W trakcie świadczenia usługi SparkPost naszym klientom, SparkPost może przetwarzać dane osobowe w imieniu naszego klienta, gdy takie dane osobowe podlegają europejskim regulacjom ochrony danych, takim jak RODO. W tym celu oferujemy aneks dotyczący ochrony danych (DPA) poniżej. DPA będzie wiążący i skuteczny prawnie tylko wtedy, gdy: (1) zostanie podpisany tutaj; oraz (2) jesteś klientem SparkPost w dniu, w którym zostanie w pełni podpisany. Proszę pamiętać, że ze względu na to, że mamy tak wielu klientów, nie możemy zmieniać DPA dla jakiegokolwiek konkretnego klienta. Jeśli jednak masz jakiekolwiek pytania dotyczące DPA, skontaktuj się z nami pod adresem privacy@sparkpost.com.
Definicje
„Afiliant” oznacza każdą jednostkę, która bezpośrednio lub pośrednio kontroluje, jest kontrolowana przez lub znajduje się pod wspólną kontrolą z podmiotem w przedmiocie. „Kontrola”, dla celów tej definicji, oznacza bezpośrednie lub pośrednie posiadanie lub kontrolę nad więcej niż 50% głosów w podmiocie w przedmiocie.
„Umowa” oznacza Warunki korzystania z usługi oraz związane z nimi Zamówienie, które wspólnie regulują świadczenie i korzystanie z Usługi.
„CCPA” oznacza Ustawę o prywatności konsumentów Kalifornii z 2018 roku oraz wszelkie przepisy wydane na jej podstawie, w każdym przypadku, w miarę wprowadzania zmian od czasu do czasu.
„Standardowe Klauzule Umowne Kontrolera/Processor” oznaczają moduły „Kontroler do Procesora” (Moduł 2) Standardowych Klauzul Umownych dotyczących transferu danych osobowych do krajów trzecich zgodnie z RODO oraz Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 roku.
„Prawo ochrony danych” oznacza wszystkie przepisy prawa i regulacje właściwe dla poufności, prywatności, bezpieczeństwa lub przetwarzania danych osobowych w ramach Umowy, w tym, w stosownych przypadkach, RODO, CCPA i wszelkie inne przepisy prawa dotyczące prywatności, marketingu bezpośredniego lub ochrony danych. „Kontroler danych” oznacza podmiot, który samodzielnie lub wspólnie z innymi, określa cele i środki przetwarzania danych osobowych.
„Procesor danych” oznacza podmiot, który przetwarza dane osobowe w imieniu Kontrolera danych. „Podmiot danych” oznacza osobę, której dotyczą dane osobowe.
„Żądanie podmiotu danych” oznacza żądanie podmiotu danych w celu skorzystania z praw przysługujących tej osobie na podstawie przepisów o ochronie danych w odniesieniu do danych osobowych tej osoby, w tym, bez ograniczeń, prawa do dostępu, poprawiania, zmiany, transferu, uzyskania kopii, sprzeciwu wobec przetwarzania, zablokowania, usunięcia lub zrezygnowania ze sprzedaży takich danych osobowych. „EEA” oznacza Europejski Obszar Gospodarczy i Szwajcarię.
„RODO” oznacza (i) Rozporządzenie 2016/679 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (Ogólne rozporządzenie o ochronie danych); lub (ii) wyłącznie w odniesieniu do Zjednoczonego Królestwa, Ustawę o ochronie danych z 2018 roku.
„Dane osobowe” oznaczają wszelkie informacje, które identyfikują, odnoszą się do, opisują lub w rozsądny sposób mogą być skojarzone z określoną osobą fizyczną lub gospodarstwem domowym.
„Przetwarzanie” oznacza wszelkie operacje lub zestaw operacji, które są wykonywane na danych osobowych lub zestawach danych osobowych, niezależnie od tego, czy są wykonywane w sposób zautomatyzowany, takie jak zbieranie, rejestrowanie, organizowanie, strukturalizowanie, przechowywanie, dostosowywanie lub modyfikowanie, pobieranie, konsultacja, użycie, ujawnienie przez transmisję, rozpowszechnienie lub w inny sposób udostępnienie, wyrównywanie lub łączenie, ograniczenie, usunięcie lub zniszczenie.
„Standardowe Klauzule Umowne Procesora/Sub-Processora” oznaczają moduły „Procesor do Procesora” (Moduł 3) Standardowych Klauzul Umownych dotyczących transferu danych osobowych do krajów trzecich zgodnie z RODO oraz Decyzją Wykonawczą Komisji Europejskiej (UE) 2021/914 z 4 czerwca 2021 roku.
„Regulator” oznacza europejski organ ochrony danych lub inny organ regulacyjny, rządowy lub nadzorczy mający władzę nad całością lub częścią (a) świadczenia lub przyjmowania Usługi; (b) przetwarzania danych osobowych w związku z Usługą; lub (c) działalnością lub personelem SparkPost w związku z Usługą.
„Incydent bezpieczeństwa” oznacza wszelkie przypadkowe, nieautoryzowane lub niezgodne z prawem zniszczenie, utratę, zmianę, ujawnienie, dostęp lub zaszyfrowanie danych osobowych.
„Usługa” oznacza każdy produkt lub usługę świadczoną przez SparkPost Klientowi na podstawie Umowy.
„Standardowe Klauzule Umowne EEA” oznaczają (i) Standardowe Klauzule Umowne Kontrolera/Processor; lub (ii) Standardowe Klauzule Umowne Procesora/Sub-procesora, stosownie do przypadku, indywidualnie lub łącznie.
„Sub-procesor” oznacza podmiot, który przetwarza dane osobowe w imieniu podmiotu działającego jako Procesor lub Sub-procesor.
„Standardowe Klauzule Umowne Zjednoczonego Królestwa” oznaczają standardowe klauzule umowne dotyczące transferu danych osobowych do procesorów z siedzibą w krajach trzecich w formie określonej w Decyzji Komisji Europejskiej 2010/87/UE, mogącej być zmienianej, modyfikowanej lub uchylonej przez Komisję Europejską.
Relacja z umową
Strony zgadzają się, że ten DPA zastąpi wszelkie istniejące dodatkowe porozumienia dotyczące ochrony danych lub podobne umowy, które strony mogły wcześniej zawrzeć w związku z Usługami.
Ten DPA stosuje się tam i tylko w takim zakresie, w jakim SparkPost przetwarza Dane Osobowe, które podlegają przepisom o ochronie danych w trakcie świadczenia Usługi na podstawie Umowy.
Z wyjątkiem zmian wprowadzonych przez ten DPA, Umowa pozostaje niezmieniona i w pełnej mocy. W przypadku jakiegokolwiek konfliktu między warunkami tego DPA a warunkami Umowy, ten DPA będzie miał pierwszeństwo w zakresie tego konfliktu. W okolicznościach, w których SparkPost polega na standardowych klauzulach umownych EOG lub standardowych klauzulach umownych UK (łącznie „Standardowe Klauzule Umowne”), odpowiednie standardowe klauzule umowne będą miały pierwszeństwo w przypadku konfliktu z tym DPA.
Wszystkie roszczenia wniesione na podstawie lub w związku z tym DPA będą podlegać warunkom i zasadom, w tym między innymi wyłączeniom i ograniczeniom określonym w Umowie. Strony zgadzają się, że żadne ograniczenia odpowiedzialności określone w Umowie nie będą miały zastosowania wobec odpowiedzialności jakiejkolwiek strony wobec Podmiotów Danych na podstawie postanowień dotyczących beneficjentów osób trzecich Standardowych Klauzul Umownych, w zakresie w jakim ograniczenie tej odpowiedzialności jest zabronione przez przepisy o ochronie danych.
Ten DPA będzie regulowany i interpretowany zgodnie z przepisami prawa i jurysdykcji w Umowie, chyba że wymagają tego przepisy o ochronie danych. Ten DPA będzie obowiązywał tak długo, jak SparkPost przetwarza Dane Osobowe, niezależnie od wygaśnięcia lub rozwiązania Umowy. ROLE I ZAKRES PRZETWARZANIA.
Rola Stron.
Strony uznają i zgadzają się, że pomiędzy SparkPost a Klientem: W odniesieniu do Danych Osobowych jakiejkolwiek osoby uzyskującej i/lub korzystającej z Usługi za pośrednictwem Konta Klienta („Użytkownicy”), Klient jest Administratorem, a SparkPost jest Procesorem Danych Osobowych Użytkowników; a w odniesieniu do Danych Osobowych jakiejkolwiek osoby: (i) której adres e-mail znajduje się na liście odbiorców Klienta; (ii) której informacje są przechowywane lub zbierane za pośrednictwem Usługi, lub (ii) do której Użytkownicy wysyłają e-maile lub w inny sposób angażują się lub komunikują się za pośrednictwem Usługi (łącznie „Odbiorcy”), Klient jest Procesorem, a SparkPost jest Podwykonawcą Danych Osobowych Odbiorców.
Przetwarzanie Danych Osobowych przez Klienta.
Klient zgadza się, że będzie przestrzegał swoich zobowiązań wynikających z przepisów o ochronie danych w odniesieniu do swojego przetwarzania Danych Osobowych w związku z Usługą oraz w odniesieniu do wszelkich udokumentowanych instrukcji przetwarzania, które wydaje SparkPost.
Przetwarzanie Danych Osobowych przez SparkPost. Klient instruuje SparkPost, aby przetwarzał Dane Osobowe zgodnie z Umową (w tym, dla uniknięcia wątpliwości, w celu wykonania swoich innych zobowiązań i korzystania z przysługujących mu praw wynikających z Umowy) oraz aby przestrzegał innych rozsądnych instrukcji Klienta (np. za pośrednictwem e-maila), jeśli te instrukcje są zgodne z Umową. SparkPost powinien: (i) Przetwarzać Dane Osobowe tylko na rzecz Klienta i zgodnie z udokumentowanymi, zgodnymi z prawem instrukcjami Klienta oraz traktować Dane Osobowe jako poufne informacje, podlegające postanowieniom o poufności w Umowie; (ii) natychmiast powiadomić Klienta na piśmie, jeśli w rozsądnej opinii SparkPost uzna, że jakakolwiek instrukcja wydana przez Klienta narusza przepisy o ochronie danych; (iii) wykonywać Usługę i przetwarzać Dane Osobowe zgodnie z przepisami o ochronie danych i Umową; (iv) niezwłocznie powiadomić Klienta o jakiejkolwiek niezgodności z tym DPA. Strony zgadzają się, że ten DPA i Umowa określają pełne i ostateczne instrukcje Klienta dla SparkPost w zakresie przetwarzania Danych Osobowych, a przetwarzanie poza zakresem tych instrukcji (jeśli jakiekolwiek) będzie wymagać wcześniejszej pisemnej zgody Klienta i SparkPost.
Szczegóły Przetwarzania Danych.
Przedmiot: Przedmiot przetwarzania danych na podstawie tego DPA to Dane Osobowe.Czas trwania: W odniesieniu do SparkPost i Klienta, czas trwania przetwarzania danych na podstawie tego DPA wynosi do rozwiązania Umowy zgodnie z jej warunkami.
Cel: Celem przetwarzania danych na podstawie tego DPA jest świadczenie Usługi Klientowi oraz wykonanie obowiązków SparkPost na podstawie Umowy (w tym tego DPA) lub w inny sposób uzgodnione przez strony.
Charakter przetwarzania: SparkPost świadczy usługę dostarczania e-maili, analityki i inteligencji oraz inne pokrewne usługi, opisane w Umowie.Kategorie podmiotów danych: Użytkownicy i Odbiorcy.
Typy Danych Osobowych:
Klient i Użytkownicy: dane identyfikacyjne i kontaktowe (imię, nazwisko, tytuł, dane kontaktowe, nazwa użytkownika); informacje finansowe (szczegóły konta, informacje o płatnościach); szczegóły zatrudnienia (pracodawca, tytuł zawodowy, lokalizacja geograficzna, obszar odpowiedzialności);
Odbiorcy: dane identyfikacyjne i kontaktowe (imię, adres e-mail i inne dane demograficzne oraz segmentacyjne dostarczone przez Klienta); informacje IT (adresy IP, dane dotyczące użycia, dane cookies, dane dotyczące nawigacji online, dane lokalizacyjne, dane przeglądarki).
Ustawa o ochronie prywatności konsumentów w Kalifornii.
SparkPost będzie przestrzegać CCPA i traktować wszystkie Dane Osobowe podlegające CCPA („Dane Osobowe CCPA”) zgodnie z przepisami CCPA. W odniesieniu do Danych Osobowych CCPA, SparkPost jest dostawcą usług w rozumieniu CCPA. SparkPost nie będzie (a) sprzedawać Danych Osobowych CCPA; (b) przechowywać, używać ani ujawniać żadnych Danych Osobowych CCPA w żadnym celu innym niż w celu świadczenia Usług, w tym przechowywania, używania czy ujawniania Danych Osobowych CCPA w celu komercyjnym, innym niż świadczenie Usług; ani (c) przechowywać, używać czy ujawniać Danych Osobowych CCPA poza bezpośrednim stosunkiem biznesowym między SparkPost a Klientem. Strony uznają i zgadzają się, że przetwarzanie Danych Osobowych CCPA autoryzowane przez instrukcje Klienta opisane w Umowie i tym DPA jest integralną częścią i obejmowane przez świadczenie Usług przez SparkPost oraz bezpośredni stosunek biznesowy między stronami. Strony uznają i zgadzają się, że dostęp SparkPost do Danych Klienta nie stanowi części wynagrodzenia wymienianego przez strony w odniesieniu do Umowy. W zakresie, w jakim jakiekolwiek dane dotyczące użycia są uważane za Dane Osobowe CCPA, SparkPost jest przedsiębiorstwem w związku z tymi danymi i będzie przetwarzać te dane zgodnie z Polityką Prywatności, która jest dostępna pod adresem https://www.sparkpost.com/policies/privacy/. Terminy „przedsiębiorstwo”, „cel komercyjny”, „dostawca usług” i „sprzedaż”, jak użyte w tej sekcji, mają znaczenie nadane im w CCPA. SparkPost i Klient potwierdzają, że rozumieją i będą przestrzegać zobowiązań i ograniczeń określonych w tym DPA i Umowie, jak wymagane przez CCPA.
Uzasadnione interesy.
Klient uznaje, że SparkPost ma prawo do używania i ujawniania danych związanych z działaniem, wsparciem i/lub korzystaniem z Usługi w swoich uzasadnionych celach biznesowych, takich jak fakturowanie, zarządzanie kontem, wsparcie techniczne oraz rozwój produktów. W zakresie, w jakim jakiekolwiek takie dane są uważane za Dane Osobowe zgodnie z przepisami o ochronie danych, SparkPost jest Administratorem Danych takich danych i odpowiednio będzie je przetwarzać zgodnie z Polityką Prywatności SparkPost i przepisami o ochronie danych.
Technologie śledzenia.
Klient uznaje, że w związku z wykonywaniem Usługi, SparkPost korzysta z sygnałów internetowych, pikseli śledzących i podobnych technologii śledzenia („Technologie śledzenia”). Klient będzie utrzymywał odpowiednią podstawę prawną przetwarzania, jak wymaga prawo o ochronie danych, aby umożliwić SparkPost legalne wdrażanie Technologii Śledzenia na urządzeniach Odbiorców i zbieranie danych zgodnie z opisem w Polityce Prywatności SparkPost.
Podwykonawstwo
Autoryzowani podwykonawcy. Klient zgadza się, że SparkPost może zatrudniać podwykonawców do przetwarzania danych klienta w imieniu Klienta. Podwykonawcy zatrudnieni przez SparkPost i autoryzowani przez Klienta na dzień rozpoczęcia obowiązywania są wymienieni pod adresem: https://www.sparkpost.com/policies/subprocessors. Obowiązki podwykonawcy. SparkPost będzie: (i) zawierać pisemną umowę z podwykonawcą, nakładającą warunki ochrony danych, które wymagają od podwykonawcy ochrony danych Klienta na poziomie wymaganym przez przepisy o ochronie danych; oraz (ii) pozostawać odpowiedzialnym za przestrzeganie obowiązków wynikających z tej DPA oraz za wszelkie działania lub zaniechania podwykonawcy, które powodują, że SparkPost narusza jakiekolwiek swoje obowiązki wynikające z tej DPA.
Powiadomienie. SparkPost będzie (i) dostarczać aktualną listę podwykonawców, których powołał, na pisemną prośbę Klienta; oraz (ii) powiadomi Klienta (co wystarczy w formie maila), jeśli doda podwykonawcę co najmniej dziesięć (10) dni przed wprowadzeniem takich zmian.
Sprzeciw. Klient może sprzeciwić się na piśmie powołaniu przez SparkPost nowego podwykonawcy w ciągu pięciu (5) dni od takiego powiadomienia, pod warunkiem, że sprzeciw ten oparty jest na rozsądnych podstawach dotyczących ochrony danych. W takim przypadku strony będą omawiać takie obawy w dobrej wierze w celu osiągnięcia rozwiązania. Jeśli rozwiązanie nie zostanie osiągnięte w rozsądnym czasie, Klient może wypowiedzieć odpowiednie zamówienie/nie tylko w odniesieniu do konkretnej usługi, która nie może być świadczona przez SparkPost bez użycia nowego podwykonawcy, przeciwko któremu zgłoszono sprzeciw, poprzez dostarczenie pisemnego powiadomienia do SparkPost.
Bezpieczeństwo
Polityka bezpieczeństwa.
Biorąc pod uwagę stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko o różnym prawdopodobieństwie i powadze dla praw i wolności osób fizycznych, SparkPost wdroży i utrzyma odpowiednie techniczne i organizacyjne środki zabezpieczające, aby chronić dane osobowe przed incydentami bezpieczeństwa oraz aby zachować bezpieczeństwo, integralność, dostępność, odporność i poufność danych osobowych oraz systemów SparkPost używanych do przetwarzania danych osobowych.
Aktualizacje środków bezpieczeństwa.
Klient jest odpowiedzialny za przeglądanie informacji udostępnianych przez SparkPost dotyczących bezpieczeństwa danych oraz podejmowanie niezależnej decyzji, czy takie informacje odpowiadają wymaganiom Klienta i jego obowiązkom prawnym zgodnie z ustawami o ochronie danych. Klient przyjmuje do wiadomości, że polityka bezpieczeństwa podlega postępom technicznym i rozwojowi oraz że SparkPost może aktualizować lub modyfikować politykę bezpieczeństwa od czasu do czasu, pod warunkiem że takie aktualizacje i modyfikacje nie prowadzą do pogorszenia ogólnego bezpieczeństwa usługi zakupionej przez Klienta.
Obowiązki Klienta.
Niezależnie od powyższego, Klient zgadza się, że jest odpowiedzialny za zabezpieczenie swoich danych uwierzytelniających do konta znajdujących się w posiadaniu lub pod kontrolą Klienta oraz za chronienie bezpieczeństwa danych osobowych w trakcie ich przesyłania do i z usługi, w zakresie, w jakim dane osobowe znajdują się pod kontrolą Klienta.
Personel SparkPost.
SparkPost zapewni, że jego personel zaangażowany w przetwarzanie danych osobowych jest poinformowany o poufnym charakterze danych osobowych, otrzymał odpowiednie szkolenie na temat swoich obowiązków oraz podpisał pisemne umowy o poufności dotyczące danych osobowych, które przetrwają rozwiązanie umowy z personelem.
Raporty audytowe i audyty
Raport audytu.
SparkPost jest regularnie audytowany pod kątem kontrol SOC 2 typu II (lub równoważnych) przez niezależnych audytorów trzecich. Na żądanie SparkPost dostarczy klientowi podsumowanie swoich raportów audytowych („Raport audytu”), aby klient mógł zweryfikować zgodność SparkPost z normami audytowymi, według których był oceniany, oraz niniejszą umową DPA. Takie raporty audytowe, a także wszelkie konkluzje lub ustalenia w nich zawarte, są poufnymi informacjami SparkPost.
Audyt.
SparkPost udostępni klientowi wszystkie informacje niezbędne do wykazania zgodności z obowiązkami procesorów danych określonymi w artykule 28 RODO („Wymagania artykułu 28”). W tym celu SparkPost dostarczy pisemne odpowiedzi na wszystkie uzasadnione prośby o informacje złożone przez klienta, w tym odpowiedzi na pytania dotyczące bezpieczeństwa informacji i kwestionariusze audytowe, które są niezbędne do potwierdzenia zgodności SparkPost z wymaganiami artykułu 28, pod warunkiem, że klient nie korzysta z tego prawa częściej niż raz w roku. Takie odpowiedzi są poufnymi informacjami SparkPost. Jeśli SparkPost nie będzie w stanie dostarczyć wszystkich informacji niezbędnych do wykazania zgodności z wymaganiami artykułu 28 za pomocą pisemnych odpowiedzi, wówczas SparkPost umożliwi i przyczyni się do audytów, w tym inspekcji, przeprowadzanych przez klienta lub innego audytora reprezentującego klienta. Wszystkie informacje uzyskane od SparkPost podczas takiego audytu lub inspekcji są poufnymi informacjami SparkPost.
Przelewy międzynarodowe
Lokalizacje przetwarzania.
SparkPost może przenieść i przetwarzać Dane Klienta w dowolnym miejscu na świecie, gdzie SparkPost, jego filie lub jego podwykonawcy utrzymują operacje przetwarzania danych. SparkPost w każdym przypadku zapewni odpowiedni poziom ochrony dla przetwarzanych Danych Klienta, zgodnie z wymaganiami prawa ochrony danych.
Standardowe Klauzule Umowne.
W zakresie, w jakim SparkPost przetwarza jakiekolwiek Dane Osobowe na mocy Umowy, które wymagają mechanizmu transferu w celu legalnego przeniesienia Danych Osobowych z EOG lub Zjednoczonego Królestwa („Wielka Brytania”) do innego kraju lub terytorium, które nie zostało określone jako zapewniające odpowiedni poziom ochrony praw i wolności Podmiotów Danych przez Komisję Europejską (lub, konkretnie w odniesieniu do Wielkiej Brytanii, jak może być określone przez odpowiedni organ regulacyjny Zjednoczonego Królestwa)(„Ograniczony Transfer”), strony zgadzają się na następujące:
Standardowe Klauzule Umowne EOG.
Strony zgadzają się przestrzegać Standardowych Klauzul Umownych EOG dla każdego Ograniczonego Transferu z EOG („Ograniczony Transfer EOG”). Gdy Klient jest Administratorem, a SparkPost jest Procesorem, jak opisano w punkcie 3.1, do każdego takiego Ograniczonego Transferu EOG będą miały zastosowanie standardowe klauzule umowne dla Administratora/Procesora. Gdy Klient jest Procesorem, a SparkPost jest Podwykonawcą, jak opisano w punkcie 3.1, do każdego takiego Ograniczonego Transferu EOG będą miały zastosowanie standardowe klauzule umowne dla Procesora/Podwykonawcy. SparkPost będzie uważany za importera danych, a Klient za eksportera danych w kontekście Standardowych Klauzul Umownych EOG. Podpisanie tego DPA przez każdą stronę będzie traktowane jako podpisanie odpowiednich Standardowych Klauzul Umownych EOG, które będą uważane za włączone do tego DPA. Szczegóły wymagane na podstawie Załącznika 1 i Załącznika 2 do Standardowych Klauzul Umownych EOG są dostępne w Harmonogramie 1 i Harmonogramie 2 tego DPA. W przypadku jakiejkolwiek sprzeczności lub niespójności pomiędzy tym DPA a Standardowymi Klauzulami Umownymi EOG, Standardowe Klauzule Umowne EOG będą miały pierwszeństwo wyłącznie w odniesieniu do Ograniczonych Transferów EOG. Gdy Standardowe Klauzule Umowne EOG wymagają, aby strony wybierały pomiędzy opcjonalnymi klauzulami i wprowadzały informacje, strony uczyniły to zgodnie z poniższym zapisem:
Opcjonalna Klauzula 7 „Klauzula dokująca” nie zostanie przyjęta.
Dla Klauzuli 9 „Wykorzystanie podwykonawców” strony wybierają następującą opcję: „Opcja 2 Ogólna pisemna zgoda: importer danych ma ogólną zgodę kontrolera na zaangażowanie podwykonawców z uzgodnionej listy. Importer danych poinformuje kontrolera na piśmie o wszelkich planowanych zmianach tej listy poprzez dodanie lub zastąpienie podwykonawców co najmniej 30 dni kalendarzowych z wyprzedzeniem, co da kontrolerowi wystarczająco dużo czasu, aby móc sprzeciwić się takim zmianom przed zaangażowaniem podwykonawców. Importer danych dostarczy kontrolerowi informacji niezbędnych do umożliwienia mu wykonania jego prawa do sprzeciwu. Importer danych poinformuje eksportera danych o zaangażowaniu podwykonawców.
„Dla Klauzuli 11 (a) „Rekompensata”, strony nie przyjmują opcji.
Dla Klauzuli 17 „Prawo właściwe”, strony wybierają następującą opcję: „Opcja 1. Niniejsze Klauzule będą podlegać prawu jednego z Państw Członkowskich UE, pod warunkiem, że prawo to pozwala na prawa beneficjenta dla osób trzecich. Strony zgadzają się, że będzie to prawo Holandii.
„Dla Klauzuli 18 (b) „Wybór forum i jurysdykcji”: „Strony zgadzają się, że będą to sądy Holandii.
„Standardowe Klauzule Umowne Wielkiej Brytanii. Strony zgadzają się przestrzegać Standardowych Klauzul Umownych Wielkiej Brytanii dla każdego Ograniczonego Transferu z Wielkiej Brytanii („Ograniczony Transfer Wielkiej Brytanii”). SparkPost będzie uważany za importera danych, a Klient za eksportera danych w kontekście Standardowych Klauzul Umownych Wielkiej Brytanii. Podpisanie tego DPA przez każdą stronę będzie traktowane jako podpisanie Standardowych Klauzul Umownych Wielkiej Brytanii, które będą uważane za włączone do tego DPA. Szczegóły wymagane na podstawie Załącznika 1 i Załącznika 2 do Standardowych Klauzul Umownych Wielkiej Brytanii są dostępne w Harmonogramie 1 i Harmonogramie 2 tego DPA. W przypadku jakiejkolwiek sprzeczności lub niespójności pomiędzy tym DPA a Standardowymi Klauzulami Umownymi Wielkiej Brytanii, Standardowe Klauzule Umowne Wielkiej Brytanii będą miały pierwszeństwo wyłącznie w odniesieniu do Ograniczonych Transferów Wielkiej Brytanii.
Współpraca.
Jeśli SparkPost nie jest w stanie spełnić tego wymagania lub jeśli odpowiednie władze lub sądy przestaną uznawać Standardowe Klauzule Umowne EOG lub Standardowe Klauzule Umowne Wielkiej Brytanii, w zależności od przypadku, za zapewniające odpowiedni poziom ochrony, SparkPost powiadomi Klienta i rozsądnie współpracuje z Klientem, aby zapewnić, że jakiekolwiek przetwarzanie Danych Osobowych jest zgodne z prawem ochrony danych oraz wszelkimi ograniczeniami transferowymi tam zawartymi, w tym poprzez osiągnięcie alternatywnych certyfikacji, w zależności od potrzeb i konieczności.
Alternatywny mechanizm transferu.
Strony zgadzają się, że rozwiązanie eksportowe danych określone w punkcie 7.2 (Standardowe Klauzule Umowne) nie będzie miało zastosowania, jeśli i w zakresie, w jakim SparkPost przyjmuje lub utrzymuje alternatywne rozwiązanie eksportu danych dla legalnego transferu Danych Osobowych (uznanego zgodnie z prawem ochrony danych) poza EOG i/lub Wielką Brytanię, które zostało zatwierdzone na piśmie przez Klienta przed jakimkolwiek transferem lub innym przetwarzaniem Danych Osobowych („Alternatywny Mechanizm Transferu”), w którym to przypadku Alternatywny Mechanizm Transferu będzie miał zastosowanie zamiast (ale tylko w zakresie, w jakim taki Alternatywny Mechanizm Transferu obejmuje terytoria, do których Danych Osobowe są transferowane).
Dodatkowe zabezpieczenia
Poufność przetwarzania.
SparkPost zapewni, że każda osoba uprawniona przez SparkPost do przetwarzania Danych Osobowych (w tym jego pracownicy, agenci i podwykonawcy) będzie miała odpowiedni obowiązek poufności (czy to w ramach umowy, czy obowiązku ustawowego).
Odpowiedź i powiadomienie o incydentach bezpieczeństwa.
Po uzyskaniu informacji o incydencie bezpieczeństwa, SparkPost powiadomi Klienta bez zbędnej zwłoki i dostarczy na czas informacje dotyczące incydentu bezpieczeństwa, gdy tylko będą znane lub na uzasadnione żądanie Klienta.
Zwrócenie lub usunięcie danych
Po zakończeniu lub wygaśnięciu Umowy, SparkPost usunie lub zwróci (według wyboru Klienta) Klientowi wszystkie Dane Osobowe (w tym kopie) w swoim posiadaniu lub kontroli, z wyjątkiem przypadku, gdy wymóg ten nie będzie obowiązywał w zakresie, w jakim SparkPost jest zobowiązany przez obowiązujące prawo do zachowania części lub wszystkich Danych Osobowych, lub do Danych Osobowych, które archiwizował w systemach kopii zapasowych, które SparkPost bezpiecznie zidentyfikuje i ochroni przed jakimkolwiek dalszym przetwarzaniem, chyba że w zakresie wymaganym przez obowiązujące prawo.WSPÓŁPRACA.
Odszkodowanie.
Obie strony zgadzają się bronić i indemnizować się nawzajem (w tym swoich dyrektorów, oficerów, pracowników i agentów) przed wszelkimi roszczeniami osób trzecich (w tym ze strony organów rządowych i Odbiorców) oraz związanymi z nimi opłatami i wydatkami (w tym rozsądnymi opłatami prawnymi) wynikającymi z rzeczywistego lub rzekomego naruszenia tego DPA.
Wnioski Osoby, której Dane dotyczą.
Usługa zapewnia Klientowi szereg kontroli, które Klient może wykorzystać do odzyskiwania, poprawiania, usuwania lub ograniczania Danych Klienta, które Klient może wykorzystać do pomocy w związku z jego obowiązkami wynikającymi z Ustaw Ochrony Danych, w tym na przykład swoimi obowiązkami związanymi z odpowiadaniem na Wnioski Osoby, której Dane dotyczą. W zakresie, w jakim Klient nie jest w stanie samodzielnie uzyskać dostępu do odpowiednich Danych Klienta w ramach Usługi, SparkPost zapewni odpowiednią współpracę, aby pomóc Klientowi w terminowej odpowiedzi na wszelkie Wnioski Osoby, której Dane dotyczą, związane z przetwarzaniem Danych Osobowych na mocy Umowy, w ramach wszelkich terminów nałożonych przez Ustawy Ochrony Danych. W przypadku, gdy takie żądanie zostanie bezpośrednio skierowane do SparkPost, SparkPost niezwłocznie powiadomi Klienta na piśmie o takim żądaniu.
Rejestry przetwarzania.
Na żądanie Klienta, SparkPost udostępni w rozsądnym czasie takie informacje, które są wymagane przez Klienta, aby wykazać zgodność SparkPost z jego obowiązkami wynikającymi z Ustaw Ochrony Danych oraz z niniejszym DPA.
Żądania rządowe.
Jeśli agencja ścigania wysyła SparkPost żądanie dotyczące Danych Osobowych (na przykład poprzez wezwanie sądowe lub nakaz sądowy), SparkPost postara się skierować agencję ścigania, aby poprosiła o te dane bezpośrednio od Klienta. W ramach tego wysiłku SparkPost może przekazać podstawowe dane kontaktowe Klienta agencji ścigania. Jeśli będzie zmuszony do ujawnienia Danych Klienta agencji ścigania, wtedy SparkPost powiadomi Klienta o żądaniu z odpowiednim wyprzedzeniem, aby umożliwić Klientowi ubieganie się o nakaz ochronny lub inne odpowiednie środki, chyba że SparkPost będzie prawnie zobowiązany do tego, by tego nie czynić.
Oceny wpływu na ochronę danych.
W zakresie, w jakim SparkPost jest zobowiązany na mocy obowiązujących Ustaw Ochrony Danych, SparkPost udostępni informacje żądane w rozsądnych granicach dotyczące Usługi, aby umożliwić Klientowi przeprowadzenie ocen wpływu na ochronę danych lub wcześniejszych konsultacji z organami ochrony danych, jak wymagają tego przepisy prawa lub zgodnie z Artykułami 35 i 36 lub RODO, odpowiednio.
***
HARMONOGRAM 1
ZAŁĄCZNIK I DO STANDARDOWYCH KLauzul UMOWY EOG
W stosownych przypadkach, ten Harmonogram 1 będzie służył jako Załącznik I do Standardowych Klauzul Umowy EOG.
ZAŁĄCZNIK 1, CZĘŚĆ A: LISTA STRON
Eksporter Danych: Klient
Dane kontaktowe eksportera danych: Adres podany w bloku podpisu Klienta powyżej, lub adres e-mail właściciela konta Klienta, lub na adres e-mail, na który Klient wybiera otrzymywanie powiadomień na mocy Umowy.
Rola eksportera danych: Rola eksportera danych została określona w Sekcji 3 DPA.
Podpis & Data: Eksporter danych jest uznawany za podpisującego Standardowe Klauzule Umowy EOG zawarte tutaj od Daty Rozpoczęcia DPA.
Importer Danych: Message Systems, Inc. (działający jako SparkPost)
Dane kontaktowe importera danych: Inspektor Ochrony Danych SparkPost – privacy@sparkpost.com
Rola importera danych: Rola importera danych została określona w Sekcji 3 DPA.
Podpis & Data: Importer danych jest uznawany za podpisującego Standardowe Klauzule Umowy EOG zawarte tutaj od Daty Rozpoczęcia DPA.
ZAŁĄCZNIK 1, CZĘŚĆ B: OPIS TRANSFERU
Kategorie podmiotów danych, których dane osobowe są transferowane, są opisane w Sekcji 3.4 DPA. Kategorie danych osobowych transferowanych są opisane w Sekcji 3.4 DPA. Wrażliwe dane transferowane (jeśli dotyczy) oraz zastosowane ograniczenia lub środki ochrony, które w pełni uwzględniają charakter danych i związane z nimi ryzyka, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla pracowników, którzy przeszli specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dalszych transferów lub dodatkowe środki bezpieczeństwa:
Brak. Częstotliwość transferu (np. czy dane są transferowane jednorazowo czy na ciągłej podstawie): Dane są transferowane na ciągłej podstawie przez czas trwania Umowy.
Charakter przetwarzania jest opisany w Sekcji 3.4 DPA. Cel(e) transferu danych i dalszego przetwarzania są opisane w Sekcji 3.4 DPA.
Okres, przez który dane osobowe będą przechowywane lub, jeśli to nie jest możliwe, kryteria używane do określenia tego okresu:
Przez czas trwania Umowy lub dłużej, jeśli wymaga tego obowiązujące prawo i jak dozwolone przez Umowę.
Dla transferów do podprocesorów, określ również przedmiot, charakter i czas trwania przetwarzania:
Dla transferów do podprocesorów, przedmiot i charakter przetwarzania są określone na https://www.sparkpost.com/policies/subprocessors/ a czas trwania jest określony na czas trwania Umowy.
ZAŁĄCZNIK 1, CZĘŚĆ C: KOMPETENTNY ORGAN NADZORUJĄCY
Holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens) będzie kompetentnym organem nadzorującym.
***
ZAŁĄCZNIK II DO STANDARDOWYCH KLAUZULI UMOWNYCH EOG
W miarę możliwości, ten Załącznik 2 będzie służył jako Załącznik II do Standardowych Klauzul Umownych. Poniżej przedstawiono więcej informacji na temat technicznych i organizacyjnych środków bezpieczeństwa SparkPost.
Więcej informacji na temat technicznych i organizacyjnych środków bezpieczeństwa SparkPost w celu ochrony Danych Klienta, podsumowanie dostępne jest pod adresem: https://www.sparkpost.com/policies/security/ („Polityka bezpieczeństwa”).
Środki techniczne i organizacyjne bezpieczeństwa:
Środki pseudonimizacji i szyfrowania danych osobowych: SparkPost przechowuje dane klientów w zaszyfrowanym formacie w spoczynku i w tranzycie za pomocą SSL, HTTPS oraz oportunistycznego TLS, jeśli jest to stosowne.
Środki zapewniające ciągłość poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania: SparkPost zgadza się na zobowiązania dotyczące poufności w swoich umowach z klientami. SparkPost również zawiera umowy, które zawierają substancjalnie podobne postanowienia dotyczące poufności z pracownikami, wykonawcami, dostawcami i podprzetwórcami SparkPost. SparkPost utrzymuje wysoką dostępność i odporność systemów i usług poprzez wiele stref dostępności centrów danych, niezależnych od awarii. Dodatkowo, SparkPost wdrożył i utrzymuje plan ciągłości działania i odzyskiwania po katastrofie, aby zapewnić zachowanie danych klientów i kontynuację świadczenia usług.
Środki zapewniające możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego: Dane klientów są hostowane przez Amazon Web Services („AWS”), które zapewnia redundancję w wielu strefach dostępności. Jak wspomniano powyżej, SparkPost również wdrożył i utrzymuje plan ciągłości działania i odzyskiwania po katastrofie.
Procesy regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: SparkPost utrzymuje pisany i kompleksowy program bezpieczeństwa informacji, który obejmuje odpowiednie środki kontroli fizycznej, technicznej i administracyjnej mające na celu ochronę bezpieczeństwa, integralności, poufności oraz dostępności danych klientów, w tym, bez ograniczeń, ochronę danych klientów przed nieautoryzowanym lub niezgodnym z prawem pozyskaniem, dostępem, użyciem, ujawnieniem lub zniszczeniem. Ten program bezpieczeństwa został zaprojektowany z uwzględnieniem rodzaju usług świadczonych przez SparkPost oraz wielkości i złożoności działalności SparkPost. Oprócz naszego wewnętrznego zespołu ds. bezpieczeństwa, który nieustannie monitoruje nasze bezpieczeństwo wewnętrznie, SparkPost korzysta z usług strony trzeciej do przeprowadzania wewnętrznych i zewnętrznych testów podatności oraz testów penetracyjnych w celu weryfikacji pozycji obronnej na zewnątrz i wewnątrz regularnie.
Środki identyfikacji i autoryzacji użytkownika: Pracownicy SparkPost są zobowiązani do korzystania z unikalnych poświadczeń dostępu oraz haseł do autoryzacji. SparkPost stosuje zasady minimalnego dostępu przy przyznawaniu dostępu do systemu, co uwzględnia funkcję, rolę i odpowiedzialności każdego pracownika przy określaniu odpowiedniego poziomu i czasu trwania dostępu. Dostęp wymaga zatwierdzenia przed przyznaniem, a dostęp jest szybko usuwany po zmianie roli lub rozwiązaniu umowy.
Środki ochrony danych podczas transmisji: Dane klientów są szyfrowane podczas przesyłania między Klientem a usługami SparkPost za pomocą HTTPS. Dane klientów są szyfrowane podczas przesyłania między SparkPost a Odbiorcą z wykorzystaniem oportunistycznego TLS. Środki ochrony danych podczas przechowywania: Dane klientów są przechowywane w zaszyfrowanej formie za pomocą standardu szyfrowania AES.
Środki zapewniające fizyczne bezpieczeństwo lokalizacji, w których przetwarzane są dane osobowe: Siedziba i biura SparkPost mają (i) monitoring fizyczny i nadzór; (ii) kontrolę dostępu, aby ograniczyć fizyczny dostęp; oraz (iii) dzienniki gości. Wszyscy wykonawcy i goście są zobowiązani do rejestrowania swojego wejścia i wyjścia z biur. Usługi działają na AWS i są chronione przez fizyczne, techniczne, organizacyjne i administracyjne zabezpieczenia Amazon. Szczegółowe informacje na temat bezpieczeństwa AWS są dostępne pod adresem https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/ oraz https://aws.amazon.com/compliance/iso-27001-faqs/. W przypadku raportów AWS SOC, proszę odwiedzić https://aws.amazon.com/compliance/soc-faqs/.
Środki zapewniające rejestrowanie zdarzeń: Dzienniki aktywności infrastruktury produkcyjnej SparkPost są centralnie zbierane i zabezpieczane w celu zapobiegania manipulacjom, a także monitorowane pod kątem anomalii przez przeszkolony zespół ds. bezpieczeństwa.
Środki zapewniające konfigurację systemów, w tym konfigurację domyślną: SparkPost ocenia zmiany w swojej platformie, aplikacjach oraz infrastrukturze produkcyjnej w sposób minimalizujący ryzyko, a takie zmiany są wdrażane tylko zgodnie z Polityką Bezpieczeństwa. SparkPost wykonuje wiele działań związanych z bezpieczeństwem dla usług w różnych fazach cyklu życia tworzenia produktu, od tworzenia dokumentacji wymagań po projektowanie produktu, aż po etap wprowadzenia na rynek. Działania te obejmują (i) wewnętrzne przeglądy bezpieczeństwa przed wdrożeniem nowych usług; (ii) coroczne testy penetracyjne przeprowadzane przez niezależne strony trzecie; oraz (iii) analizę zagrożeń dla nowych usług w celu wykrycia wszelkich potencjalnych zagrożeń bezpieczeństwa i luk. SparkPost przestrzega procesu zarządzania zmianami, aby zarządzać zmianami w środowisku produkcyjnym dla usług, w tym zmianami w oprogramowaniu, aplikacjach i systemach podstawowych. Monitorowanie jest wprowadzone, aby informować zespół ds. bezpieczeństwa o zmianach dokonanych w krytycznej infrastrukturze i usługach, które nie przestrzegają procesu zarządzania zmianami.
Środki związane z wewnętrznym zarządzaniem IT i bezpieczeństwem IT: SparkPost utrzymuje program oceny ryzyka bezpieczeństwa, który obejmuje administracyjne, organizacyjne, techniczne oraz fizyczne zabezpieczenia, które są rozsądnie zaprojektowane w celu ochrony usług i poufności, integralności oraz dostępności danych klientów. Program bezpieczeństwa SparkPost został zaprojektowany z uwzględnieniem charakteru usług oraz wielkości i złożoności działalności SparkPost. SparkPost ma dedykowany zespół ds. bezpieczeństwa, który zarządza programem bezpieczeństwa informacji SparkPost oraz ułatwia i wspiera niezależne audyty i oceny przeprowadzane przez strony trzecie. Ramy bezpieczeństwa SparkPost opierają się na potwierdzeniu SOC2 Type II i obejmują następujące kryteria usług zaufania: bezpieczeństwo, dostępność, poufność i prywatność. Bezpieczeństwo jest zarządzane na najwyższych poziomach firmy, a wiceprezydent ds. zgodności i bezpieczeństwa IT regularnie spotyka się z kierownictwem wyższego szczebla, aby omawiać problemy i koordynować inicjatywy dotyczące bezpieczeństwa i IT w całej firmie. Polityki i standardy bezpieczeństwa informacji są przeglądane i zatwierdzane przez kierownictwo przynajmniej raz w roku i są udostępniane wszystkim odpowiednim pracownikom SparkPost w celu ich odniesienia.
Środki związane z certyfikacją/pewnością procesów i produktów: SparkPost przeprowadza różne audyty przez strony trzecie, aby potwierdzić różne ramy, w tym SOC 2 Type II oraz regularne testy podatności i penetracji aplikacji. Środki zapewniające minimalizację danych: SparkPost nie przechowuje treści wiadomości e-mail po jej dostarczeniu do Odbiorcy lub po tym, jak została odesłana lub w inny sposób odrzucona przez dostawcę skrzynki pocztowej, co zazwyczaj ma miejsce w ciągu kilku sekund. W przypadku odrzucenia lub niepowodzenia, SparkPost zachowa treść wiadomości przez ograniczony czas, aby umożliwić ponowne przesłanie wiadomości e-mail. Jeśli przesyłka nadal nie powiedzie się, treść wiadomości jest trwale usuwana. SparkPost przechowuje dane osobowe Odbiorcy w surowej formie przez ograniczony czas po przesłaniu wiadomości e-mail do Odbiorcy. Po początkowym okresie przechowywania, dane osobowe są pseudonimizowane za pomocą jednego sposobu haszowania i są przechowywane tylko w pseudonimizowanej formie. Więcej informacji na temat tego procesu można znaleźć w naszych FAQ dotyczących danych, które są dostępne pod adresem: https://www.sparkpost.com/policies/data-faq/. Dodatkowo, SparkPost wprowadził funkcjonalność samoobsługi w usługach, która umożliwia klientom usuwanie niektórych danych klientów, takich jak adresy e-mail Odbiorcy i związane z nimi zdarzenia wiadomości, na żądanie, a dokumentacja tej funkcjonalności jest dostępna pod adresem: https://developers.sparkpost.com/api/data-privacy/.
Środki zapewniające odpowiedzialność: SparkPost przyjął środki zapewniające odpowiedzialność, w tym przeprowadzanie regularnych audytów przez strony trzecie, aby zapewnić zgodność z naszymi standardami prywatności i bezpieczeństwa. SparkPost wdraża również polityki ochrony danych zgodnie z obowiązującym prawem i publikuje przegląd Polityki Bezpieczeństwa (połączonej powyżej). SparkPost powołał Inspektora Ochrony Danych i utrzymuje dokumentację swoich działań przetwarzania, w tym rejestrowanie i zgłaszanie incydentów bezpieczeństwa dotyczących danych osobowych, gdzie ma to zastosowanie.
Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Klienci mają bezpośrednie relacje ze swoimi Odbiorcami i są odpowiedzialni za odpowiadanie na prośby od swoich użytkowników końcowych, którzy chcą skorzystać ze swoich praw na podstawie przepisów o ochronie danych. SparkPost wprowadził funkcjonalność samoobsługi w usługach, która umożliwia klientom usuwanie niektórych danych klientów, takich jak adresy e-mail Odbiorców i związane z nimi zdarzenia wiadomości na żądanie, a dokumentacja tej funkcjonalności jest dostępna pod adresem: https://developers.sparkpost.com/api/data-privacy/. Dodatkowo, SparkPost wprowadził funkcjonalność samoobsługi do tłumienia przyszłych wiadomości e-mail do Odbiorców (tj. rezygnacja z subskrypcji), a dokumentacja tej funkcjonalności jest dostępna pod adresem https://developers.sparkpost.com/api/suppression-list/. W przypadku, gdy Klient nie jest w stanie samodzielnie uzyskać dostępu do odpowiednich danych klientów w ramach usługi, SparkPost zapewni rozsądne wsparcie, aby pomóc Klientowi szybko odpowiedzieć na wszelkie prośby osób, których dane dotyczą, związane z przetwarzaniem danych osobowych w ramach Umowy w dowolnych terminach nałożonych przez przepisy o ochronie danych. W przypadku gdy prośba taka jest składana bezpośrednio do SparkPost, SparkPost poinformuje osobę, której dane dotyczą, aby złożyła swoją prośbę do Klienta, a Klient będzie odpowiedzialny za odpowiedź na każdą taką prośbę.
W przypadku transferów do [pod]przetwórców należy również opisać konkretne środki techniczne i organizacyjne, które mają być podejmowane przez [pod]przetwórcę, aby móc zapewnić pomoc kontrolerowi oraz w przypadku transferów z przetwórcy do [pod]przetwórcy, aby zapewnić eksporterowi danych: Gdy SparkPost angażuje podprzetwórcę na podstawie tej umowy DPA, SparkPost i podprzetwórca zawierają umowę z warunkami ochrony danych substancjalnie podobnymi do tych zawartych w niniejszym dokumencie.
Wersja 2.0, 2 listopada 2021
