Umowa Powierzenia Przetwarzania Danych Osobowych
Poniższy dokument reguluje i opisuje ustalenia dotyczące przetwarzania danych osobowych zgodnie z postanowieniami GDPR (RODO).
- Definicje
Umowa - niniejszy dokument.
GDPR / RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Usługa - usługi świadczone przez Innodia Ltd. za pomocą strony internetowej (http://centriumcrm.com) i za pomocą oprogramowania (https://app.centriumcrm.com).
Regulamin - regulamin świadczeniu usługi - umowa pomiędzy Innodia Ltd, a klientem dotycząca świadczenia Usługi (http://centriumcrm.com/terms-of-service”).
Klient - tak jak zdefiniowano w Regulaminie
Podmiot Przetwarzający - Podmiot przetwarzający dane osobowe - Innodia Ltd.
Administrator Danych Osobowych - Klient.
Dane osobowe - tak jak w Dyrektywie 95/46/EC Parlamentu Europejskiego i Rady z 24 października 1995 (z późniejszymi zmianami).
Podmiot Danych Osobowych - tak jak w Dyrektywie 95/46/EC Parlamentu Europejskiego i Rady z 24 października 1995 (z późniejszymi zmianami).
Standardowe klauzule umowne - klauzule modelu UE dotyczące przekazywania danych osobowych między Administratorem Danych Osobowych a Podmiotem Przetwarzającym c2010-593 - decyzja 2010 / 87EU.
Podwykonawca przetwarzania danych osobowych - podmiot działający jako Podmiot Przetwarzający Dane Osobowe, któremu Podmiot Przetwarzający podpowierza przetwarzanie danych osobowych w celu świadczenia Usługi.
Dokumentacja Zabezpieczeń - Załącznik C niniejszego dokumentu.
Naruszenie Ochrony Danych Osobowych - przypadkowe lub niezgodne z prawem zniszczenie, utrata, modyfikacja, nieuprawnione ujawnienie lub nieuprawniony dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Ogólne
- Niniejsza umowa (Umowa) reguluje i ustala warunki przetwarzania danych osobowych w imieniu Klienta (Administratora Danych Osobowych) przez Innodia Ltd., firmę zarejestrowaną w Anglii i Walii pod numerem 07779992 (Podmiot Przetwarzający).
- Umowa podlega przepisom prawnym i interpretacją przepisów w Zjednoczonym Królestwie, dlatego każda ze stron zgadza się niniejszym nieodwołalnie podporządkować wyłącznej jurysdykcji Sądownictwu Anglii i Walii.
- Przedmiot umowy
- Podmiot przetwarzający zgadza się świadczyć Usługę Administratorowi Danych zgodnie z Regulaminem. Podczas realizacji Usługi Podmiot Przetwarzający podejmuje się przetwarzania danych przesłanych do Usługi przez Klienta. Te dane mogą zawierać Dane osobowe. Podmiot Przetwarzający zobowiązuje się przetwarzać powyższe Dane Osobowe zgodnie z warunkami niniejszej Umowy.
- Czas trwania umowy
- Umowa będzie obowiązywać od momentu rozpoczęcia świadczenia Usługi do momentu skasowania Danych Osobowych zgodnie z postanowieniami niniejszej Umowy.
- Zakończenie Umowy
- W momencie zakończenia Umowy Administrator Danych Osobowych może zażądać zwrotu lub skasowania Danych Osobowych. To żądanie musi zostać zgłoszone w ciągu 7 dni od chwili zakończenia świadczenia Usługi. Powyższe dane zostaną udostępnione Administratorowi Danych Osobowych w formacie, który można odczytać maszynowo przez Podmiot Przetwarzający. Po upływie 7 dni od momentu zakończenia świadczenia usługi Dane Osobowe zostaną skasowane z produkcyjnych serwerów Podmiotu Przetwarzającego.
- Po opisanym powyżej skasowaniu danych z serwerów produkcyjnych, część danych może pozostawać w systemach archiwizujących dane (kopiach zapasowych) do 31 dni oraz w systemach przechowujących logi systemowe do 90 dni.
- Przetwarzanie danych osobowych przez Podmiot Przetwarzający przez 90 dni od momentu zakończenia niniejszej umowy będzie traktowane jako zgodne z instrukcjami przetwarzania Danych Osobowych wydanymi przez Administratora Danych Osobowych.
- Podmiot przetwarzający może przetwarzać dane osobowe po zakończeniu niniejszej umowy jeżeli jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych (art. 17 ust. 3 pkt. RODO).
- Legislacja
- Niniejsza umowa zapewnia, że Podmiot Przetwarzający działa w sposób zgodny z obowiązującymi przepisami prawa dotyczącymi przetwarzania danych osobowych i prywatności, w szczególności z:
- rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
- dyrektywa Parlamentu Europejskiego i Rady 95/46 / WE z dnia 24 października 1995 r.
- Obowiązki
- Obowiązki Podmiotu Przetwarzającego
- Podmiot Przetwarzający może działać i przetwarzać dane tylko i wyłącznie na udokumentowane polecenie (takiej jak np aktywność czy zarejestrowana czynność w Usłudze) Administratora Danych w celu dostarczenia Usługi uwzględniając Regulamin świadczenia usługi i zgodnie z postanowieniami niniejszej Umowy.
- Podmiot przetwarzający wykorzysta odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych zawarte w niniejszej umowie oraz wynikające z obowiązującego prawa w szczególności z RODO,artykuł 32, by chronić Dane Osobowe, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
- Jeżeli Podmiot Przetwarzający uzna, że instrukcja przetwarzania danych od Administratora Danych jest niezgodna z obowiązującymi przepisami prawa - niezwłocznie poinformuje o tym klienta.
- Pracownicy Podmiotu Przetwarzającego zostaną zobowiązani do zachowania tajemnicy i zgodnie z niniejszą umową będą traktować Dane Osobowe jako ściśle poufne.
- Podmiot Przetwarzający, jego pracownicy, agenci i podwykonawcy będą traktować Dane Osobowe jako ściśle poufne i są zobowiązani postanowieniami niniejszej Umowy oraz otrzymali stosowne przeszkolenie.
- W przypadku gdy dane osobowe dotyczące podmiotu danych z UE są przekazywane poza EOG, przetwarzane są wyłącznie przez podmioty znajdujące się w państwie trzecim lub na terytorium uznanym przez Komisję UE za zapewniający odpowiedni poziom ochrony lub odpowiednie zabezpieczenia, takie jak Tarcza Prywatności UE-USA.
- Biorąc pod uwagę charakter przetwarzania i informacje dostępne dla podmiotu przetwarzającego dane, przetwarzający dane pomaga Administratorowi Danych Osobowych, wykorzystując odpowiednie środki techniczne i organizacyjne, o ile jest to możliwe, w celu wypełnienia obowiązku Administratora Danych Osobowych, aby odpowiadać na żądania o skorzystanie z praw Podmiotu Danych Osobowych oraz o zgodność Administratora Danych Osobowych z RODO.
- Obowiązki Administratora Danych
- Administrator danych potwierdza, że będzie przestrzegać Regulaminu, niniejszej Umowy i wszystkich obowiązujących przepisów prawa dotyczących ochrony danych i prywatności oraz oświadcza, że wszystkie dane osobowe przekazane do Podmiotu Przetwarzającego zostały zgromadzone i są przetwarzane przez Administratora Danych w sposób zgodny z aktualnie obowiązującymi przepisami prawa.
- Wszystkie podmioty i osoby, korzystające z Usługi, muszą wypełniać obowiązki i działać zgodnie z wymaganiami dotyczącymi Administratora Danych określonych w niniejszym dokumencie.
- Administrator danych ma własne obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych, biorąc pod uwagę stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko różnicowania. prawdopodobieństwo i dotkliwość w odniesieniu do praw i wolności osób fizycznych (artykuł 32 RODO).
- Administrator danych upewni się, że osoba działająca pod nadzorem Administratora Danych, który ma dostęp do danych osobowych, nie będzie przetwarzać danych osobowych niezgodnie lub wbrew poleceniom Administratora Danych.
- Administrator Danych zobowiązuje się do samodzielnego ustanawiania i odwoływania osób upoważnionych do korzystania z Usługi oraz zarządzania kontami osób upoważnionych do korzystania z Usługi tak, aby osoby nieuprawnione nie miały dostępu do Danych Osobowych ani możliwości przekazywania instrukcji przetwarzania danych do Podmiotu Przetwarzającego.
- Podwykonawcy przetwarzania Danych Osobowych
- Administrator Danych zgadza się, że przetwarzający dane może zaangażować inny, zewnętrzny podmiot (Podwykonawca Przetwarzania Danych Osobowych) do wykonywania określonych czynności przetwarzania Danych Osobowych w imieniu Administratora Danych w celu realizacji Usługi.
- Wszyscy Podwykonawcy Przetwarzania Danych Osobowych, którzy przetwarzają Dane Osobowe w ramach świadczenia Usługi na rzecz Administratora Danych, będą postępować zgodnie z obowiązkami Przetwarzającego Dane, podobnymi do obowiązków określonych w niniejszym dokumencie.
- Lista Podwykonawców Przetwarzania Danych Osobowych, z których korzysta Podmiot Przetwarzający, aktualna w momencie zawarcia niniejszej umowy, jest dołączona do Umowy jako Załącznik B.
W przypadku dodania lub zastąpienia Podwykonawcy Przetwarzania Danych Osobowych, Podmiot Przetwarzający powiadomi Administratora Danych za pomocą poczty elektronicznej 30 dni przed zmianą. Jeżeli Administrator Danych nie wyrazi zgody na dodanie nowego lub zastąpienie aktualnego Podwykonawcy Przetwarzania Danych Osobowych, Administrator danych może wypowiedzieć Regulamin, ponieważ może nie być możliwe świadczenie Usługi bez dodania nowego lub zastąpienia aktualnego Podwykonawcy Przetwarzania Danych Osobowych
- W przypadku gdy Podwykonawca Przetwarzania Danych Osobowych znajduje się poza EOG, Podmiot Przetwarzający potwierdza, że taki Podwykonawca Przetwarzania Danych Osobowych: (i) znajduje się w państwie trzecim lub na terytorium uznanym przez Komisję UE za zapewniający odpowiedni poziom ochrony; lub (ii) zawarł z Podmiotem Przetwarzającym Standardowe Klauzule Umowne; lub (iii) posiada inne prawnie uznane odpowiednie zabezpieczenia, takie jak Tarcza Prywatności UE-USA lub wiążące reguły korporacyjne.
- Naruszenie Ochrony Danych Osobowych
- W przypadku Naruszenia Ochrony Danych Osobowych Podmiot Przetwarzający, bez zbędnej zwłoki, powiadomi Administratora Danych o naruszeniu Danych Osobowych i przekaże Administratorowi Danych szczegółowe informacje o Naruszeniu Ochrony Danych Osobowych.
- Powiadomienie o naruszeniu danych osobowych lub odpowiedź na takie naruszenie nie będzie interpretowane jako przyznanie się przez Podmiot Przetwarzający do jakiegokolwiek błędu lub odpowiedzialności w związku z Naruszeniem Ochrony Danych Osobowych.
- Administrator Danych ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących obowiązków informacyjnych o Naruszeniach Danych Osobowych, mających zastosowanie do Administratora Danych i wypełnianie wszelkich obowiązków informacyjnych związanych z Naruszeniami Danych Osobowych. Podmiot Przetwarzający nie ocenia treści danych Administratora Danych w celu zidentyfikowania informacji podlegających konkretnemu Naruszeniu Danych Osobowych.
- Jeśli Administrator Danych dowie się o Naruszeniu Danych Osobowych w związku z korzystaniem z Usługi, bez zbędnej zwłoki powiadomi Podmiot Przetwarzający o Naruszeniu Danych Osobowych i przekaże Podmiotowi Przetwarzającemu szczegóły dotyczące Naruszenia Danych Osobowych.
- Odpowiedzialność
- Ograniczenia odpowiedzialności określone w Regulaminie (14.1, 14.2, 14.3) mają zastosowanie do wszystkich roszczeń zgłoszonych w związku z naruszeniem warunków niniejszej Umowy.
- Podmiot Przetwarzający będzie odpowiedzialny wobec Administratora Danych za każdego Podwykonawcę Przetwarzania Danych Osobowych w taki sam sposób, jak za własne działania i zaniechania w przypadku jakiegokolwiek naruszenia tej Umowy.
- Administrator Danych będzie odpowiedzialny za wszelkie naruszenia tej Umowy spowodowane działaniami i zaniechaniami lub zaniedbaniami swoich pracowników i innych użytkowników Usługi, tak jakby te działania, zaniechania lub zaniedbania zostały popełnione przez Administratora Danych.
- Administrator danych nie będzie uprawniony do uzyskania zaspokojenia w związku z jednym naruszeniem (roszczeniem) więcej niż jeden raz.
- Audyt
- Podmiot Przetwarzający udostępni Administratorowi Danych wszystkie informacje, które są zasadnie niezbędne do wykazania zgodności z obowiązującymi przepisami dotyczącymi przetwarzania Danych Osobowych, a także które są wymagane lub pomagają w przypadku audytu lub inspekcji.
- W przypadku gdy Administrator Danych będzie wymagał przeprowadzenia niezależnego audytu, Administrator Danych powiadomi o takim żądaniu z co najmniej czterotygodniowym wyprzedzeniem. Administrator Danych zapewni, że wszystkie informacje uzyskane podczas audytu będą ściśle poufne. Wszelkie inspekcje i audyty będą przeprowadzane w standardowych godzinach pracy w Anglii i nie będą powodować zakłóceń w codziennej działalności Podmiotu Przetwarzającego. Podmiot Przetwarzający zastrzega sobie prawo do wniesienia sprzeciwu wobec audytora zewnętrznego wyznaczonego przez Administratora danych, jeśli audytor nie jest odpowiednio wykwalifikowany lub nie jest niezależny w opinii Podmiotu Przetwarzającego, aby przeprowadzić taki audyt. Administrator Danych rozumie, że Podmiot Przetwarzający może naliczyć opłatę (w oparciu o czas i poniesione koszty) za pomoc przy przeprowadzeniu audytu.
- Administrator Danych zgadza się, że wszelkie kontrole będą ograniczone w zakresie do spraw i danych Administratora Danych oraz tej Umowy.
- Zgodność i współpraca
- Podmiot Przetwarzający będzie prowadził pisemne rejestry wszystkich kategorii czynności przetwarzania przeprowadzanych w imieniu Administratora Danych, zgodnie z obowiązującymi przepisami dotyczącymi Ochrony Danych Osobowych.
- W przypadku, gdy Administrator Danych potrzebuje pomocy od Podmiotu Przetwarzającego w celu przygotowania odpowiedzi na wnioski osób, których Dane Osobowe dotyczą, zgodnie z prawem przysługującym Podmiotowi Danych, Podmiot Przetwarzający dane zobowiązuje się pomóc Administratorowi Danych, dostarczając niezbędnych informacji i dokumentacji w rozsądnym terminie, zgodnie z obowiązującymi przepisami prawa. Administrator Danych zgadza się, że Podmiot Przetwarzający może naliczyć dodatkowe opłaty za obsługę żądań Administratora Danych wynikających z niniejszej Umowy. W takim przypadku Podmiot Przetwarzający powiadomi Administratora Danych o kosztach takiej pomocy z góry.
- W przypadku, gdy Podmiot Przetwarzający otrzyma wniosek od Podmiotu Danych Osobowych o wyegzekwowanie praw Podmiotu Danych Osobowych na mocy obowiązujących przepisów prawa, a taki wniosek jest związany z Danymi Osobowymi Administratora Danych, Podmiot Przetwarzający, przekaże takie żądanie Administratorowi Danych bez zbędnej zwłoki. Podmiot Przetwarzający nie będzie bezpośrednio odpowiadał na takie żądania Podmiotowi Danych Osobowych.
- Podmiot Przetwarzający i Administrator Danych zgadzają się współpracować z organem nadzorczym w wykonywaniu swoich zadań z ich obowiązkami wynikającymi z niniejszej Umowy.
Załącznik A - Szczegóły i aktywności związane z Przetwarzaniem Danych Osobowych
Niniejszy Załącznik A zawiera szczegółowe informacje dotyczące przetwarzania Danych Osobowych zgodnie z wymogami art. 28 ust. 3 RODO.
Przedmiot:
Przedmiot przetwarzania Danych Osobowych opisany jest w Regulaminie oraz w niniejszym dokumencie.
Trwanie:
Czas przetwarzania Danych Osobowych jest opisany w Regulaminie świadczenia usługi oraz w niniejszym dokumencie.
Cel przetwarzania:
Wyłącznym celem przetwarzania Danych Osobowych przez Podmiot Przetwarzający jest dostarczenie Usługi i / lub zapewnienie wsparcia technicznego dla Administratora Danych lub jego użytkowników.
Kategorie podmiotów danych:
Osoby, których Dane Osobowe są dostarczane do Podmiotu Przetwarzającego za pośrednictwem Usługi przez lub na zlecenie Administratora Danych.
Rodzaje przetwarzanych danych:
Dane osobowe odnoszące się do osób fizycznych, które są dostarczane do Podmiotu Przetwarzającego przy użyciu Usługi, przez Administratora Danych lub na jego zlecenie, między innymi: nazwy, imiona i nazwiska, adresy, dane kontaktowe, identyfikatory online (w tym adresy IP) i dane do logowania.
Przesył danych i ograniczenia przetwarzania:
Żadne wrażliwe lub szczególne kategorie Danych Osobowych nie mogą być przesyłane i nie mogą być zawarte w treści załączników lub plików dodawanych do Usługi.
Załącznik B - lista podwykonawców przetwarzania danych osobowych
Niniejszy załącznik B zawiera listę wszystkich Podwykonawców Przetwarzania Danych Osobowych, którym Dane Osobowe mogą być przekazywane zgodnie z Regulaminem świadczenia Usługi i niniejszą Umową.
- Linode, LLC - New Jersey, Stany Zjednoczone Ameryki
- Freshworks, Inc. - San Bruno, CA, Stany Zjednoczone Ameryki
- Mailgun Technologies, Inc. - San Francisco, CA, Stany Zjednoczone Ameryki
- The Rocket Science Group LLC d/b/a MailChimp - Atlanta, GA, Stany Zjednoczone Ameryki
- Google LLC - Menlo Park CA, Stany Zjednoczone Ameryki
- Pusher Ltd - Londyn, Wielka Brytania
Załącznik C - Dokumentacja Zabezpieczeń
Niniejszy załącznik C opisuje środki bezpieczeństwa podejmowane przez Podmiot Przetwarzający podczas przetwarzania Danych Osobowych.
Szyfrowanie danych
Przetwarzane dane są szyfrowane podczas przesyłania danych, zarówno między Podmiotem Przetwarzającym i Administratorem Danych (oraz osobami upoważnionymi przez Administratora Danych do korzystania z Usługi), jak również między Podmiotem Przetwarzającym i jego Podwykonawcami Przetwarzania Danych Osobowych za pomocą silnych i aktualnych algorytmów szyfrujących zgodnych z najnowszymi standardami bezpieczeństwa przesyłania danych.
Kopie zapasowe
Korzystamy z uznanego na całym świecie lidera usług hostingowych - Linode. Wszystkie dane są przechowywane w Londynie w Wielkiej Brytanii. Linode bardzo poważnie traktuje bezpieczeństwo danych - wymusza stosowanie wielu warstw zabezpieczeń za pomocą różnych środków technicznych i ludzkich. Cały sprzęt znajduje się w zamkniętych klatkach.
Tylko kilku zaufanych pracowników Innodia Ltd. ma zdalny dostęp do środowiska produkcyjnego, w tym do baz danych i aplikacji. Cały ruch pomiędzy Centrium i centrum danych odbywa się za pomocą bezpiecznego szyfrowanego połączenia.
Kto może uzyskać dostęp do twoich danych?
Administrator Danych może kontrolować, którzy użytkownicy mają dostęp do określonych Danych Osobowych, może także ustalić poziom ich uprawnień. Podmiot Przetwarzający nie ma możliwości logowania się na konto w Usłudze należące do Administratora Danych lub jego użytkowników. Usługa zawiera również listę ostatnich logowań i działań na koncie użytkownika Usługi, umożliwiając w ten sposób monitorowanie, kto ma dostęp do danych Administratora Danych (ta lista zawiera adresy IP, typy i wersje przeglądarek oraz nazwy hostów).
Kopie zapasowe
Automatyczne kopie zapasowe są wykonywane codziennie i przechowywane na oddzielnych serwerach, aby zapewnić bezpieczeństwo danych. Przed podjęciem jakichkolwiek działań na serwerach produkcyjnych przez upoważniony personel, przed operacją tworzona jest dodatkowa kopia zapasowa.
Aktualizacje
Serwery produkcyjne są regularnie aktualizowane przy użyciu najnowszych aktualizacji zabezpieczeń i poprawek. Ze względu na to, że Centrium jest hostowane na naszych serwerach i regularnie aktualizujemy aplikację Centrium. Wszyscy użytkownicy mają dostęp do najnowszej wersji aplikacji Centrium.