Umowa o przetwarzaniu danych (DPA)
NIŻEJ PODPISANY:
i
zwane dalej łącznie Strony;
ROZWAŻANIA:
UZGADNIAJĄ, CO NASTĘPUJE:
Terminy pisane wielką literą w niniejszym DPA mają następujące znaczenie:
1.2 Naruszenie Danych: naruszenie środków bezpieczeństwa mających na celu ochronę Danych Osobowych przed utratą lub jakąkolwiek formą niezgodnego z prawem przetwarzania, a także każdy incydent lub zdarzenie, w wyniku którego nastąpiła lub może nastąpić utrata lub niezgodne z prawem przetwarzanie Danych Osobowych.
1.3 Umowa: Umowa między Podmiotem przetwarzającym a Administratorem dotycząca rozwiązania SAAS w zakresie cyberbezpieczeństwa dostarczanego przez Podmiot przetwarzający, z którego wynika przetwarzanie Danych osobowych.
1.4 Dane Osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.
1.5 Podprzetwarzający: osoba fizyczna lub prawna, która pomaga Przetwarzającemu w przetwarzaniu Danych Osobowych w imieniu Administratora.
1.6 Przetwarzanie: dowolna operacja lub zestaw operacji wykonywanych na Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak gromadzenie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
1.7 Umowa o Przetwarzaniu Danych (DPA): umowa pomiędzy Administratorem a Podmiotem Przetwarzającym dotycząca przetwarzania danych osobowych, w tym rozważań i powiązanych załączników.
2.1 Niniejsze DPA wchodzi w życie z dniem podpisania Umowy przez Strony.
2.2 Niniejsze DPA będzie obowiązywać tak długo, jak Podmiot Przetwarzający będzie przetwarzać Dane Osobowe w imieniu Administratora na podstawie Umowy.
3.1 W trakcie realizacji Umowy Administrator może przekazywać Dane Osobowe Podmiotowi Przetwarzającemu. Przegląd kategorii Danych Osobowych, które mogą zostać przekazane Podmiotowi Przetwarzającemu, znajduje się w Polityce Prywatności.
3.2 Administrator określa cel i sposoby przetwarzania Danych Osobowych. Cel ten jest zapisany w Polityce prywatności.
3.3 Przetwarzający przetwarza te Dane Osobowe wyłącznie w celu wykonania Umowy, niniejszego DPA i pisemnych instrukcji wydanych przez Administratora. Podmiot przetwarzający będzie przetwarzać Dane osobowe wyłącznie w celach opisanych w Polityce prywatności i nie będzie wykorzystywać Danych osobowych do żadnych innych lub własnych celów, chyba że jest to wymagane przez prawo.
3.4 Jeżeli instrukcja, o której mowa w art. 3.3, w opinii Przetwarzającego jest sprzeczna z przepisem prawa dotyczącym ochrony danych, Przetwarzający poinformuje o tym Administratora przed rozpoczęciem przetwarzania, chyba że przepis prawa zabrania takiego powiadomienia.
3.5 Administrator udziela Podmiotowi Przetwarzającemu ogólnego upoważnienia do podzlecania przetwarzania Danych Osobowych Podprzetwarzającym, w tym Podprzetwarzającym wymienionym na stronie internetowej Podmiotu Przetwarzającego.
3.6 Jeśli Przetwarzający zaangażuje nowego lub zastępczego Podprzetwarzającego, Przetwarzający będzie:
(a) Aktualizować listę Podprzetwarzających dostępną na stronie internetowej Przetwarzającego.
(b) narzucić zasadniczo takie same warunki ochrony danych każdemu Podprzetwarzającemu, którego zaangażuje, jak te zawarte w niniejszym DPA (w tym postanowienia dotyczące przekazywania danych, w stosownych przypadkach).
(c) pozostanie odpowiedzialny wobec Administratora za wszelkie naruszenia niniejszego DPA spowodowane działaniem, błędem lub zaniechaniem takiego Podprzetwarzającego.
(d) Powiadomić Administratora, jeśli jest on zarejestrowany. Jeśli Kontroler zdecyduje się na otrzymywanie pisemnych powiadomień na 14 dni przed zaangażowaniem przez Guardey nowego lub zastępczego Podprzetwarzającego, Kontroler musi zasubskrybować takie powiadomienia za pośrednictwem tego linku.
3.7 Administrator może wnieść sprzeciw wobec wyznaczenia przez Podmiot Przetwarzający nowego lub zastępczego Podprzetwarzającego niezwłocznie na piśmie w ciągu czternastu (14) dni od otrzymania powiadomienia zgodnie z punktem 3.6(d) i na uzasadnionych podstawach związanych ze zdolnością Podprzetwarzającego do przestrzegania obowiązujących przepisów o ochronie danych. W takim przypadku Strony omówią w dobrej wierze zastrzeżenia Administratora w celu osiągnięcia rozwiązania uzasadnionego z handlowego punktu widzenia. Jeśli Strony nie będą w stanie osiągnąć takiego rozwiązania, Przetwarzający będzie miał prawo, według własnego uznania, albo nie wyznaczyć spornego Podprzetwarzającego, albo zezwolić Administratorowi na zawieszenie lub rozwiązanie stosownego Zamówienia i/lub Umowy.
3.8 Przetwarzający zapewni pomoc niezbędną do wypełnienia obowiązków wynikających z art. 32-36 RODO. W szczególności Przetwarzający będzie współpracował przy wykonywaniu niezbędnych czynności w odpowiedzi na żądania Podmiotów Danych dotyczące dostępu, sprostowania, ograniczenia lub usunięcia Danych Osobowych.
3.9 Podmiot przetwarzający będzie przechowywać i przetwarzać Dane osobowe wyłącznie na terytorium Unii Europejskiej, chyba że uzgodniono inaczej z Administratorem.
3.10 Administrator gwarantuje, że przetwarzanie Danych Osobowych zgodnie z instrukcjami udzielonymi Podmiotowi Przetwarzającemu nie narusza przepisów o ochronie danych i nie jest niezgodne z prawem. Administrator zabezpiecza Podmiot przetwarzający przed wszelkimi roszczeniami osób trzecich, w tym roszczeniami organów nadzorczych, związanymi z tą kwestią.
3.11 Międzynarodowe transfery danych:
(a) Jeśli przetwarzanie wiąże się z przekazywaniem Danych Osobowych poza UE/EOG, Podmiot Przetwarzający zapewni odpowiedni poziom ochrony zgodnie z rozdziałem V RODO.
(b) W przypadku transferów do krajów nieposiadających decyzji stwierdzającej odpowiedni poziom ochrony, stosowane będą standardowe klauzule umowne (SCC) lub inny zatwierdzony mechanizm transferu.
(c) Podmiot przetwarzający powiadomi Administratora o Podprzetwarzających spoza UE/EER i umożliwi Administratorowi sprzeciwienie się takiemu przekazywaniu zgodnie z punktem 3.7.
4.1 Przetwarzający będzie nadal przestrzegać postanowień niniejszego DPA po rozwiązaniu Umowy i DPA tak długo, jak Przetwarzający będzie przechowywać jakiekolwiek Dane Osobowe od Administratora.
5.1 Po rozwiązaniu Umowy i DPA wszystkie Dane Osobowe zostaną zwrócone Administratorowi (lub osobie trzeciej wyznaczonej przez Administratora) lub zniszczone tak szybko, jak to możliwe, na żądanie Administratora, według jego wyboru.
6.1 Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne w celu ochrony Danych Osobowych przed utratą lub jakąkolwiek formą niezgodnego z prawem przetwarzania. Środki te zapewnią poziom bezpieczeństwa odpowiedni do ryzyka związanego z przetwarzaniem i charakterem Danych Osobowych, które mają być chronione, z uwzględnieniem aktualnego stanu wiedzy i kosztów wdrożenia. Szczegółowy wykaz tych środków znajduje się w Polityce bezpieczeństwa.
6.2 Przetwarzający zaktualizuje środki, o których mowa w Artykule 6.1, jeśli Administrator zażąda takich aktualizacji, ponieważ uważa, że jest to konieczne do utrzymania odpowiedniego poziomu bezpieczeństwa opisanego w Artykule 6.1. W takich przypadkach Przetwarzający jest uprawniony do podwyższenia cen uzgodnionych z Administratorem w celu pokrycia kosztów poniesionych przez Przetwarzającego w związku z tymi aktualizacjami.
7.1 Na żądanie Przetwarzający dostarczy kopie wszelkich certyfikatów, podsumowań raportów z audytów i/lub innej stosownej dokumentacji, którą posiada, jeżeli jest to zasadnie wymagane przez Administratora w celu zweryfikowania zgodności Przetwarzającego z niniejszym DPA.
7.2 Chociaż intencją stron jest zwykle poleganie na obowiązkach Podmiotu Przetwarzającego określonych w punkcie 7.1 w celu weryfikacji zgodności Podmiotu Przetwarzającego z niniejszą Umową DPA, po potwierdzonym Incydencie Bezpieczeństwa lub w przypadku, gdy wymaga tego organ ochrony danych, Administrator może przekazać Podmiotowi Przetwarzającemu pisemne powiadomienie z trzydziestodniowym (30) wyprzedzeniem z prośbą o przeprowadzenie przez osobę trzecią audytu operacji i obiektów Podmiotu Przetwarzającego ("Audyt"); pod warunkiem, że (i) każdy Audyt zostanie przeprowadzony na koszt Administratora; (ii) strony wspólnie uzgodnią zakres, harmonogram i czas trwania Audytu; oraz (iii) Audyt nie będzie miał nieuzasadnionego wpływu na regularne operacje Podmiotu Przetwarzającego.
8.1 Administrator jest odpowiedzialny za ocenę potrzeby zgłoszenia Naruszenia ochrony danych organowi nadzorczemu i/lub Podmiotom danych oraz za dokonanie faktycznego zgłoszenia.
8.2 Przetwarzający zgłosi Administratorowi wszelkie Naruszenia Danych lub podejrzenia ich wystąpienia tak szybko, jak to możliwe, ale w każdym przypadku w ciągu 24 godzin od wykrycia naruszenia. Przetwarzający przekaże co najmniej następujące informacje:
(a) (podejrzewaną) przyczynę Naruszenia Danych;
(b) (znane lub oczekiwane) konsekwencje Naruszenia Danych;
(c) dane dotyczące lokalizacji naruszenia ochrony danych;
(d) wszelkich nieupoważnionych odbiorców Danych Osobowych oraz wszelkich dostępnych informacji na ich temat;
(e) sugestie dotyczące środków mających na celu ograniczenie szkód;
(f) wszelkie inne informacje wymagane przez Administratora.
8.3 Podmiot Przetwarzający będzie współpracować z Administratorem w celu odpowiedniego poinformowania Podmiotów Danych lub organów nadzorczych o Naruszeniu Danych i będzie dostępny do konsultacji z Administratorem. 8.4 Administrator i Podmiot przetwarzający zachowają wobec siebie ścisłą poufność w odniesieniu do Naruszenia danych, wszelkich obaw związanych z Naruszeniem danych i innych powiązanych kwestii, z wyjątkiem obowiązków wynikających z prawa UE lub prawa krajowego.
9.1 Każda ze stron ponosi odpowiedzialność i zabezpiecza drugą stronę przed wszelkimi roszczeniami, działaniami, szkodami i stratami wynikającymi z lub w związku z jakimkolwiek naruszeniem niniejszego DPA, w zakresie, w jakim takie naruszenie można przypisać zaniedbaniu tej strony, umyślnemu niewłaściwemu postępowaniu lub nieprzestrzeganiu obowiązujących przepisów o ochronie danych.
9.2 Odpowiedzialność Przetwarzającego za jakiekolwiek naruszenie niniejszego DPA będzie ograniczona wyłącznie do szkód bezpośrednich i nie przekroczy kwot zapłaconych przez Administratora Przetwarzającemu na mocy Umowy w ciągu 12 miesięcy poprzedzających naruszenie.
10.1 Podmiot Przetwarzający niezwłocznie powiadomi Administratora, jeśli otrzyma od Podmiotu Danych wniosek o skorzystanie z praw przysługujących mu na mocy RODO.
10.2 Podmiot przetwarzający będzie współpracował z Administratorem i udzielał mu pomocy, aby umożliwić Administratorowi spełnienie takich żądań w terminach określonych w RODO.
11.1 Podmiot przetwarzający wyznacza następującą osobę kontaktową do koordynowania obowiązków wynikających z niniejszego DPA:
Dane kontaktowe Przetwarzającego:
11.2 Wszelka komunikacja dotycząca niniejszego DPA powinna być kierowana do osoby kontaktowej wskazanej powyżej.
11.3 Administrator powinien podać swoje dane kontaktowe za pośrednictwem wyznaczonych kanałów komunikacji na stronie internetowej Przetwarzającego lub kontaktując się z zespołem wsparcia Przetwarzającego pod danymi kontaktowymi podanymi powyżej.
12.1 RODO Wielkiej Brytanii: Jeżeli i w zakresie, w jakim przetwarzanie Danych Osobowych na podstawie niniejszego DPA dotyczy osób, których dane dotyczą w Wielkiej Brytanii, zastosowanie mają przepisy RODO Wielkiej Brytanii. Odniesienia do RODO w niniejszym DPA obejmują również odniesienia do RODO Wielkiej Brytanii, w stosownych przypadkach.
12.2 CCPA / CPRA: Jeśli i w zakresie, w jakim przetwarzanie Danych Osobowych na podstawie niniejszej Umowy o partnerstwie dotyczy osób, których dane dotyczą w Kalifornii, zastosowanie mają przepisy kalifornijskiej ustawy o ochronie prywatności konsumentów (CCPA) i kalifornijskiej ustawy o prawach do prywatności (CPRA). Podmiot przetwarzający:
(a) Niezwłocznie powiadom Administratora o wszelkich żądaniach konsumentów na mocy CCPA/CPRA.
(b) Współpracować z Administratorem w celu zapewnienia, że takie wnioski są rozpatrywane terminowo i zgodnie z CCPA/CPRA.
(c) Nie "sprzedawać" Danych Osobowych w rozumieniu CCPA/CPRA.
(d) Zapewnienie zgodności z wymogami CCPA/CPRA, w tym przejrzystości i powiadomień o prawach konsumentów.
13.1 Odstępstwa od niniejszego DPA są wiążące tylko wtedy, gdy zostały wyraźnie uzgodnione na piśmie między Stronami.
13.2 Ogólne zasady i warunki lub inne ogólne lub szczególne warunki Przetwarzającego nie mają zastosowania do niniejszego DPA i są wyraźnie odrzucane przez Administratora.
13.3 Niniejsze DPA stanowi uzupełnienie Umowy. W przypadku sprzeczności między postanowieniami niniejszego DPA a Umową, postanowienia niniejszego DPA będą miały pierwszeństwo.
13.4 Niniejsze DPA podlega prawu holenderskiemu.
13.5 Spory między Stronami, które nie mogą zostać rozwiązane w drodze konsultacji, będą przedkładane właściwemu sądowi holenderskiemu w Hadze.