Dodatek o ochronie danych SparkPost
Dokumenty
Zawartość
W trakcie świadczenia usługi SparkPost naszym klientom, SparkPost może przetwarzać dane osobowe na zlecenie naszych klientów, gdy takie dane osobowe podlegają przepisom o ochronie danych osobowych UE, takim jak RODO. W tym celu oferujemy aneks do umowy o ochronie danych (DPA) jak podano poniżej. DPA będzie prawnie wiążące i skuteczne tylko wtedy, gdy: (1) zostanie podpisane tutaj; oraz (2) jesteś klientem SparkPost w dniu, w którym zostanie w pełni podpisane. Zauważ, że ponieważ mamy tak wielu klientów, nie możemy zmienić DPA dla żadnego konkretnego klienta. Jednakże, jeśli masz jakiekolwiek pytania dotyczące DPA, prosimy o kontakt pod adresem privacy@sparkpost.com.
Definicje
„Podmiot powiązany” oznacza dowolną jednostkę, która bezpośrednio lub pośrednio kontroluje podmiot, jest przez niego kontrolowana lub podlega wspólnej kontroli z podmiotem głównym. „Kontrola” na potrzeby tej definicji oznacza bezpośrednie lub pośrednie posiadanie lub kontrolę nad więcej niż 50% głosów podmiotu głównego.
„Umowa” oznacza Warunki korzystania z usługi oraz powiązane Zamówienie, które łącznie regulują świadczenie i korzystanie z Usługi.
„CCPA” oznacza Kalifornijską Ustawę o Ochronie Prywatności Konsumentów z 2018 roku i wszelkie przepisy wykonawcze wydane na jej podstawie, każdorazowo zmieniane.
„Standardowe Klauzule Umowne dla Administratora/Procesora” oznaczają moduły „Administrator do Procesora” (Moduł 2) standardowych klauzul umownych dla przekazywania danych osobowych do krajów trzecich zgodnie z RODO i Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r.
„Ustawy o Ochronie Danych” oznaczają wszystkie ustawy i przepisy jakiejkolwiek jurysdykcji mające zastosowanie do poufności, prywatności, bezpieczeństwa lub Przetwarzania Danych Osobowych na mocy Umowy, w tym, w razie potrzeby, RODO, CCPA i wszystkie inne ustawy i przepisy dotyczące prywatności, marketingu bezpośredniego lub ochrony danych. „Administrator Danych” oznacza podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby Przetwarzania Danych Osobowych.
„Procesor Danych” oznacza podmiot, który Przetwarza Dane Osobowe w imieniu Administratora Danych. „Podmiot Danych” oznacza osobę fizyczną, której Dane Osobowe dotyczą.
„Żądanie Podmiotu Danych” oznacza żądanie Podmiotu Danych dotyczące realizacji praw tej osoby na mocy Ustaw o Ochronie Danych w odniesieniu do Danych Osobowych tej osoby, w tym, bez ograniczeń, prawa dostępu, poprawy, zmiany, transferu, uzyskania kopii, sprzeciwu wobec przetwarzania, zablokowania, usunięcia lub wycofania zgody na sprzedaż takich Danych Osobowych. „EOG” oznacza Europejski Obszar Gospodarczy i Szwajcarię.
„RODO” oznacza albo (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnym przepływie takich danych (Ogólne Rozporządzenie o Ochronie Danych); albo (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o Ochronie Danych 2018.
„Dane Osobowe” oznaczają any information that identifies, relates to, describes, or is reasonably capable of being associated with an identified or identifiable natural person or household.
„Przetwarzanie” oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych, niezależnie od tego, czy są wykonywane za pomocą zautomatyzowanych środków, takie jak zbieranie, rejestrowanie, organizacja, strukturyzacja, przechowywanie, adaptacja lub zmiana, pobieranie, konsultacja, wykorzystanie, ujawnienie poprzez przekazywanie, rozpowszechnianie lub w inny sposób udostępnianie, porządkowanie, ograniczenie, usuwanie lub niszczenie.
„Standardowe Klauzule Umowne Procesora/Podprocesora” oznaczają moduły „Procesor do Procesora” (Moduł 3) standardowych klauzul umownych dla przekazywania danych osobowych do krajów trzecich zgodnie z RODO i Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r.
„Regulator” oznacza europejski organ ochrony danych lub inny organ regulacyjny, rządowy lub nadzorczy mający uprawnienia nad całością lub jakąkolwiek częścią (a) świadczenia lub odbioru Usługi; (b) Przetwarzania Danych Osobowych w związku z Usługą; lub (c) działalności lub personelu SparkPost odnoszącej się do Usługi.
„Incydent Bezpieczeństwa” oznacza jakiekolwiek przypadkowe, nieautoryzowane lub bezprawne zniszczenie, utratę, zmianę, ujawnienie, dostęp do lub szyfrowanie Danych Osobowych.
„Usługa” oznacza dowolny produkt lub usługę dostarczaną przez SparkPost Klientowi na mocy Umowy.
„Standardowe Klauzule Umowne EOG” oznaczają albo (i) Standardowe Klauzule Umowne dla Administratora/Procesora; albo (ii) Standardowe Klauzule Umowne dla Procesora/Podprocesora, zarówno indywidualnie, jak i zbiorowo, stosownie do przypadku.
„Podprocesor” oznacza podmiot, który Przetwarza Dane Osobowe w imieniu podmiotu działającego jako Procesor lub Podprocesor.
„Standardowe Klauzule Umowne dla UK” oznaczają standardowe klauzule umowne dla przekazywania danych osobowych do procesorów ustanowionych w krajach trzecich w formie określonej w Decyzji Komisji Europejskiej 2010/87/UE, które mogą być zmienione, modyfikowane lub zastąpione przez Komisję Europejską.
Relacja z umową
Strony zgadzają się, że niniejsze DPA zastąpi wszelkie istniejące dodatki do ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
Niniejsze DPA ma zastosowanie, gdzie i tylko w zakresie, w jakim SparkPost Przetwarza Dane Osobowe, które podlegają Prawom Ochrony Danych w trakcie świadczenia Usługi zgodnie z Umową.
Za wyjątkiem zmian wprowadzonych przez niniejsze DPA, Umowa pozostaje bez zmian i w pełni ważna. W przypadku konfliktu pomiędzy warunkami niniejszego DPA a warunkami Umowy, niniejsze DPA będzie miało pierwszeństwo w zakresie tego konfliktu. W sytuacjach, gdy SparkPost opiera się na Standardowych Klauzulach Umownych EOG lub Standardowych Klauzulach Umownych Wielkiej Brytanii (łącznie „Standardowe Klauzule Umowne”), w celu transferu Danych Osobowych, odpowiednie Standardowe Klauzule Umowne będą miały pierwszeństwo w przypadku konfliktu z niniejszym DPA.
Wszelkie roszczenia wniesione na podstawie lub w związku z niniejszym DPA będą podlegać warunkom, w tym między innymi wyłączeniom i ograniczeniom określonym w Umowie. Strony zgadzają się, że żadne ograniczenia odpowiedzialności określone w Umowie nie będą miały zastosowania do odpowiedzialności żadnej ze stron wobec Podmiotów Danych zgodnie z postanowieniami dotyczącymi beneficjenta trzeciej strony w Standardowych Klauzulach Umownych, w zakresie, w jakim ograniczenie takiej odpowiedzialności jest zabronione przez Prawa Ochrony Danych.
Niniejsze DPA będzie regulowane i interpretowane zgodnie z przepisami prawnymi i postanowieniami jurysdykcyjnymi w Umowie, chyba że Prawa Ochrony Danych wymagają inaczej. Niniejsze DPA pozostaje w mocy tak długo, jak SparkPost przetwarza Dane Osobowe, niezależnie od wygaśnięcia lub rozwiązania Umowy. ROLE I ZAKRES PRZETWARZANIA.
Role stron.
Strony potwierdzają i zgadzają się, że w relacji między SparkPost a Klientem: W odniesieniu do Danych Osobowych każdej osoby uzyskującej dostęp i/lub korzystającej z Usługi za pośrednictwem Konta Klienta („Użytkownicy”), Klient jest Administratorem Danych, a SparkPost jest Podmiotem Przetwarzającym Dane Osobowe Użytkowników; oraz w odniesieniu do Danych Osobowych każdej osoby: (i) której adres email jest zawarty na liście odbiorców Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usługi, lub (ii) do której Użytkownicy wysyłają emaile lub w inny sposób angażują lub komunikują się za pośrednictwem Usługi (łącznie „Odbiorcy”), Klient jest Podmiotem Przetwarzającym, a SparkPost jest Podmiotem Podprzetwarzającym Dane Osobowe Odbiorców.
Przetwarzanie Danych Osobowych przez Klienta.
Klient zgadza się, że będzie przestrzegać swoich zobowiązań wynikających z obowiązujących Praw Ochrony Danych w odniesieniu do Przetwarzania Danych Osobowych w związku z Usługą oraz w odniesieniu do wszelkich przekazanych instrukcji Przetwarzania, jakie przekaże do SparkPost.
Przetwarzanie Danych Osobowych przez SparkPost. Klient instruuje SparkPost, aby Przetwarzał Dane Osobowe zgodnie z Umową (w tym, dla uniknięcia wątpliwości, w celu realizacji innych zobowiązań oraz wykonywania swoich praw wynikających z Umowy) i aby przestrzegał innych rozsądnych instrukcji Klienta (np. przez e-mail), gdzie takie instrukcje są zgodne z Umową. SparkPost będzie: (i) Przetwarzał Dane Osobowe wyłącznie na zlecenie Klienta i zgodnie z wymaganymi instrukcjami Klienta oraz będzie traktować Dane Osobowe jako informacje poufne podlegające postanowieniom o poufności Umowy; (ii) natychmiast powiadomi Klienta na piśmie, jeśli zdaniem SparkPost, jakakolwiek instrukcja wydana przez Klienta narusza Prawa Ochrony Danych; (iii) świadczyć Usługę i Przetwarzać Dane Osobowe zgodnie z Prawami Ochrony Danych i Umową; (iv) natychmiast powiadomi Klienta o wszelkich niezgodnościach z niniejszym DPA. Strony zgadzają się, że niniejsze DPA oraz Umowa określają kompletne i ostateczne instrukcje Klienta do SparkPost w zakresie przetwarzania Danych Osobowych, a przetwarzanie poza zakresem tych instrukcji (o ile występuje) wymaga uprzedniego pisemnego porozumienia między Klientem a SparkPost.
Szczegóły Przetwarzania Danych.
Przedmiot: Przedmiotem przetwarzania danych na podstawie niniejszego DPA są Dane Osobowe.Czas trwania: W relacji między SparkPost a Klientem, czas trwania przetwarzania danych na podstawie niniejszego DPA obowiązuje do rozwiązania Umowy zgodnie z jej warunkami.
Cel: Celem przetwarzania danych na podstawie niniejszego DPA jest świadczenie Usługi dla Klienta oraz wykonanie zobowiązań SparkPost zgodnie z Umową (w tym niniejszym DPA) lub jak inaczej uzgodniono przez strony.
Charakter przetwarzania: SparkPost świadczy usługę dostarczania emaili, analityki i inteligencji oraz inne powiązane usługi, jak opisano w Umowie.Kategorie podmiotów danych: Użytkownicy i Odbiorcy.
Typy Danych Osobowych:
Klient i Użytkownicy: dane identyfikacyjne i kontaktowe (imię, adres, tytuł, dane kontaktowe, nazwa użytkownika); informacje finansowe (dane konta, informacje płatnicze); dane dotyczące zatrudnienia (pracodawca, tytuł zawodowy, lokalizacja geograficzna, obszar odpowiedzialności);
Odbiorcy: dane identyfikacyjne i kontaktowe (imię, adres email i inne dane demograficzne i segmentacyjne podane przez Klienta); informacje IT (adresy IP, dane użytkowania, dane cookies, dane nawigacji online, dane lokalizacji, dane przeglądarki).
Kalifornijska Ustawa o Ochronie Prywatności Konsumentów.
SparkPost będzie przestrzegać CCPA i traktować wszystkie Dane Osobowe podlegające CCPA („CCPA Personal Data”) zgodnie z postanowieniami CCPA. W odniesieniu do CCPA Personal Data, SparkPost jest dostawcą usług zgodnie z CCPA. SparkPost nie będzie (a) sprzedawać CCPA Personal Data; (b) przechowywać, używać ani ujawniać jakichkolwiek CCPA Personal Data do żadnego celu poza konkretnym celem świadczenia Usług, w tym przechowywaniem, użyciem ani ujawnianiem CCPA Personal Data do celów komercyjnych innych niż świadczenie Usług; ani (c) przechowywać, używać ani ujawniać CCPA Personal Data poza bezpośrednią relacją biznesową między SparkPost a Klientem. Strony potwierdzają i zgadzają się, że Przetwarzanie CCPA Personal Data autoryzowane przez instrukcje Klienta opisane w Umowie i w niniejszym DPA jest integralną częścią i jest zawarte w usługach świadczonych przez SparkPost oraz w bezpośrednich relacjach biznesowych między stronami. Strony potwierdzają i zgadzają się, że dostęp SparkPost do Danych Klientów nie stanowi części wynagrodzenia wymienianego przez strony w odniesieniu do Umowy. W zakresie, w jakim jakiekolwiek Dane Użytkowania są uznawane za CCPA Personal Data, SparkPost jest w odniesieniu do takich danych podmiotem handlowym i będzie przetwarzać takie dane zgodnie ze swoją Polityką Prywatności, która jest dostępna pod adresem https://www.sparkpost.com/policies/privacy/. Terminy „biznes”, „cel komercyjny”, „dostawca usług” i „sprzedać” używane w tej Sekcji mają znaczenia nadane im w CCPA. SparkPost i Klient potwierdzają, że rozumieją i będą przestrzegać obowiązków i ograniczeń określonych w niniejszym DPA i Umowie zgodnie z wymaganiami określonymi w CCPA.
Uzasadnione Interesy.
Klient przyjmuje do wiadomości, że SparkPost będzie miał prawo do używania i ujawniania danych związanych z działaniem, wsparciem i/lub korzystaniem z Usługi do swoich uzasadnionych celów biznesowych, takich jak rozliczenia, zarządzanie kontem, wsparcie techniczne i rozwój produktu. W zakresie, w jakim takie dane są uznawane za Dane Osobowe zgodnie z Prawami Ochrony Danych, SparkPost jest Administratorem Danych takich danych i odpowiednio będzie je przetwarzać zgodnie z Polityką Prywatności SparkPost i Prawami Ochrony Danych.
Technologie Śledzące.
Klient przyjmuje do wiadomości, że w związku z wykonywaniem Usługi, SparkPost stosuje wykorzystanie web beaconów, pikseli śledzących i podobnych technologii śledzących („Technologie Śledzące”). Klient będzie utrzymywał odpowiednią podstawę prawną przetwarzania, jak wymaga Prawa Ochrony Danych, aby umożliwić SparkPost zgodne z prawem wdrożenie Technologii Śledzących i zbieranie danych z urządzeń Odbiorców zgodnie z oraz jak opisano w Polityce Prywatności SparkPost.
Podprzetwarzanie
Autoryzowani podprzetwarzający. Klient zgadza się, że SparkPost może angażować podprzetwarzających do przetwarzania danych klienta w imieniu klienta. Podprzetwarzający zaangażowani przez SparkPost i autoryzowani przez klienta na dzień obowiązywania są wymienieni na: https://www.sparkpost.com/policies/subprocessors. Zobowiązania podprzetwarzających. SparkPost będzie: (i) zawierał pisemne porozumienie z podprzetwarzającym, narzucając warunki ochrony danych, które wymagają od podprzetwarzającego ochrony danych klienta zgodnie ze standardem wymaganym przez przepisy o ochronie danych; oraz (ii) pozostawał odpowiedzialny za przestrzeganie swoich zobowiązań wynikających z niniejszej DPA oraz za wszelkie działania lub zaniechania podprzetwarzającego, które powodują naruszenie przez SparkPost jakichkolwiek jego zobowiązań wynikających z niniejszej DPA.
Powiadomienie. SparkPost będzie (i) dostarczał aktualną listę podprzetwarzających, których wyznaczył, na pisemne żądanie klienta; oraz (ii) powiadamiał klienta (za co wiadomość e-mail będzie wystarczająca), jeśli doda podprzetwarzających co najmniej dziesięć (10) dni przed dokonaniem takich zmian.
Sprzeciw. Klient może sprzeciwić się na piśmie powołaniu nowego podprzetwarzającego przez SparkPost w ciągu pięciu (5) dni od takiego powiadomienia, pod warunkiem że taki sprzeciw opiera się na uzasadnionych powodach związanych z ochroną danych. W takim przypadku strony będą w dobrej wierze omawiać takie obawy, dążąc do osiągnięcia porozumienia. Jeśli porozumienie nie zostanie osiągnięte w rozsądnym czasie, Klient może wypowiedzieć odpowiednie zamówienie(-a) jedynie w odniesieniu do określonej usługi, której SparkPost nie może świadczyć bez użycia nowego podprzetwarzającego, na którego wniesiono sprzeciw, poprzez dostarczenie pisemnego zawiadomienia do SparkPost.
Bezpieczeństwo
Polityka Bezpieczeństwa.
Biorąc pod uwagę stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, jak również ryzyko różnej prawdopodobieństwa i powagi dla praw i wolności osób fizycznych, SparkPost wdroży i utrzyma odpowiednie techniczne i organizacyjne środki bezpieczeństwa, aby chronić Dane Osobowe przed Incydentami Bezpieczeństwa oraz zachować bezpieczeństwo, integralność, dostępność, odporność i poufność Danych Osobowych oraz systemów SparkPost używanych do Przetwarzania Danych Osobowych.
Aktualizacje Środków Bezpieczeństwa.
Klient jest odpowiedzialny za przegląd informacji udostępnianych przez SparkPost dotyczących bezpieczeństwa danych i dokonanie niezależnej oceny, czy takie informacje spełniają wymagania Klienta oraz prawne zobowiązania wynikające z Przepisów o Ochronie Danych. Klient przyjmuje do wiadomości, że Polityka Bezpieczeństwa podlega postępowi technicznemu i rozwojowi oraz że SparkPost może aktualizować lub modyfikować Politykę Bezpieczeństwa od czasu do czasu pod warunkiem, że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Usługi zakupionej przez Klienta.
Obowiązki Klienta.
Niezależnie od powyższego, Klient zgadza się, że jest odpowiedzialny za zabezpieczenie swoich poświadczeń uwierzytelniających Konta w posiadaniu lub kontroli Klienta i ochronę bezpieczeństwa Danych Osobowych podczas przesyłu do i z Usługi w zakresie, w jakim takie Dane Osobowe znajdują się w posiadaniu lub kontroli Klienta.
Personel SparkPost.
SparkPost zapewni, że jego personel zajmujący się Przetwarzaniem Danych Osobowych jest poinformowany o poufnym charakterze Danych Osobowych, otrzymał odpowiednie szkolenie na temat swoich obowiązków i podpisał pisemne umowy o zachowaniu poufności w odniesieniu do Danych Osobowych, które obowiązują po zakończeniu zatrudnienia personelu.
Raporty z audytów i audyty
Raport z audytu.
SparkPost jest regularnie audytowany pod kątem kontroli SOC 2 Type II (lub równoważnych) przez niezależnych audytorów zewnętrznych. Na żądanie, SparkPost dostarczy Klientowi kopię streszczenia swoich raportów z audytu (“Raport z audytu”), aby Klient mógł zweryfikować zgodność SparkPost z standardami audytu, według których zostało to ocenione, oraz z niniejszym DPA. Takie Raporty z audytu, jak również wszelkie wnioski lub ustalenia w nich określone, stanowią Informacje Poufne SparkPost.
Audyt.
SparkPost udostępni Klientowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami Przetwarzających Dane określonymi w Artykule 28 RODO (“Wymagania Artykułu 28”). W tym celu, SparkPost dostarczy pisemne odpowiedzi na wszystkie uzasadnione wnioski o informacje złożone przez Klienta, w tym odpowiedzi na kwestionariusze dotyczące bezpieczeństwa informacji i audytu, które są niezbędne do potwierdzenia zgodności SparkPost z Wymaganiami Artykułu 28, pod warunkiem, że Klient nie będzie korzystał z tego prawa więcej niż raz w roku. Takie odpowiedzi stanowią Informacje Poufne SparkPost. Jeśli SparkPost nie będzie w stanie dostarczyć wszystkich informacji niezbędnych do wykazania zgodności z Wymaganiami Artykułu 28 poprzez pisemne odpowiedzi, wtedy SparkPost umożliwi i przyczyni się do audytów, w tym inspekcji, przeprowadzanych przez Klienta lub innego audytora reprezentującego Klienta. Wszystkie informacje uzyskane od SparkPost podczas takiego audytu lub inspekcji są Informacjami Poufnymi SparkPost.
Przelewy międzynarodowe
Lokalizacje przetwarzania.
SparkPost może przekazywać i przetwarzać Dane Klienta wszędzie tam, gdzie SparkPost, jego podmioty powiązane lub Podprzetwarzający prowadzą operacje przetwarzania danych. SparkPost zawsze zapewni odpowiedni poziom ochrony przetwarzanych Danych Klienta, zgodnie z wymaganiami przepisów o ochronie danych.
Standardowe klauzule umowne.
W zakresie, w jakim SparkPost przetwarza jakiekolwiek Dane Osobowe na mocy Umowy, która wymaga mechanizmu dalszego przekazywania do zgodnego z prawem przekazania Danych Osobowych z EOG lub Zjednoczonego Królestwa (zwane „UK”) do innego kraju lub terytorium, które nie zostały uznane przez Komisję Europejską (lub, w szczególności w odniesieniu do UK, jak może być określone przez właściwy organ regulacyjny UK) za zapewniające odpowiedni poziom ochrony praw i wolności Podmiotów Danych (zwane „Ograniczone Przekazywanie”), strony uzgadniają, co następuje:
Standardowe Klauzule Umowne dla EOG.
Strony zgadzają się przestrzegać Standardowych Klauzul Umownych dla jakiegokolwiek Ograniczonego Przekazywania z EOG (zwane „Ograniczone Przekazywanie EOG”). Kiedy Klient jest Administratorem, a SparkPost jest Podmiotem Przetwarzającym, jak opisano dalej w Sekcji 3.1, będą miały zastosowanie Standardowe Klauzule Umowne dla Administratora/Podmiotu Przetwarzającego do każdego takiego Ograniczonego Przekazywania EOG. Kiedy Klient jest Podmiotem Przetwarzającym, a SparkPost jest Podprzetwarzającym, jak opisano dalej w Sekcji 3.1, będą miały zastosowanie Standardowe Klauzule Umowne dla Podmiotu Przetwarzającego/Podprzetwarzającego do każdego takiego Ograniczonego Przekazywania EOG. SparkPost będzie uważany za importera danych, a Klient za eksportera danych na mocy Standardowych Klauzul Umownych dla EOG. Podpisanie przez każdą stronę tego DPA będzie uznane za podpisanie obowiązujących Standardowych Klauzul Umownych dla EOG, które będą uznane za włączone do tego DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych dla EOG są dostępne w Harmonogramie 1 i Harmonogramie 2 tego DPA. W razie jakiegokolwiek konfliktu lub niezgodności pomiędzy tym DPA a Standardowymi Klauzulami Umownymi dla EOG, te ostatnie będą miały pierwszeństwo wyłącznie w odniesieniu do Ograniczonych Przekazywań EOG. Tam, gdzie Standardowe Klauzule Umowne dla EOG wymagają od stron wyboru pomiędzy opcjonalnymi klauzulami i wprowadzeniem informacji, strony uczyniły to, jak poniżej:
Opcjonalna klauzula 7 „Klauzula dokowania” nie zostanie przyjęta.
Dla Klauzuli 9 „Wykorzystanie podprzetwarzających”, strony wybierają następującą opcję: „Opcja 2 Ogólne pisemne upoważnienie: Importer danych posiada ogólne upoważnienie kontrolera do angażowania podprzetwarzających z uzgodnionej listy. Importer danych będzie wyraźnie informował kontrolera na piśmie o wszelkich zamierzonych zmianach tej listy poprzez dodanie lub zastąpienie podprzetwarzających co najmniej 30 dni kalendarzowych wcześniej, dając kontrolerowi wystarczający czas na możliwe zgłoszenie sprzeciwu wobec takich zmian przed zaangażowaniem podprzetwarzających. Importer danych dostarczy kontrolerowi informację niezbędną do umożliwienia kontrolerowi skorzystania z prawa do zgłoszenia sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podprzetwarzających.
”Dla Klauzuli 11 (a) „Środki prawne”, strony nie przyjmują opcji.
Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Te Klauzule będą regulowane przez prawo jednego z państw członkowskich UE, pod warunkiem, że prawo to pozwala na prawa beneficjentów trzeciej strony. Strony zgadzają się, że będzie to prawo Niderlandów.
”Dla Klauzuli 18 (b) „Wybór forum i jurysdykcji”: „Strony uzgadniają, że będą to sądy Niderlandów.
”Standardowe Klauzule Umowne dla UK. Strony zgadzają się przestrzegać Standardowych Klauzul Umownych dla UK dla jakiegokolwiek Ograniczonego Przekazywania z UK (zwane „Ograniczone Przekazywanie UK”). SparkPost będzie uważany za importera danych, a Klient za eksportera danych na mocy Standardowych Klauzul Umownych dla UK. Podpisanie przez każdą stronę tego DPA będzie uznane za podpisanie Standardowych Klauzul Umownych dla UK, które będą uznane za włączone do tego DPA. Szczegóły wymagane w Załączniku 1 i Załączniku 2 do Standardowych Klauzul Umownych dla UK są dostępne w Harmonogramie 1 i Harmonogramie 2 tego DPA. W razie jakiegokolwiek konfliktu lub niezgodności pomiędzy tym DPA a Standardowymi Klauzulami Umownymi dla UK, te ostatnie będą miały pierwszeństwo wyłącznie w odniesieniu do Ograniczonych Przekazywań UK.
Współpraca.
Jeśli SparkPost nie jest w stanie spełnić tego wymogu lub jeśli właściwe organy lub sądy przestaną uznawać Standardowe Klauzule Umowne dla EOG lub Standardowe Klauzule Umowne dla UK, jako zapewniające odpowiedni poziom ochrony, SparkPost poinformuje Klienta i w miarę możliwości będzie współpracować z Klientem, aby zapewnić zgodność jakiegokolwiek Przetwarzania Danych Osobowych z Przepisami o Ochronie Danych oraz wszelkimi ograniczeniami transferu tam określonymi, w tym poprzez uzyskanie alternatywnych certyfikacji, w miarę możliwości i potrzeby.
Alternatywny Mechanizm Przesyłania.
Strony uzgadniają, że rozwiązanie eksportu danych wskazane w Sekcji 7.2 (Standardowe Klauzule Umowne) nie będzie miało zastosowania, jeśli i w jakim zakresie SparkPost przyjmuje lub utrzymuje alternatywne rozwiązanie eksportu danych dla zgodnego z prawem przekazania Danych Osobowych (jak uznane przez Przepisy o Ochronie Danych) poza EOG i/lub UK, które zostało zatwierdzone przez Klienta na piśmie przed jakimkolwiek transferem lub innym przetwarzaniem Danych Osobowych („Alternatywny Mechanizm Przesyłania”), w takim przypadku Alternatywny Mechanizm Przesyłania będzie miał zastosowanie zamiast (ale tylko w zakresie, w jakim Alternative Mechanizm Przesyłania dotyczy terytoriów, na które przekazywane są Dane Osobowe).
Dodatkowe zabezpieczenia
Poufność Przetwarzania.
SparkPost zapewni, że każda osoba upoważniona przez SparkPost do przetwarzania Danych Osobowych (w tym jej personel, agenci i podwykonawcy) będzie zobowiązana do zachowania odpowiedniej poufności (czy to na mocy umowy, czy przepisów).
Reakcja na Incydent Bezpieczeństwa i Powiadomienie.
Po uzyskaniu wiedzy o Incydencie Bezpieczeństwa, SparkPost powiadomi Klienta bez zbędnej zwłoki i dostarczy terminowych informacji związanych z Incydentem Bezpieczeństwa, gdy tylko staną się one znane lub zostaną racjonalnie zażądane przez Klienta.
Zwrot lub usunięcie danych
Po zakończeniu lub wygaśnięciu Umowy, SparkPost usunie lub zwróci (według wyboru Klienta) Klientowi wszystkie Dane Osobowe (w tym kopie) pozostające w jego posiadaniu lub pod kontrolą, pod warunkiem, że ten wymóg nie będzie miał zastosowania w zakresie, w jakim SparkPost jest zobowiązany przez obowiązujące prawo do zatrzymania niektórych lub wszystkich Danych Osobowych, lub do Danych Osobowych, które SparkPost zarchiwizował w systemach kopii zapasowych. Dane te SparkPost odizoluje i zabezpieczy przed dalszym przetwarzaniem, z wyjątkiem przypadków wymaganych przez obowiązujące prawo.WSPÓŁPRACA.
Odszkodowanie.
Obie strony zgadzają się bronić i chronić drugą stronę (w tym jej dyrektorów, urzędników, pracowników i agentów) przed wszelkimi roszczeniami stron trzecich (w tym władzami rządowymi i Odbiorcami) oraz związanymi z nimi opłatami i wydatkami (w tym uzasadnionymi honorariami adwokackimi) wynikającymi z faktycznego lub domniemanego naruszenia niniejszego DPA przez daną stronę.
Żądania Podmiotów Danych.
Usługa zapewnia Klientowi szereg narzędzi, które Klient może użyć do pobierania, poprawiania, usuwania lub ograniczania Danych Klienta, które Klient może wykorzystać w związku ze swoimi zobowiązaniami wynikającymi z Praw Ochrony Danych, w tym na przykład, zobowiązania związane z odpowiadaniem na Żądania Podmiotów Danych. W zakresie, w jakim Klient nie może samodzielnie uzyskać dostępu do odpowiednich Danych Klienta w ramach Usługi, SparkPost zapewni rozsądną współpracę w celu pomocy Klientowi w terminowym odpowiadaniu na Żądanie Podmiotu Danych dotyczące przetwarzania Danych Osobowych na mocy Umowy w terminach nałożonych przez Prawa Ochrony Danych. W przypadku, gdy takie żądanie zostanie złożone bezpośrednio do SparkPost, SparkPost powiadomi Klienta pisemnie o takim żądaniu niezwłocznie po jego otrzymaniu.
Rejestry Przetwarzania.
Na żądanie Klienta, SparkPost udostępni w odpowiednim czasie takie informacje, jakie są wymagane przez Klienta do wykazania zgodności SparkPost z jego zobowiązaniami wynikającymi z Praw Ochrony Danych oraz niniejszego DPA.
Żądania Rządowe.
Jeśli agencja egzekwowania prawa skieruje do SparkPost żądanie dotyczące Danych Osobowych (na przykład za pośrednictwem wezwania sądowego lub nakazu sądowego), SparkPost spróbuje przekierować agencję egzekwowania prawa, aby zażądała tych danych bezpośrednio od Klienta. W ramach tego działania SparkPost może podać agencji egzekwowania prawa podstawowe dane kontaktowe Klienta. Jeśli zostanie zmuszony do ujawnienia Danych Klienta agencji egzekwowania prawa, SparkPost powiadomi Klienta o takim żądaniu z wyprzedzeniem, aby umożliwić Klientowi wystąpienie o nakaz ochronny lub inne odpowiednie środki, chyba że SparkPost jest prawnie zabroniony przed powiadomieniem.
Oceny Wpływu na Ochronę Danych.
W zakresie, w jakim SparkPost jest zobowiązany na mocy obowiązujących Praw Ochrony Danych, SparkPost dostarczy rozsądnie wymagane informacje dotyczące Usługi, aby umożliwić Klientowi przeprowadzenie oceny wpływu na ochronę danych lub wcześniejszych konsultacji z organami ochrony danych, zgodnie z prawnymi wymaganiami lub zgodnie z artykułami 35 i 36 RODO.
***
ZAŁĄCZNIK 1
ANEKS I DO STANDARDOWYCH KLAUZUL UMOWNYCH EOG
W stosownych przypadkach, załącznik 1 będzie służyć jako Aneks I do Standardowych Klauzul Umownych EOG.
ANEKS 1, CZĘŚĆ A: LISTA STRON
Eksporter danych: Customer
Dane kontaktowe eksportera danych: Adres wymieniony w bloku podpisu Customer powyżej, lub adres e-mail właściciela konta Customer, lub adres(y) e-mail, na które Customer wybiera otrzymywanie powiadomień zgodnie z Umową.
Rola eksportera danych: Rola eksportera danych jest opisana w Sekcji 3 DPA.
Podpis i data: Eksporter danych jest uważany za podpisującego Standardowe Klauzule Umowne EOG włączone tutaj z dniem wejścia w życie DPA.
Importer danych: Message Systems, Inc. (dba SparkPost)
Dane kontaktowe importera danych: SparkPost Data Protection Officer – privacy@sparkpost.com
Rola importera danych: Rola importera danych jest opisana w Sekcji 3 DPA.
Podpis i data: Importer danych jest uważany za podpisującego Standardowe Klauzule Umowne EOG włączone tutaj z dniem wejścia w życie DPA.
ANEKS 1, CZĘŚĆ B: OPIS PRZENIESIENIA
Kategorie osób, których dane osobowe są przekazywane, są opisane w sekcji 3.4 DPA. Kategorie przekazywanych danych osobowych są opisane w sekcji 3.4 DPA. Przekazywane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub środki ochrony, które w pełni uwzględniają charakter danych i związane z nimi ryzyka, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp jedynie dla personelu, który przeszedł specjalistyczne szkolenia), prowadzenie rejestru dostępu do danych, ograniczenia dla dalszych transferów lub dodatkowe środki bezpieczeństwa:
BrakCzęstotliwość transferu (np. czy dane są przekazywane jednorazowo czy w sposób ciągły): Dane są przekazywane w sposób ciągły przez czas trwania Umowy.
Charakter przetwarzania jest opisany w sekcji 3.4 DPA. Cel(e) transferu danych i dalszego przetwarzania są opisane w sekcji 3.4 DPA.
Okres, na jaki dane osobowe będą przechowywane, lub jeśli to nie jest możliwe, kryteria używane do ustalenia tego okresu:
Przez czas trwania Umowy lub dłużej, jeśli wymagają tego obowiązujące przepisy prawa i jak na to pozwala Umowa.
W przypadku transferów do podprocesorów, również określ temat, charakter i czas przetwarzania:
W przypadku transferów do podprocesorów, temat i charakter przetwarzania są opisane na stronie https://www.sparkpost.com/policies/subprocessors/ i trwają przez czas trwania Umowy.
ANEKS 1, CZĘŚĆ C: WŁAŚCIWY ORGAN NADZORCZY
Holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens) będzie właściwym organem nadzorczym.
***
ZAŁĄCZNIK 2 DO STANDARDOWYCH KLAUZUL UMOWNYCH EOG
Gdzie ma to zastosowanie, ten Załącznik 2 będzie służyć jako Załącznik II do Standardowych Klauzul Umownych. Poniżej znajduje się więcej informacji dotyczących technicznych i organizacyjnych środków bezpieczeństwa SparkPost określonych poniżej.
Więcej informacji o technicznych i organizacyjnych środkach bezpieczeństwa SparkPost w celu ochrony Danych Klienta, których podsumowanie jest dostępne pod adresem: https://www.sparkpost.com/policies/security/ („Polityka Bezpieczeństwa”).
Techniczne i organizacyjne środki bezpieczeństwa:
Środki dotyczące pseudonimizacji i szyfrowania danych osobowych: SparkPost przechowuje Dane Klienta w formacie zaszyfrowanym zarówno w spoczynku, jak i podczas przesyłania, używając SSL, HTTPS i opportunistic TLS, w zależności od potrzeby.
Środki zapewniające ciągłą poufność, integralność oraz dostępność i odporność systemów przetwarzania i usług: SparkPost zgadza się na zobowiązania dotyczące poufności w swoich umowach z klientami. SparkPost zawiera również umowy zawierające podobne postanowienia dotyczące poufności z pracownikami, kontrahentami, dostawcami i podwykonawcami SparkPost. SparkPost utrzymuje wysoką dostępność i odporność systemów i usług dzięki wielu strefom dostępności niezależnym od awarii w centrach danych. Dodatkowo, SparkPost wdrożył i utrzymuje Plan Ciągłości Biznesowej i Odzyskiwania po Awarii, aby zapewnić, że Dane Klienta są zachowywane, a Usługi mogą być dalej świadczone.
Środki zapewniające możliwość przywrócenia dostępności i dostępu do Danych Osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego: Dane Klienta są hostowane przez Amazon Web Services („AWS”), które zapewnia redundancję w wielu strefach dostępności. Jak wspomniano powyżej, SparkPost wdrożył i utrzymuje Plan Ciągłości Biznesowej i Odzyskiwania po Awarii.
Procesy regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: SparkPost utrzymuje pisemny i kompleksowy program bezpieczeństwa informacji, który obejmuje odpowiednie fizyczne, techniczne i administracyjne środki kontroli w celu ochrony bezpieczeństwa, integralności, poufności i dostępności Danych Klienta, w tym, bez ograniczeń, ochronę Danych Klienta przed jakimkolwiek nieautoryzowanym lub bezprawnym pozyskaniem, dostępem, użyciem, ujawnieniem lub zniszczeniem. Program bezpieczeństwa został zaprojektowany z uwzględnieniem rodzaju usług świadczonych przez SparkPost oraz wielkości i złożoności działalności SparkPost. Oprócz naszego zespołu ds. bezpieczeństwa wewnętrznego, który stale monitoruje nasze bezpieczeństwo wewnętrznie, SparkPost korzysta z usług strony trzeciej do przeprowadzania wewnętrznych i zewnętrznych testów podatności i penetracji w celu regularnej weryfikacji pozycji defensywnej na obwodzie i wewnętrznie.
Środki dotyczące identyfikacji i autoryzacji użytkownika: Pracownicy SparkPost są zobowiązani do używania unikalnych poświadczeń dostępu użytkownika i haseł do autoryzacji. SparkPost stosuje zasady najmniejszych uprawnień dostępu podczas przydzielania dostępu do systemu, biorąc pod uwagę funkcję pracy, rolę i obowiązki każdego pracownika przy określaniu odpowiedniego poziomu i czasu trwania dostępu. Dostęp wymaga zatwierdzenia przed udzieleniem i jest natychmiast usuwany w przypadku zmiany roli lub zakończenia zatrudnienia.
Środki ochrony danych podczas transmisji: Dane Klienta są szyfrowane podczas przesyłania między Klientem a Usługami SparkPost za pomocą HTTPS. Dane Klienta są szyfrowane podczas przesyłania między SparkPost a Odbiorcą za pomocą opportunistic TLS. Środki ochrony danych podczas przechowywania: Dane Klienta są przechowywane w formie zaszyfrowanej przy użyciu Zaawansowanego Standardu Szyfrowania.
Środki zapewniające fizyczne bezpieczeństwo lokalizacji, w których przetwarzane są dane osobowe: Siedziba główna i przestrzenie biurowe SparkPost mają (i) monitoring i nadzór fizyczny; (ii) kontrolę wejścia w celu ograniczenia dostępu fizycznego; oraz (iii) rejestr wejść wizytujących. Wszyscy kontrahenci i odwiedzający muszą rejestrować swoje wejścia i wyjścia z biur. Usługi działają na AWS i są chronione przez fizyczne, techniczne, organizacyjne i administracyjne środki zarządzania Amazon. Szczegółowe informacje na temat bezpieczeństwa AWS są dostępne na https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/ i https://aws.amazon.com/compliance/iso-27001-faqs/. W przypadku raportów SOC AWS proszę zobaczyć https://aws.amazon.com/compliance/soc-faqs/.
Środki zapewniające rejestrowanie zdarzeń: Logi działalności infrastruktury produkcyjnej SparkPost są zbierane centralnie i zabezpieczone, aby zapobiec manipulacjom oraz są monitorowane pod kątem anomalii przez przeszkolony zespół ds. bezpieczeństwa.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: SparkPost ocenia zmiany swojej platformy, aplikacji i infrastruktury produkcyjnej w sposób minimalizujący ryzyko, a takie zmiany są wdrażane wyłącznie zgodnie z Polityką Bezpieczeństwa. SparkPost przeprowadza liczne czynności związane z bezpieczeństwem dla Usług w różnych fazach cyklu tworzenia produktu, od tworzenia dokumentacji wymagań i projektowania produktu aż do etapu uruchamiania. Te czynności obejmują (i) wewnętrzne przeglądy bezpieczeństwa przed wdrożeniem nowych Usług; (ii) coroczne testy penetracyjne przeprowadzane przez niezależne strony trzecie; oraz (iii) analizę zagrożeń dla nowych Usług w celu wykrycia potencjalnych zagrożeń bezpieczeństwa i podatności. SparkPost przestrzega procesu zarządzania zmianami w celu administrowania zmianami w środowisku produkcyjnym dla Usług, w tym zmianami w swoim oprogramowaniu, aplikacjach i systemach. Monitorowanie jest wdrażane, aby powiadomić zespół ds. bezpieczeństwa o zmianach dokonanych w kluczowej infrastrukturze i usługach, które nie przestrzegają procesów zarządzania zmianami.
Środki dotyczące wewnętrznego zarządzania IT i bezpieczeństwa IT: SparkPost utrzymuje program bezpieczeństwa oparty na ocenie ryzyka, który obejmuje zabezpieczenia administracyjne, organizacyjne, techniczne i fizyczne zaprojektowane w sposób uzasadniony w celu ochrony Usług oraz poufności, integralności i dostępności Danych Klienta. Program bezpieczeństwa SparkPost został zaprojektowany z uwzględnieniem charakteru Usług oraz wielkości i złożoności działalności SparkPost. SparkPost posiada dedykowany zespół ds. bezpieczeństwa, który zarządza programem zabezpieczeń informacji SparkPost i wspiera oraz wspomaga niezależne audyty i oceny przeprowadzane przez strony trzecie. Ramy bezpieczeństwa SparkPost opierają się na atestacji SOC2 Typ II i obejmują następujące kryteria usług zaufania: Bezpieczeństwo, Dostępność, Poufność i Prywatność. Bezpieczeństwo jest zarządzane na najwyższych poziomach firmy, a wiceprezes ds. zgodności i bezpieczeństwa IT regularnie spotyka się z kierownictwem aby omówić problemy i koordynować działania związane z bezpieczeństwem i IT w całej firmie. Polityki i standardy bezpieczeństwa informacji są przeglądane i zatwierdzane przez kierownictwo co najmniej raz na rok i są udostępniane wszystkim odpowiednim pracownikom SparkPost do ich odniesienia.
Środki zapewniające certyfikacje/zapewnienia dotyczące procesów i produktów: SparkPost przeprowadza różne audyty przez strony trzecie w celu atestacji różnych ram, w tym SOC 2 Typ II i regularne testy podatności aplikacji i penetracji. Środki zapewniające minimalizację danych: SparkPost nie przechowuje treści wiadomości e-mail po tym, jak została dostarczona do Odbiorcy lub odrzucona przez dostawcę skrzynki pocztowej, co zazwyczaj odbywa się w ciągu kilku sekund. W przypadku odrzucenia lub zwrócenia SparkPost przechowuje treść wiadomości przez ograniczony czas, aby umożliwić ponowne próbowanie transmisji e-mail. Jeśli transmisja nadal się nie powiedzie, treść wiadomości jest trwale usuwana. SparkPost przechowuje dane osobowe Odbiorcy w formie surowej przez ograniczony okres czasu po przesłaniu e-maila do Odbiorcy. Po wstępnym okresie przechowywania Dane Osobowe są pseudonimizowane za pomocą jednorazowego hasha i przechowywane wyłącznie w formie pseudonimizowanej. Więcej informacji o tym procesie można znaleźć w naszym FAQ dotyczącym danych, dostępnych pod adresem: https://www.sparkpost.com/policies/data-faq/. Dodatkowo, SparkPost wprowadził funkcjonalność samoobsługową do Usług, która umożliwia Klientom na żądanie usuwanie określonych Danych Klienta, takich jak adresy e-mail Odbiorców i powiązane zdarzenia wiadomości, a dokumentacja tej funkcjonalności jest dostępna pod adresem: https://developers.sparkpost.com/api/data-privacy/.
Środki zapewniające odpowiedzialność: SparkPost przyjął środki zapewniające odpowiedzialność, w tym przeprowadzanie regularnych audytów przez strony trzecie w celu zapewnienia zgodności z naszymi standardami prywatności i bezpieczeństwa. SparkPost również wdraża polityki ochrony danych zgodnie z obowiązującym prawem i publikuje przegląd Polityki Bezpieczeństwa (łączone powyżej). SparkPost wyznaczył Inspektora Ochrony Danych i prowadzi dokumentację swoich działań przetwarzania, w tym rejestruje i zgłasza Inicydenty Zabezpieczające dotyczące Danych Osobowych, jeśli mają one zastosowanie.
Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Klienci mają bezpośrednie relacje ze swoimi Odbiorcami i są odpowiedzialni za reagowanie na prośby od swoich użytkowników końcowych, którzy chcą skorzystać ze swoich praw wynikających z Przepisów o Ochronie Danych. SparkPost wprowadził funkcjonalność samoobsługową do Usług, która umożliwia Klientom na żądanie usuwanie określonych Danych Klienta, takich jak adresy e-mail Odbiorców i powiązane zdarzenia wiadomości, co jest udokumentowane w dostępnej dokumentacji pod adresem: https://developers.sparkpost.com/api/data-privacy/. Dodatkowo, SparkPost wprowadził funkcjonalność samoobsługową, która pozwala na blokowanie przyszłych e-maili do Odbiorców (tzn. wypisanie), czego dokumentacja tej funkcjonalności jest dostępna pod adresem https://developers.sparkpost.com/api/suppression-list/. W zakresie, w jakim Klient nie jest w stanie samodzielnie uzyskać dostępu do odpowiednich Danych Klienta w Usłudze, SparkPost zapewni rozsądne wsparcie, aby pomóc Klientowi w terminowym reagowaniu na każde Zapytanie Podmiotu Danych dotyczące przetwarzania Danych Osobowych w ramach Umowy, w terminach określonych przez Przepisy o Ochronie Danych. W przypadku, gdy takie zapytanie zostanie złożone bezpośrednio do SparkPost, SparkPost poinformuje Podmiot, aby zwrócił się ze swoim zapytaniem do Klienta, a Klient będzie odpowiedzialny za odpowiedź na każde takie zapytanie.
Dla transferów do [podprocesorów] opisać również konkretne środki techniczne i organizacyjne, które zostaną podjęte przez [podprocesora] w celu udzielenia pomocy administratorowi oraz, w przypadku transferów od przetwarzającego do [podprocesora], do eksportera danych: Gdy SparkPost angażuje podprocesora zgodnie z tą DPA, SparkPost i podprocesor zawierają umowę zawierającą warunki ochrony danych zasadniczo podobne do zawartych tutaj.
Wersja 2.0, 2 listopada 2021
