPA, SparkPost jest dostawcą usług zgodnie z CCPA. SparkPost nie będzie (a) sprzedawać Danych Osobowych CCPA; (b) zachowywać, używać ani ujawniać jakichkolwiek Danych Osobowych CCPA w innym celu niż ten, dla którego określono Usługi, w tym zachowywać, używać ani ujawniać Danych Osobowych CCPA w celach komercyjnych innych niż świadczenie Usług; ani (c) zachowywać, używać ani ujawniać Danych Osobowych CCPA poza bezpośrednią relacją biznesową między SparkPost a Klientem. Strony potwierdzają i zgadzają się, że Przetwarzanie Danych Osobowych CCPA, autoryzowane przez instrukcje Klienta opisane w Umowie i tym DPA, jest integralną częścią i zawarte w świadczeniu Usług przez SparkPost oraz bezpośredniej relacji biznesowej między stronami. Strony potwierdzają i zgadzają się, że dostęp SparkPost do Danych Klienta nie stanowi części świadczenia wymienianego przez strony w odniesieniu do Umowy. W zakresie, w jakim jakiekolwiek Dane Użytkowania są uznawane za Dane Osobowe CCPA, SparkPost jest przedsiębiorstwem w odniesieniu do takich danych i będzie Przetwarzał te dane zgodnie z swoją Polityką Prywatności, która jest dostępna pod https://www.sparkpost.com/policies/privacy/. Terminy „przedsiębiorstwo”, „cel komercyjny”, „dostawca usług” i „sprzedawać”, użyte w tej Sekcji, mają znaczenia nadane im w CCPA. SparkPost i Klient poświadczają, że rozumieją i będą przestrzegać obowiązków i ograniczeń określonych w tym DPA i Umowie, zgodnie z wymogami CCPA.
Prawnie Uzasadnione Interesy.
Klient potwierdza, że SparkPost będzie miał prawo używania i ujawniania danych związanych z działaniem, wsparciem i/lub korzystaniem z Usługi dla celów swojego uzasadnionego biznesu, takich jak rozliczenia, zarządzanie kontem, wsparcie techniczne i rozwój produktów. W zakresie, w jakim jakiekolwiek takie dane są uznawane za Dane Osobowe zgodnie z Prawem Ochrony Danych, SparkPost jest Administratorem Danych takich danych i będzie przetwarzał te dane zgodnie z Polityką Prywatności SparkPost oraz Prawem Ochrony Danych.
Technologie Śledzenia.
Klient potwierdza, że w związku z wykonaniem Usługi, SparkPost stosuje web beacons, piksel śledzenia i podobne technologie śledzenia („Technologie Śledzenia”). Klient będzie utrzymywać odpowiednie uzasadnione podstawy przetwarzania, zgodnie z wymaganiami Prawa Ochrony Danych, aby umożliwić SparkPost legalne wdrażanie Technologii Śledzenia oraz zbieranie danych z urządzeń Odbiorców zgodnie z opisaną w Polityce Prywatności SparkPost.
Podprzetwarzanie
Autoryzowani Podprocesorzy. Klient zgadza się, że SparkPost może angażować Podprocesorów do przetwarzania Danych Klienta w imieniu Klienta. Podprocesorzy zaangażowani przez SparkPost i autoryzowani przez Klienta na dzień wejścia w życie są wymienieni pod adresem: https://www.sparkpost.com/policies/subprocessors. Obowiązki Podprocesorów. SparkPost będzie: (i) zawierać pisemną umowę z Podprocesorem narzucającą warunki ochrony danych, które wymagają od Podprocesora ochrony Danych Klienta zgodnie z normami wymaganymi przez przepisy o ochronie danych; oraz (ii) pozostawać odpowiedzialnym za przestrzeganie zobowiązań wynikających z niniejszej DPA oraz za wszelkie działania lub zaniechania Podprocesora, które powodują naruszenie przez SparkPost jakichkolwiek zobowiązań wynikających z niniejszej DPA.
Powiadomienie. SparkPost będzie (i) dostarczać aktualną listę Podprocesorów, których mianował, na pisemne żądanie Klienta; oraz (ii) powiadamiać Klienta (dla którego wystarczy e-mail) o dodaniu Podprocesora co najmniej dziesięć (10) dni przed wprowadzeniem takich zmian.
Sprzeciw. Klient może zgłosić sprzeciw na piśmie wobec mianowania nowego Podprocesora przez SparkPost w ciągu pięciu (5) dni od takiego powiadomienia, pod warunkiem, że taki sprzeciw będzie oparty na uzasadnionych podstawach związanych z ochroną danych. W takim przypadku strony będą omawiać takie obawy w dobrej wierze w celu osiągnięcia rozwiązania. Jeśli rozwiązanie nie zostanie osiągnięte w rozsądnym czasie, Klient może wypowiedzieć odpowiednie Zamówienie(-a) tylko w odniesieniu do konkretnej Usługi, której SparkPost nie może dostarczyć bez użycia nowo sprzeciwionego Podprocesora, poprzez dostarczenie pisemnego powiadomienia do SparkPost.
Bezpieczeństwo
Polityka Bezpieczeństwa.
Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, jak również ryzyko różnej prawdopodobieństwa i powagi dla praw i wolności osób fizycznych, SparkPost wdroży i utrzyma odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Dane Osobowe przed Incydentami Bezpieczeństwa oraz zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Osobowych oraz systemów SparkPost używanych do Przetwarzania Danych Osobowych.
Aktualizacje Środków Bezpieczeństwa.
Klient jest odpowiedzialny za przegląd informacji udostępnianych przez SparkPost dotyczących bezpieczeństwa danych i dokonanie niezależnej oceny, czy takie informacje spełniają wymagania Klienta oraz prawne zobowiązania wynikające z Przepisów o Ochronie Danych. Klient przyjmuje do wiadomości, że Polityka Bezpieczeństwa podlega postępowi technicznemu i rozwojowi oraz że SparkPost może aktualizować lub modyfikować Politykę Bezpieczeństwa od czasu do czasu pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usługi zakupionej przez Klienta.
Obowiązki Klienta.
Niezależnie od powyższego, Klient zgadza się, że jest odpowiedzialny za zabezpieczenie swoich poświadczeń uwierzytelniających Konta w posiadaniu lub kontroli Klienta i ochronę bezpieczeństwa Danych Osobowych podczas przesyłu do i z Usługi w zakresie, w jakim takie Dane Osobowe znajdują się w posiadaniu lub kontroli Klienta.
Personel SparkPost.
SparkPost zapewni, że jego personel zajmujący się Przetwarzaniem Danych Osobowych jest poinformowany o poufnym charakterze Danych Osobowych, otrzymał odpowiednie szkolenie na temat swoich obowiązków i podpisał pisemne umowy o zachowaniu poufności w odniesieniu do Danych Osobowych, które obowiązują po zakończeniu zatrudnienia personelu.
Raporty z audytów i audyty
Raport z audytu.
SparkPost jest regularnie audytowany pod kątem kontroli SOC 2 Type II (lub równoważnych) przez niezależnych audytorów zewnętrznych. Na żądanie, SparkPost dostarczy Klientowi kopię streszczenia swoich raportów z audytu (“Raport z audytu”), aby Klient mógł zweryfikować zgodność SparkPost z standardami audytu, według których zostało to ocenione, oraz z niniejszym DPA. Takie Raporty z audytu, jak również wszelkie wnioski lub ustalenia w nich określone, stanowią Informacje Poufne SparkPost.
Audyt.
SparkPost udostępni Klientowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami Przetwarzających Dane określonymi w Artykule 28 RODO (“Wymagania Artykułu 28”). W tym celu, SparkPost dostarczy pisemne odpowiedzi na wszystkie uzasadnione wnioski o informacje złożone przez Klienta, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są niezbędne do potwierdzenia zgodności SparkPost z Wymaganiami Artykułu 28, pod warunkiem, że Klient nie będzie korzystał z tego prawa więcej niż raz w roku. Takie odpowiedzi stanowią Informacje Poufne SparkPost. Jeśli SparkPost nie będzie w stanie dostarczyć wszystkich informacji niezbędnych do wykazania zgodności z Wymaganiami Artykułu 28 poprzez pisemne odpowiedzi, wtedy SparkPost umożliwi i przyczyni się do audytów, w tym inspekcji, przeprowadzanych przez Klienta lub innego audytora reprezentującego Klienta. Wszystkie informacje uzyskane od SparkPost podczas takiego audytu lub inspekcji są Informacjami Poufnymi SparkPost.
Przelewy międzynarodowe
Lokalizacje przetwarzania.
SparkPost może przekazywać i przetwarzać Dane Klienta wszędzie tam, gdzie SparkPost, jego podmioty powiązane lub Podprzetwarzający prowadzą operacje przetwarzania danych. SparkPost zawsze zapewni odpowiedni poziom ochrony przetwarzanych Danych Klienta, zgodnie z wymaganiami przepisów o ochronie danych.
Standardowe klauzule umowne.
W zakresie, w jakim SparkPost przetwarza jakiekolwiek Dane Osobowe na mocy Umowy, która wymaga mechanizmu dalszego przekazywania do zgodnego z prawem przekazania Danych Osobowych z EOG lub Zjednoczonego Królestwa (zwane „UK”) do innego kraju lub terytorium, które nie zostały uznane przez Komisję Europejską (lub, w szczególności w odniesieniu do UK, jak może być określone przez właściwy organ regulacyjny UK) za zapewniające odpowiedni poziom ochrony praw i wolności Podmiotów Danych (zwane „Ograniczone Przekazywanie”), strony uzgadniają, co następuje:
Standardowe Klauzule Umowne dla EOG.
Strony zgadzają się przestrzegać Standardowych Klauzul Umownych dla jakiegokolwiek Ograniczonego Przekazywania z EOG (zwane „Ograniczone Przekazywanie EOG”). Kiedy Klient jest Administratorem, a SparkPost jest Podmiotem Przetwarzającym, jak opisano dalej w Sekcji 3.1, będą miały zastosowanie Standardowe Klauzule Umowne dla Administratora/Podmiotu Przetwarzającego do każdego takiego Ograniczonego Przekazywania EOG. Kiedy Klient jest Podmiotem Przetwarzającym, a SparkPost jest Podprzetwarzającym, jak opisano dalej w Sekcji 3.1, będą miały zastosowanie Standardowe Klauzule Umowne dla Podmiotu Przetwarzającego/Podprzetwarzającego do każdego takiego Ograniczonego Przekazywania EOG. SparkPost będzie uważany za importera danych, a Klient za eksportera danych na mocy Standardowych Klauzul Umownych dla EOG. Podpisanie przez każdą stronę tego DPA będzie uznane za podpisanie obowiązujących Standardowych Klauzul Umownych dla EOG, które będą uznane za włączone do tego DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych dla EOG są dostępne w Harmonogramie 1 i Harmonogramie 2 tego DPA. W razie jakiegokolwiek konfliktu lub niezgodności pomiędzy tym DPA a Standardowymi Klauzulami Umownymi dla EOG, te ostatnie będą miały pierwszeństwo wyłącznie w odniesieniu do Ograniczonych Przekazywań EOG. Tam, gdzie Standardowe Klauzule Umowne dla EOG wymagają od stron wyboru pomiędzy opcjonalnymi klauzulami i wprowadzeniem informacji, strony uczyniły to, jak poniżej:
Opcjonalna klauzula 7 „Klauzula dokowania” nie zostanie przyjęta.
Dla Klauzuli 9 „Wykorzystanie podprzetwarzających”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne upoważnienie: Importer danych posiada ogólne upoważnienie kontrolera do angażowania podprzetwarzających z uzgodnionej listy. Importer danych będzie wyraźnie informował kontrolera na piśmie o wszelkich zamierzonych zmianach tej listy poprzez dodanie lub zastąpienie podprzetwarzających co najmniej 30 dni kalendarzowych wcześniej, dając kontrolerowi wystarczający czas na możliwe zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podprzetwarzających. Importer danych dostarczy kontrolerowi informację niezbędną do umożliwienia kontrolerowi skorzystania z prawa do zgłoszenia sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podprzetwarzających.
”Dla Klauzuli 11 (a) „Środki prawne”, strony nie przyjmują opcji.
Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że prawo to pozwala na prawa beneficjentów trzeciej strony. Strony zgadzają się, że będzie to prawo Niderlandów.
”Dla Klauzuli 18 (b) „Wybór forum i jurysdykcji”: „Strony uzgadniają, że będą to sądy Niderlandów.
”Standardowe Klauzule Umowne dla UK. Strony zgadzają się przestrzegać Standardowych Klauzul Umownych dla UK dla jakiegokolwiek Ograniczonego Przekazywania z UK (zwane „Ograniczone Przekazywanie UK”). SparkPost będzie uważany za importera danych, a Klient za eksportera danych na mocy Standardowych Klauzul Umownych dla UK. Podpisanie przez każdą stronę tego DPA będzie uznane za podpisanie Standardowych Klauzul Umownych dla UK, które będą uznane za włączone do tego DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych dla UK są dostępne w Harmonogramie 1 i Harmonogramie 2 tego DPA. W razie jakiegokolwiek konfliktu lub niezgodności pomiędzy tym DPA a Standardowymi Klauzulami Umownymi dla UK, te ostatnie będą miały pierwszeństwo wyłącznie w odniesieniu do Ograniczonych Przekazywań UK.
Współpraca.
Jeśli SparkPost nie jest w stanie spełnić tego wymogu lub jeśli właściwe organy lub sądy przestaną uznawać Standardowe Klauzule Umowne dla EOG lub Standardowe Klauzule Umowne dla UK, jako zapewniające odpowiedni poziom ochrony, SparkPost poinformuje Klienta i w miarę możliwości będzie współpracować z Klientem, aby zapewnić zgodność jakiegokolwiek Przetwarzania Danych Osobowych z Przepisami o Ochronie Danych oraz wszelkimi ograniczeniami transferu tam określonymi, w tym poprzez uzyskanie alternatywnych certyfikacji, w miarę możliwości i potrzeby.
Alternatywny Mechanizm Przesyłania.
Strony uzgadniają, że rozwiązanie eksportu danych wskazane w Sekcji 7.2 (Standardowe Klauzule Umowne) nie będzie miało zastosowania, jeśli i w jakim zakresie SparkPost przyjmuje lub utrzymuje alternatywne rozwiązanie eksportu danych dla zgodnego z prawem przekazania Danych Osobowych (jak uznane przez Przepisy o Ochronie Danych) poza EOG i/lub UK, które zostało zatwierdzone przez Klienta na piśmie przed jakimkolwiek transferem lub innym przetwarzaniem Danych Osobowych („Alternatywny Mechanizm Przesyłania”), w takim przypadku Alternatywny Mechanizm Przesyłania będzie miał zastosowanie zamiast (ale tylko w zakresie, w jakim Alternative Mechanizm Przesyłania dotyczy terytoriów, na które przekazywane są Dane Osobowe).
Dodatkowe zabezpieczenia
Poufność Przetwarzania.
SparkPost zapewni, że każda osoba upoważniona przez SparkPost do przetwarzania Danych Osobowych (w tym jej personel, agenci i podwykonawcy) będzie zobowiązana do zachowania odpowiedniej poufności (czy to na mocy umowy, czy przepisów).
Reakcja na Incydent Bezpieczeństwa i Powiadomienie.
Po uzyskaniu wiedzy o Incydencie Bezpieczeństwa, SparkPost powiadomi Klienta bez zbędnej zwłoki i dostarczy terminowych informacji związanych z Incydentem Bezpieczeństwa, gdy tylko staną się one znane lub zostaną racjonalnie zażądane przez Klienta.
Zwrot lub usunięcie danych
Po zakończeniu lub wygaśnięciu Umowy, SparkPost usunie lub zwróci (według wyboru Klienta) Klientowi wszystkie Dane Osobowe (w tym kopie) pozostające w jego posiadaniu lub pod kontrolą, pod warunkiem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim SparkPost jest zobowiązany przez obowiązujące prawo do zatrzymania niektórych lub wszystkich Danych Osobowych, lub do Danych Osobowych, które SparkPost zarchiwizował w systemach kopii zapasowych. Dane te SparkPost odizoluje i zabezpieczy przed dalszym przetwarzaniem, z wyjątkiem przypadków wymaganych przez obowiązujące prawo.WSPÓŁPRACA.
Odszkodowanie.
Obie strony zgadzają się bronić i chronić drugą stronę (w tym jej dyrektorów, urzędników, pracowników i agentów) przed wszelkimi roszczeniami stron trzecich (w tym władzami rządowymi i Odbiorcami) oraz związanymi z nimi opłatami i wydatkami (w tym uzasadnionymi honorariami adwokackimi) wynikającymi z faktycznego lub domniemanego naruszenia niniejszego DPA przez daną stronę.
Żądania Podmiotów Danych.
Usługa zapewnia Klientowi szereg narzędzi, które Klient może użyć do pobierania, poprawiania, usuwania lub ograniczania Danych Klienta, które Klient może wykorzystać w związku ze swoimi zobowiązaniami wynikającymi z Praw Ochrony Danych, w tym na przykład, zobowiązania związane z odpowiadaniem na Żądania Podmiotów Danych. W zakresie, w jakim Klient nie może samodzielnie uzyskać dostępu do odpowiednich Danych Klienta w ramach Usługi, SparkPost zapewni rozsądną współpracę w celu pomocy Klientowi w terminowym odpowiadaniu na Żądanie Podmiotu Danych dotyczące przetwarzania Danych Osobowych na mocy Umowy w terminach nałożonych przez Prawa Ochrony Danych. W przypadku, gdy takie żądanie zostanie złożone bezpośrednio do SparkPost, SparkPost powiadomi Klienta pisemnie o takim żądaniu niezwłocznie po jego otrzymaniu.
Rejestry Przetwarzania.
Na żądanie Klienta, SparkPost udostępni w odpowiednim czasie takie informacje, jakie są wymagane przez Klienta do wykazania zgodności SparkPost z jego zobowiązaniami wynikającymi z Praw Ochrony Danych oraz niniejszego DPA.
Żądania Rządowe.
Jeśli agencja egzekwowania prawa skieruje do SparkPost żądanie dotyczące Danych Osobowych (na przykład za pośrednictwem wezwania sądowego lub nakazu sądowego), SparkPost spróbuje przekierować agencję egzekwowania prawa, aby zażądała tych danych bezpośrednio od Klienta. W ramach tego działania SparkPost może podać agencji egzekwowania prawa podstawowe dane kontaktowe Klienta. Jeśli zostanie zmuszony do ujawnienia Danych Klienta agencji egzekwowania prawa, SparkPost powiadomi Klienta o takim żądaniu z wyprzedzeniem, aby umożliwić Klientowi wystąpienie o nakaz ochronny lub inne odpowiednie środki, chyba że SparkPost jest prawnie zabroniony przed powiadomieniem.
Oceny Wpływu na Ochronę Danych.
W zakresie, w jakim SparkPost jest zobowiązany na mocy obowiązujących Praw Ochrony Danych, SparkPost dostarczy rozsądnie wymagane informacje dotyczące Usługi, aby umożliwić Klientowi przeprowadzenie oceny wpływu na ochronę danych lub wcześniejszych konsultacji z organami ochrony danych, zgodnie z prawnymi wymaganiami lub zgodnie z artykułami 35 i 36 RODO.
***
ZAŁĄCZNIK 1
ANEKS I DO STANDARDOWYCH KLAUZUL UMOWNYCH EOG
Gdy ma to zastosowanie, ten Załącznik 1 będzie służył jako Aneks I do standardowych klauzul umownych EOG.
ANEKS 1, CZĘŚĆ A: LISTA STRON
Eksporter Danych: Klient
Dane Kontaktowe Eksportera Danych: Adres podany w powyższym bloku podpisu Klienta lub adres e-mail właściciela konta Klienta, lub adres(y) e-mail, na które Klient decyduje się otrzymywać powiadomienia w ramach Umowy.
Rola Eksportera Danych: Rola Eksportera Danych jest opisana w Sekcji 3 DPA.
Podpis i Data: Eksporter Danych uznaje się za podpisanego w standardowych klauzulach umownych EOG zawartych tutaj z dniem wejścia w życie DPA.
Importer Danych: Message Systems, Inc. (dba SparkPost)
Dane Kontaktowe Importera Danych: SparkPost Data Protection Officer – privacy@sparkpost.com
Rola Importera Danych: Rola Importera Danych jest opisana w Sekcji 3 DPA.
Podpis i Data: Importer Danych uznaje się za podpisanego w standardowych klauzulach umownych EOG zawartych tutaj z dniem wejścia w życie DPA.
ANEKS 1, CZĘŚĆ B: OPIS TRANSFERU
Kategorie osób, których dane osobowe są przekazywane, są opisane w Sekcji 3.4 DPA. Kategorie przekazywanych danych osobowych są opisane w Sekcji 3.4 DPA. Przekazywane dane wrażliwe (jeśli mają zastosowanie) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyka, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla personelu po odbyciu specjalistycznego szkolenia), prowadzenie rejestru dostępu do danych, ograniczenia dalszych transferów lub dodatkowe środki bezpieczeństwa:
Brak Częstotliwość transferu (np. czy dane są przekazywane jednokrotnie czy na zasadzie ciągłej): Dane są przekazywane na zasadzie ciągłej przez cały czas trwania Umowy.
Natura przetwarzania jest opisana w Sekcji 3.4 DPA. Cel(e) transferu danych i dalszego przetwarzania jest/jest opisany w Sekcji 3.4 DPA.
Okres, przez jaki dane osobowe będą przechowywane, lub, jeśli to nie jest możliwe, kryteria określenia tego okresu:
Przez czas trwania Umowy lub dłużej, zgodnie z wymogami obowiązującego prawa i zgodnie z Umową.
W przypadku transferów do podmiotów przetwarzających również należy określić przedmiot, charakter i czas trwania przetwarzania:
W przypadku transferów do podmiotów przetwarzających, przedmiot i charakter przetwarzania jest opisany na https://www.sparkpost.com/policies/subprocessors/, a czas trwania odpowiada czasowi trwania Umowy.
ANEKS 1, CZĘŚĆ C: WŁAŚCIWY ORGAN NADZORCZY
Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie właściwym organem nadzorczym.
***
ZAŁĄCZNIK 2 DO STANDARDOWYCH KLAUZUL UMOWNYCH EOG
Gdzie ma to zastosowanie, niniejszy Załącznik 2 będzie służył jako Aneks II do Standardowych Klauzul Umownych. Poniżej podano więcej informacji na temat technicznych i organizacyjnych środków bezpieczeństwa SparkPost określonych poniżej.
Więcej informacji na temat technicznych i organizacyjnych środków bezpieczeństwa SparkPost w celu ochrony Danych Klienta, których przegląd dostępny jest pod adresem: https://www.sparkpost.com/policies/security/ („Polityka Bezpieczeństwa”).
Techniczne i organizacyjne środki bezpieczeństwa:
Środki pseudonimizacji i szyfrowania danych osobowych: SparkPost przechowuje dane klientów w formacie zaszyfrowanym, zarówno w spoczynku, jak i w tranzycie, przy użyciu SSL, HTTPS i TLS oportunistycznego, w miarę potrzeb.
Środki zapewniające ciągłość poufności, integralności, dostępności i odporności systemów i usług przetwarzania: SparkPost zgadza się na obowiązki dotyczące poufności zawarte w umowach z klientami. SparkPost zawiera również umowy zawierające merytorycznie podobne postanowienia o poufności z pracownikami, kontrahentami, dostawcami i podprocesorami firmy. SparkPost utrzymuje wysoką dostępność i odporność systemów i usług poprzez wiele niezależnych od awarii stref dostępności w centrach danych. Ponadto SparkPost wdrożył i utrzymuje Plan Kontynuacji Biznesowej i Odzyskiwania Danych po Awarii, aby zapewnić zachowanie danych klientów oraz możliwość dalszego świadczenia usług.
Środki zapewniające zdolność do szybkiego przywrócenia dostępności i dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego: Dane klientów są hostowane przez Amazon Web Services („AWS”), które zapewniają redundancję w wielu strefach dostępności. Jak wspomniano wcześniej, SparkPost wdrożył i utrzymuje Plan Kontynuacji Biznesowej i Odzyskiwania Danych po Awarii.
Procedury regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo przetwarzania: SparkPost utrzymuje pisemny i kompleksowy program bezpieczeństwa informacyjnego, który obejmuje odpowiednie środki fizyczne, techniczne i administracyjne w celu ochrony bezpieczeństwa, integralności, poufności i dostępności danych klientów, w tym, bez ograniczeń, ochronę przed nieautoryzowanym lub niezgodnym z prawem przejęciem, dostępem, użyciem, ujawnieniem lub zniszczeniem danych klientów. Ten program bezpieczeństwa został zaprojektowany, biorąc pod uwagę rodzaj usług świadczonych przez SparkPost oraz wielkość i złożoność działalności SparkPost. Oprócz wewnętrznego zespołu ds. bezpieczeństwa, który stale monitoruje bezpieczeństwo wewnętrzne, SparkPost korzysta z usług strony trzeciej do przeprowadzania wewnętrznych i zewnętrznych testów podatności i penetracyjnych, aby regularnie weryfikować ochronę perymetryczną i defensywną postawę wewnętrzną.
Środki identyfikacji i autoryzacji użytkowników: Pracownicy SparkPost są zobowiązani do używania unikalnych danych uwierzytelniających użytkownika i haseł do autoryzacji. SparkPost stosuje zasadę ograniczonego dostępu do systemów, uwzględniającą funkcję, rolę i odpowiedzialność każdego pracownika, przy określaniu odpowiedniego poziomu i czasu trwania dostępu. Dostęp wymaga zatwierdzenia przed udzieleniem i jest natychmiast usuwany w przypadku zmiany roli lub rozwiązania umowy.
Środki ochrony danych podczas transmisji: Dane klientów są szyfrowane podczas przesyłania między klientem a usługami SparkPost za pomocą HTTPS. Dane klientów są szyfrowane podczas przesyłania między SparkPost a odbiorcami za pomocą TLS oportunistycznego. Środki ochrony danych podczas przechowywania: Dane klientów są przechowywane w postaci zaszyfrowanej przy użyciu standardu szyfrowania zaawansowanego.
Środki zapewniające bezpieczeństwo fizyczne lokalizacji, w których przetwarzane są dane osobowe: główna siedziba i biura SparkPost mają (i) monitorowanie i nadzór nad bezpieczeństwem fizycznym; (ii) kontrolę wejścia w celu ograniczenia dostępu fizycznego; oraz (iii) rejestry odwiedzających. Wszyscy kontrahenci i goście muszą rejestrować swoje wejście i wyjście z biur. Usługi działają na AWS i są chronione przez fizyczne, techniczne, organizacyjne i administracyjne środki bezpieczeństwa firmy Amazon. Szczegółowe informacje o bezpieczeństwie AWS są dostępne pod adresem https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/, oraz https://aws.amazon.com/compliance/iso-27001-faqs/. Raporty SOC dla AWS można znaleźć pod adresem https://aws.amazon.com/compliance/soc-faqs/.
Środki zapewniające rejestrowanie zdarzeń: Działalność produkcyjnej infrastruktury SparkPost jest centralnie zbierana i zabezpieczana w celu zapobieżenia manipulacjom oraz jest monitorowana pod kątem anomalii przez wyszkolony zespół ds. bezpieczeństwa.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: SparkPost ocenia zmiany w swojej platformie, aplikacjach i produkcyjnej infrastrukturze w sposób minimalizujący ryzyko, a takie zmiany są wdrażane wyłącznie zgodnie z Polityką Bezpieczeństwa. SparkPost wykonuje wiele działań związanych z bezpieczeństwem w ramach usług na różnych etapach cyklu życia tworzenia produktu, od tworzenia dokumentacji wymagań i projektowania produktu, aż do etapu oddania do użytku. Działania te obejmują (i) przeprowadzanie wewnętrznych przeglądów bezpieczeństwa przed wdrożeniem nowych usług; (ii) coroczne testy penetracyjne prowadzone przez niezależne strony trzecie; oraz (iii) analizy zagrożeń dla nowych usług w celu wykrycia potencjalnych zagrożeń i podatności bezpieczeństwa. SparkPost przestrzega procesu zarządzania zmianami, aby administrować zmianami w środowisku produkcyjnym dla usług, w tym zmianami w jego oprogramowaniu, aplikacjach i systemach. Monitorowanie umożliwia powiadamianie zespołu ds. bezpieczeństwa o zmianach dokonanych w krytycznej infrastrukturze i usługach, które nie są zgodne z procesami zarządzania zmianami.
Środki dotyczące wewnętrznego zarządzania i zarządzania bezpieczeństwem IT: SparkPost utrzymuje program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje administracyjne, organizacyjne, techniczne i fizyczne zabezpieczenia, mające na celu ochronę usług oraz poufności, integralności i dostępności danych klientów. Program bezpieczeństwa SparkPost został zaprojektowany, uwzględniając charakter usług oraz wielkość i złożoność działalności firmy. SparkPost ma dedykowany zespół ds. bezpieczeństwa, który zarządza programem bezpieczeństwa informacji SparkPost oraz wspiera i organizuje audyty i oceny przeprowadzane przez niezależne strony trzecie. Ramy bezpieczeństwa SparkPost opierają się na atestacji SOC2 Type II i obejmują następujące kryteria usług powierniczych: bezpieczeństwo, dostępność, poufność i prywatność. Bezpieczeństwo jest zarządzane na najwyższym poziomie w firmie, a wiceprezes ds. zgodności i bezpieczeństwa IT spotyka się regularnie z kierownictwem, aby omówić kwestie i koordynować inicjatywy związane z bezpieczeństwem i IT w całej firmie. Polityki i standardy zabezpieczeń informacji są przeglądane i zatwierdzane przez kierownictwo co najmniej raz w roku i są udostępniane wszystkim odpowiednim pracownikom SparkPost do ich wiadomości.
Środki dotyczące certyfikacji/gwarancji procesów i produktów: SparkPost przeprowadza różne audyty zewnętrzne, aby potwierdzić zgodność z różnymi ramami, w tym SOC 2 Type II oraz regularne testy podatności i penetracyjne aplikacji. Środki zapewniające minimalizację danych: SparkPost nie przechowuje treści wiadomości e-mail po jej dostarczeniu do odbiorcy lub w przypadku odrzucenia bądź innego odrzucenia przez dostawcę skrzynki pocztowej, co zwykle następuje w ciągu kilku sekund. W przypadku odrzucenia lub odrzutu, SparkPost przechowuje treść wiadomości przez ograniczony czas, aby umożliwić ponowne wysłanie wiadomości e-mail. Jeśli transmisja nadal się nie powiedzie, treść wiadomości jest trwale usuwana. SparkPost przechowuje dane osobowe odbiorcy w postaci surowej przez ograniczony czas po wysłaniu wiadomości e-mail do odbiorcy. Po wstępnym okresie przechowywania, dane osobowe są pseudonimizowane za pomocą jednokierunkowego hashu i są przechowywane tylko w formie pseudonimizowanej. Więcej informacji na temat tego procesu można znaleźć w naszych najczęściej zadawanych pytaniach dotyczących danych dostępnych pod adresem: https://www.sparkpost.com/policies/data-faq/. Ponadto SparkPost wbudował w usługi funkcjonalność samoobsługową, która umożliwia klientom usuwanie niektórych danych klientów, takich jak adresy e-mail odbiorców i związane z nimi zdarzenia wiadomości, na żądanie, której dokumentacja tej funkcjonalności jest dostępna pod adresem: https://developers.sparkpost.com/api/data-privacy/.
Środki zapewniające rozliczalność: SparkPost przyjął środki zapewniające rozliczalność, w tym regularne przeprowadzanie audytów przez podmioty niezależne, które zapewniają zgodność z naszymi standardami prywatności i bezpieczeństwa. SparkPost wdraża również polityki ochrony danych zgodnie z obowiązującym prawem i publikuje przegląd Polityki Bezpieczeństwa (powyżej). SparkPost wyznaczył Inspektora Ochrony Danych i prowadzi dokumentację swoich działań przetwarzania, w tym rejestrację i raportowanie incydentów związanych z bezpieczeństwem danych osobowych, gdzie to ma zastosowanie.
Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Klienci mają bezpośrednie relacje ze swoimi odbiorcami i są odpowiedzialni za odpowiadanie na prośby swoich użytkowników końcowych, którzy chcą skorzystać ze swoich praw wynikających z przepisów o ochronie danych osobowych. SparkPost wbudował w usługi funkcjonalność samoobsługową, która umożliwia klientom usuwanie niektórych danych klientów, takich jak adresy e-mail odbiorców i związane z nimi zdarzenia wiadomości na żądanie, której dokumentacja tej funkcjonalności jest dostępna pod adresem: https://developers.sparkpost.com/api/data-privacy/. Ponadto SparkPost wbudował w usługi funkcjonalność samoobsługową umożliwiającą zablokowanie przyszłych e-maili do odbiorców (tj. wypisanie się), której dokumentacja tej funkcjonalności znajduje się pod adresem https://developers.sparkpost.com/api/suppression-list/. W zakresie, w jakim klient nie może samodzielnie uzyskać dostępu do odpowiednich danych klientów w ramach usługi, SparkPost zapewni rozsądną współpracę w celu pomocy klientowi w szybkim odpowiedzi na każde żądanie dotyczące przetwarzania danych osobowych zgodnie z umową, w każdym terminie przewidzianym przez przepisy o ochronie danych osobowych. W przypadku, gdy takie żądanie zostanie skierowane bezpośrednio do SparkPost, SparkPost zasugeruje osobie, której dotyczą dane, aby przesłała swoje żądanie do klienta, a klient będzie odpowiedzialny za udzielenie odpowiedzi na każde takie żądanie.
Dla transferów do [pod-]procesorów, również należy opisać konkretne środki techniczne i organizacyjne, które mają zostać podjęte przez [pod-]procesora, aby móc zapewnić wsparcie kontrolerowi oraz, w przypadku transferów z procesora do [pod-]procesora, do eksportera danych: Kiedy SparkPost angażuje podprocesora w ramach tego DPA, SparkPost i podprocesor zawierają umowę zawierającą warunki ochrony danych zasadniczo podobne do zawartych w niniejszym dokumencie.
V2.0 2 listopada 2021 r.