Contract

Niniejsza Umowa powierzenia przetwarzania danych osobowych („DPA”) stanowi część Umowy licencyjnej użytkownika końcowego i umowy o świadczenie usług Ivanti („Umowa”) i została sporządzona i zawarta z dniem złożenia ostatniego podpisu poniżej („Data wejścia w życie”) przez klienta wskazanego poniżej lub w Umowie („Administrator”) oraz odpowiedni podmiot Ivanti wskazany w niniejszej DPA („Ivanti” lub „Podmiot Przetwarzający”) (indywidualnie „Strona”, a łącznie „Strony”). Wszelkie terminy pisane wielką literą, niezdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w Umowie.

KOMPARYCJA

MAJĄC NA UWADZE, że Xxxxxx zawarły Umowę.

MAJĄC NA UWADZE, że w trakcie świadczenia Usług na rzecz Administratora zgodnie z Umową, Podmiot Przetwarzający może przetwarzać Dane Osobowe w imieniu Administratora;

MAJĄC NA UWADZE, że w celu zapewnienia odpowiednich zabezpieczeń w odniesieniu do przetwarzania Danych Osobowych przekazanych Podmiotowi Przetwarzającemu przez Administratora Strony zgadzają się przestrzegać następujących postanowień w odniesieniu do wszelkich Danych Osobowych, działając w sposób uzasadniony i w dobrej wierze.

NINIEJSZYM w związku z powyższymi przesłankami oraz wzajemnie złożonymi obietnicami i zobowiązaniami przedstawionymi poniżej Administrator i Podmiot Przetwarzający uzgadniają, co następuje:

UMOWA

1. DEFINICJE

Wszelkie terminy pisane wielką literą, niezdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w

Umowie.

„Podmiot Powiązany” oznacza każdy podmiot, który bezpośrednio lub pośrednio kontroluje dany podmiot, jest przez niego kontrolowany lub znajduje się pod kontrolą wspólną z danym podmiotem. Dla celów niniejszej definicji

„Kontrola” oznacza bezpośrednią lub pośrednią własność lub kontrolę ponad 50% udziałów z prawem głosu w danym podmiocie.

„Obowiązujące Przepisy o Ochronie Danych” oznaczają wszelkie obowiązujące przepisy prawa, regulacje, wytyczne regulacyjne lub wymogi w dowolnej jurysdykcji dotyczące ochrony danych, prywatności lub poufności Danych Osobowych, w tym między innymi a) RODO wraz z wszelkimi przepisami transponującymi, wykonawczymi lub uzupełniającymi oraz b) przepisy ustawy CCPA.

„Upoważniony Podmiot Powiązany” oznacza dowolny Podmiot Powiązany Administratora, który: a) podlega prawu i przepisom dotyczącym ochrony danych w Europejskim Obszarze Gospodarczym i/lub jego państwach członkowskich, Wielkiej Brytanii i Szwajcarii; b) podlega prawu i przepisom dotyczącym ochrony danych poza Europejskim Obszarem Gospodarczym i/lub jego państwami członkowskimi, Szwajcarią i Wielką Brytanią (w zależności od przypadku), oraz c) uzyskał zgodę na wykorzystanie Podmiotu Przetwarzającego do Przetwarzania zgodnie z Umową.

„CCPA” oznacza Kalifornijską Ustawę o Prywatności Konsumentów (California Consumer Privacy Act, Cal. Civ.

Kodeks § 1798.100 i nast. oraz przepisy wykonawcze do niej.

„Administrator” oznacza podmiot, który określa cele i środki Przetwarzania Danych Osobowych. W celu uniknięcia wątpliwości, Strona określona powyżej jako „Administrator” jest Administratorem w rozumieniu niniejszej Umowy DPA.

„Naruszenie Ochrony Danych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego, nieuprawnionego lub niezgodnego z prawem zniszczenia, utraty, zmiany, ujawnienia, dostępu lub innego Przetwarzania Danych Osobowych przesyłanych, przechowywanych lub Przetwarzanych w inny sposób.

„Organ ds. Ochrony Danych” oznacza dowolnego przedstawiciela lub agenta jednostki lub agencji rządowej, który jest uprawniony do egzekwowania obowiązujących przepisów o ochronie danych.

„Podmiot Danych” oznacza osobę fizyczną, której dotyczą Dane Osobowe.

„RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).

„Ivanti” oznacza podmiot wskazany poniżej, działający w tym samym regionie geograficznym co Klient:

- Ivanti, Inc., spółka z siedzibą w Delaware, w obu Amerykach, z wyjątkiem Brazylii.

- Ivanti Comércio de Software Brasil Ltda, spółka brazylijska, w Brazylii.

- Ivanti Software K.K., spółka japońska, w Japonii.

- Ivanti Software Technology (Beijing) Co., Ltd., spółka chińska, w Chinach.

- Ivanti International Limited, spółka irlandzka, w odniesieniu do produktów i usług marek Wavelink i

Naurtech w Europie, na Bliskim Wschodzie, w Afryce oraz w regionie Azji i Pacyfiku.

- Ivanti UK Limited, spółka z ograniczoną odpowiedzialnością zarejestrowana w Anglii i Walii, we wszystkich innych lokalizacjach.

„Dane Osobowe” oznaczają wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej, odnoszą się do niej, opisują ją, mogą być z nią kojarzone lub w sposób uzasadniony powiązane w sposób bezpośredni lub pośredni. Osobą możliwą do zidentyfikowania jest osoba fizyczna, która może zostać zidentyfikowana w sposób bezpośredni lub pośredni, w szczególności przez odniesienie do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden czynnik właściwy dla tożsamości fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tej osoby fizycznej bądź większa liczba takich czynników.

„Przetwarzanie” oznacza dowolną operację lub zestaw operacji wykonywanych na Danych Osobowych przez Usługodawcę lub w związku ze świadczeniem Usług i ich celami niezależnie od tego, czy są one wykonywane przy użyciu środków automatycznych, takich jak gromadzenie, zapisywanie, organizowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, blokowanie, usuwanie lub niszczenie w zgodności z definicją zawartą w obowiązujących przepisach o ochronie danych.

„Podmiot Przetwarzający” oznacza podmiot, który przetwarza Xxxx Xxxxxxx w imieniu Administratora. W celu uniknięcia wątpliwości, Strona określona powyżej jako „Podmiot Przetwarzający” jest Podmiotem Przetwarzającym dane na potrzeby niniejszej Umowy DPA.

„Usługi” oznaczają Przetwarzanie Danych Osobowych przez Podmiot Przetwarzający w związku i na potrzeby świadczenia usług, które mają być świadczone przez Podmiot Przetwarzający zgodnie z Umową.

„Usługodawca” oznacza jednoosobową działalność gospodarczą, spółkę osobową, spółkę z ograniczoną odpowiedzialnością, korporację, stowarzyszenie lub inną osobę prawną, która została zorganizowana lub działa w celu uzyskania przychodu lub korzyści finansowej swoich udziałowców lub innych właścicieli, przetwarza informacje w imieniu Administratora Danych i której Administrator Danych ujawnia Dane Osobowe Podmiotu Danych w Celu Biznesowym na podstawie pisemnej umowy, pod warunkiem, że umowa zabrania Usługodawcy zatrzymywania, wykorzystywania lub ujawniania Danych Osobowych w jakimkolwiek celu innym niż konkretny cel wykonywania usług określonych w umowie lub w inny sposób dozwolony przez ustawę CCPA, w tym zatrzymywanie, wykorzystywanie lub ujawnianie Danych Osobowych w Celu Handlowym innym niż świadczenie usług określonych w umowie zawartej z Administratorem Danych. Terminy „Cel Biznesowy” i „Cel Handlowy” mają znaczenie identyczne z terminami zastosowanymi w ustawie CCPA. W celu uniknięcia wątpliwości stwierdza się, że Podmiot Przetwarzający jest Usługodawcą.

„Podmiot Pod-przetwarzający” oznacza dowolny podmiot, który przetwarza Dane osobowe w imieniu Xxxxxxxx

Przetwarzającego.

2. PRZETWARZANIE DANYCH OSOBOWYCH

2.1 Role Stron. Strony przyjmują do wiadomości i uzgadniają, że w odniesieniu do Przetwarzania Danych Osobowych Administrator pozostaje Administratorem, a Podmiot Przetwarzający pozostaje Podmiotem Przetwarzającym lub Usługodawcą. Przedmiot, czas trwania, cel Przetwarzania oraz rodzaje Danych Osobowych i kategorie Podmiotów Danych przetwarzanych na mocy niniejszej Umowy DPA, zostały określone w Załączniku 1.

2.2 Obowiązki Administratora. Wytyczne Administratora dotyczące Przetwarzania Danych Osobowych muszą być zgodne z Przepisami i Regulacjami w zakresie Ochrony Danych. Administrator ponosi wyłączną odpowiedzialność za dokładność, jakość i legalność Danych Osobowych oraz środków, za pomocą których Administrator pozyskuje Xxxx Xxxxxxx i przekazuje je Podmiotowi Przetwarzającemu.

2.3 Obowiązki Podmiotu Przetwarzającego. Wszelkie Dane Osobowe przetwarzane przez Podmiot Przetwarzający zgodnie z Umową stanowią Informacje Poufne, a Podmiot Przetwarzający będzie przetwarzał Dane Osobowe wyłącznie zgodnie z udokumentowanymi wytycznymi Administratora zawartymi w Załączniku 1 lub w inny sposób określony przez Administratora na piśmie. Podmiot Przetwarzający nie będzie sprzedawał Danych Osobowych przetwarzanych w ramach niniejszej Umowy DPA oraz nie będzie zatrzymywał, wykorzystywał ani ujawniał Danych Osobowych poza obszarem bezpośrednich relacji biznesowych pomiędzy Podmiotem Przetwarzającym a Administratorem. Podmiot Przetwarzający będzie przestrzegać wszystkich Obowiązujących Przepisów o Ochronie Danych w odniesieniu do Przetwarzania Danych Osobowych. Podmiot przetwarzający nie będzie łączył Danych Osobowych przekazanych przez Administratora z Danymi Osobowymi, które otrzymuje z innych źródeł. Jeżeli Podmiot Przetwarzający uzna, że zastosowanie się do jakichkolwiek wytycznych Administratora skutkowałoby naruszeniem Obowiązujących Przepisów o Ochronie Danych, Podmiot Przetwarzający niezwłocznie powiadomi o tym Administratora na piśmie. Podmiot Przetwarzający udostępni Administratorowi wszelkie informacje niezbędne do wykazania zgodności Podmiotu Przetwarzającego z jego obowiązkami wynikającymi z niniejszej Umowy DPA.

2.3.1. Wymogi dotyczące wsparcia. Podmiot Przetwarzający będzie wspierał Administratora w zakresie: zgodności z Obowiązującymi Przepisami o Ochronie Danych; podejrzeń i stosownych Naruszeń Ochrony Danych; zawiadomień do Organu ds. Ochrony Danych lub zapytań skierowanych od niego; powiadomień i zapytań skierowanych do Podmiotów Danych; oraz obowiązku Administratora dotyczącego przeprowadzania ocen skutków ochrony danych i uprzednich konsultacji z Organem ds. Ochrony Danych.

3. OBOWIĄZKI W ZAKRESIE POWIADOMIEŃ

3.1 Obowiązki w zakresie powiadomień po stronie Podmiotu Przetwarzającego. Podmiot Przetwarzający niezwłocznie powiadomi Administratora na piśmie o następujących zdarzeniach:

3.1.1 Wniosek Podmiotu Danych o skorzystanie z przysługujących mu praw do ochrony prywatności, takich jak dostęp do własnych Danych Osobowych, ich poprawianie, usuwanie, przenoszenie, zgłaszanie sprzeciwu lub ograniczanie ich zakresu;

3.1.2 Wszelkie wnioski lub skargi przyjęte od klientów lub pracowników Administratora;

3.1.3 Wszelkie pytania, skargi, dochodzenia lub inne zapytania ze strony Organu ds. Ochrony Danych;

3.1.4 Wszelkie wnioski o ujawnienie Danych Osobowych, które są w jakikolwiek sposób związane z Przetwarzaniem Danych Osobowych przez Podmiot Przetwarzający na mocy niniejszej Umowy DPA;

3.1.5 Naruszenie Ochrony Danych zgodnie z obowiązkiem powiadamiania określonym w Punkcie 7.1; oraz

3.1.6 W przypadku, gdy podczas Przetwarzania Dane Osobowe staną się przedmiotem przeszukania i zajęcia, nakazu zajęcia, konfiskaty w trakcie postępowania upadłościowego lub niewypłacalności, lub podobnych zdarzeń lub środków ze strony osób trzecich.

Podmiot Przetwarzający będzie pomagał Administratorowi w wypełnianiu obowiązków Administratora w zakresie odpowiadania na żądania dotyczące Ustępów od 3.1.1 do 3.1.6 powyżej i nie będzie odpowiadał na takie żądania bez uprzedniej pisemnej zgody Administratora, o ile obowiązek udzielenia odpowiedzi przez Podmiot Przetwarzający nie będzie wynikać z przepisów prawa.

4. POUFNOŚĆ

4.1 Informacje poufne. Wszelkie Informacje przekazane Podmiotowi Przetwarzającemu zgodnie z Umową stanowią Informacje Poufne.

4.2 Personel Podmiotu Przetwarzającego. Podmiot Przetwarzający zapewni, aby jego personel zaangażowany w Przetwarzanie Danych Osobowych został poinformowany o poufnym charakterze Danych Osobowych, przeszedł odpowiednie szkolenie w zakresie swoich obowiązków oraz zawarł pisemne umowy o zachowaniu poufności. Podmiot Przetwarzający zapewni, aby takie zobowiązania do zachowania poufności obowiązywały również po zakończeniu stosunku pracy z tymi osobami.

4.3 Ograniczenie dostępu. Podmiot Przetwarzający zapewni, aby dostęp Podmiotu przetwarzającego do Danych Osobowych był ograniczony do personelu wykonującego Usługi zgodnie z Umową.

5. PODMIOTY POD-PRZETWARZAJĄCE

5.1 Wyznaczanie Podmiotów Pod-przetwarzających. Administrator przyjmuje do wiadomości i zgadza się, że Podmiot Przetwarzający i Podmioty Powiązane Podmiotu Przetwarzającego mogą zatrudnić Podmioty Pod- przetwarzające będące osobami trzecimi w związku ze świadczeniem Usług. Podmiot Przetwarzający lub Podmiot Powiązany Podmiotu Przetwarzającego zawrze z każdym Podmiotem Pod-przetwarzającym pisemną umowę zawierającą zobowiązania w zakresie ochrony danych o stopniu ochrony nie mniejszym niż te zawarte w niniejszej Umowie o ochronie danych w zakresie mającym zastosowanie do charakteru Usług świadczonych przez taki Podmiot Pod-przetwarzający. Administrator niniejszym upoważnia Podmiot Przetwarzający do zatrudnienia Podmiotów Pod-przetwarzających, których lista znajduje się na stronie xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx, do Przetwarzania Danych Osobowych zgodnie z niniejszą Umową powierzenia przetwarzania danych osobowych. Administrator nie będzie bezpośrednio komunikował się z Podmiotami Pod-przetwarzającymi Podmiotu Przetwarzającego w sprawie Usług, o ile Podmiot Przetwarzający nie wyrazi na to zgody według własnego uznania.

5.2 Powiadamianie Podmiotów Pod-przetwarzających o zmianach. Podmiot Przetwarzający poinformuje Administratora o wszelkich zamierzonych zmianach w zakresie zatrudniania kolejnych Podmiotów Pod- przetwarzających lub zastępowania ich, udostępniając Administratorowi mechanizm subskrypcji powiadomień o nowych Podmiotach Pod-przetwarzających na stronie xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx. Podmiot Przetwarzający powiadomi Administratora o wszelkich planowanych zmianach w zakresie zatrudniania kolejnych Podmiotów Pod-przetwarzających lub zastępowania ich przed rozpoczęciem wykorzystywania Podmiotu Pod-przetwarzającego.

5.3 Prawo do sprzeciwu wobec nowych Podmiotów Pod-przetwarzających. Administrator danych będzie mógł w uzasadniony sposób sprzeciwić się wykorzystaniu przez Podmiot Przetwarzający nowego Podmiotu Pod- przetwarzającego, powiadamiając o tym niezwłocznie Podmiot Przetwarzający na piśmie w terminie piętnastu (15) dni roboczych od otrzymania powiadomienia od Podmiotu Przetwarzającego. Jeżeli Administrator zgłosi sprzeciw wobec nowego Podmiotu Pod-przetwarzającego, Podmiot Przetwarzający podejmie rozsądne starania, aby przedstawić Administratorowi zmianę w Usługach w celu uniknięcia Przetwarzania Danych Osobowych przez nowy Podmiot Pod-przetwarzający, którego dotyczył sprzeciw. Jeżeli Podmiot Przetwarzający nie będzie w stanie przedstawić takiej zmiany, Administrator będzie mógł wypowiedzieć stosowną Umowę w odniesieniu do tych Usług, które nie będą mogły być świadczone przez Podmiot Przetwarzający bez wykorzystania nowego Podmiotu Pod-przetwarzającego, którego dotyczył sprzeciw.

5.4 Odpowiedzialność za działania Podmiotów Pod-przetwarzających. Podmiot Przetwarzający ponosi odpowiedzialność za działania i zaniechania swoich Podmiotów Pod-przetwarzających w takim samym zakresie, w jakim Podmiot Przetwarzający ponosiłby odpowiedzialność, gdyby wykonywał usługi każdego Podmiotu Pod- przetwarzającego bezpośrednio na warunkach niniejszej Umowy DPA.

6. BEZPIECZEŃSTWO

6.1 Ochrona Danych Osobowych. Podmiot Przetwarzający będzie utrzymywać odpowiednie środki techniczne i organizacyjne w celu ochrony bezpieczeństwa (w tym ochrony przed nieuprawnionym lub niezgodnym z prawem Przetwarzaniem oraz przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą lub uszkodzeniem, nieuprawnionym ujawnieniem lub dostępem do Danych Osobowych), poufności i integralności Danych Osobowych.

6.2 Prawo do przeprowadzenia audytu. Administrator przyjmuje do wiadomości, że jego prawo do przeprowadzenia audytu Podmiotu Przetwarzającego może zostać zrealizowane poprzez przedstawienie przez Podmiot Przetwarzający aktualnych poświadczeń, raportów lub wyciągów wydanych przez niezależne organy, w tym między innymi audytorów zewnętrznych lub wewnętrznych, inspektora ochrony danych Podmiotu przetwarzającego, działu bezpieczeństwa informatycznego, audytorów ochrony danych lub audytorów jakości lub innych wzajemnie uzgodnionych stron trzecich lub certyfikacji w drodze audytu bezpieczeństwa informatycznego lub ochrony danych. W zakresie, w jakim nie jest możliwe wypełnienie obowiązku audytu nałożonego przez obowiązujące przepisy i regulacje dotyczące ochrony danych za pomocą takich poświadczeń, sprawozdań lub wyciągów, Administrator lub osoba wyznaczona przez Administratora będzie miała prawo do audytu i inspekcji – na koszt Administratora – pomieszczeń, polityk, procedur i systemów komputerowych Podmiotu przetwarzającego w celu upewnienia się, że Podmiot Przetwarzający spełnia wymogi niniejszej Umowy DPA. Administrator lub osoba przez niego wyznaczona zapewni powiadomienie na co najmniej trzydzieści (30) dni przed przeprowadzeniem audytu, o ile że taki audyt nie będzie konieczny w związku z Naruszeniem Ochrony Danych dotyczącym Podmiotu Przetwarzającego. Audyty przeprowadzane przez Administratora lub osobę przez niego

wyznaczoną nie będą naruszać zobowiązań Podmiotu Przetwarzającego w zakresie poufności w stosunku do innych klientów Podmiotu Przetwarzającego. Wszelkie audyty będą prowadzone w normalnych godzinach pracy, w głównej siedzibie Podmiotu Przetwarzającego lub innej lokalizacji (lokalizacjach) Podmiotu Przetwarzającego, gdzie uzyskuje się dostęp do Danych Osobowych, przetwarza się je lub administruje nimi, i nie będą w sposób nieuzasadniony zakłócać codziennych działań Podmiotu Przetwarzającego. Przed rozpoczęciem takiego audytu Podmiot Przetwarzający i Administrator wspólnie uzgodnią termin, zakres i czas trwania audytu. Administrator będzie mógł żądać sprawozdania (lub sprawozdań) podsumowującego audyt lub przeprowadzać audyt Podmiotu Przetwarzającego nie częściej niż raz w roku.

7. NARUSZANIE OCHRONY DANYCH

7.1 Powiadomienie o Naruszeniu Ochrony Danych. Podmiot Przetwarzający bez zbędnej zwłoki powiadomi Administratora na piśmie po powzięciu wiadomości o podejrzeniu Naruszenia Ochrony Danych. W żadnym wypadku takie powiadomienie nie może nastąpić później niż 72 godziny po wykryciu przez Podmiot Przetwarzający Naruszenia Ochrony Danych.

7.2 Zarządzanie przypadkami Naruszenia Ochrony Danych. Podmiot Przetwarzający podejmie uzasadnione starania w celu zidentyfikowania przyczyny takiego Naruszenia Ochrony Danych oraz podejmie kroki, które uzna za niezbędne i uzasadnione w celu usunięcia przyczyny takiego Naruszenia Ochrony Danych, w zakresie, w jakim usunięcie przyczyny naruszenia Danych będzie leżało w zakresie uzasadnionej kontroli Podmiotu Przetwarzającego.

8. ROZWIĄZANIE UMOWY

8.1 Rozwiązanie Umowy. Niniejsza Umowa DPA wygasa automatycznie po późniejszym z następujących zdarzeń:

a) rozwiązaniu lub wygaśnięciu Umowy lub b) usunięciu lub zwrocie Danych Osobowych przez Podmiot Przetwarzający. Administrator będzie ponadto uprawniony do wypowiedzenia niniejszej Umowy DPA z podaniem przyczyny, jeżeli w wyłącznej opinii Administratora Podmiot Przetwarzający dopuści się istotnego lub uporczywego naruszenia zapisów niniejszej Umowy DPA w zakresie Naruszenia Ochrony Danych, które można naprawić, a które nie zostanie naprawione w terminie dziesięciu (10) dni od daty otrzymania przez Podmiot Przetwarzający zawiadomienia od Administratora wskazującego Naruszenie Ochrony Danych i wzywającego do jego naprawienia.

8.2 Zwrot lub Usunięcie Danych. Po wygaśnięciu niniejszej Umowy DPA, Podmiot Przetwarzający dokona usunięcia lub zwrotu wszystkich istniejących kopii Danych Osobowych, o ile obowiązujące prawo nie wymaga dalszego przechowywania Danych Osobowych. Na żądanie Administratora Podmiot Przetwarzający potwierdzi na piśmie spełnienie takich obowiązków i usunie wszystkie istniejące kopie. W przypadkach, w których prawo lokalne wymaga od Podmiotu Przetwarzającego zachowania Danych Osobowych, Podmiot Przetwarzający będzie chronił poufność, integralność i dostępność tychże Danych Osobowych, nie będzie aktywnie przetwarzał Danych Osobowych, a nadto będzie nadal przestrzegał warunków niniejszej Umowy DPA.

9. MECHANIZMY TRANSFERÓW MIĘDZYNARODOWYCH

9.1 Przekazywanie danych poza UE. W okresie świadczenia Usług na mocy Ustawy o Ochronie Danych może zaistnieć konieczność przekazania Danych Osobowych przez Administratora z siedzibą w Unii Europejskiej, Europejskim Obszarze Gospodarczym i/lub ich państwie członkowskim, Szwajcarii lub Wielkiej Brytanii Podmiotowi Przetwarzającego z siedzibą w kraju nieobjętym decyzją Komisji Europejskiej stwierdzającą odpowiedni poziom ochrony lub nie znajduje się w Europejskim Obszarze Gospodarczym.

9.1.1. W odniesieniu do Danych Osobowych podlegających przepisom RODO i. Podmiot Przetwarzający będzie uważany za „podmiot odbierający dane”, a Administrator za „podmiot przekazujący dane”; ii. warunki Modułu 2 będą miały zastosowanie, jeśli Administrator będzie Administratorem Danych, a Podmiot Przetwarzający będzie Podmiotem Przetwarzającym Dane; iii. w klauzuli 7 usuwa się fakultatywną klauzulę o dokowaniu; iv. w klauzuli 9 Modułu 2 stosuje się Wariant 2, a lista Podmiotów Pod-przetwarzających i okresy powiadamiania o zmianach są zgodne z ustaleniami zawartymi w paragrafie 5 niniejszej Umowy DPA; v. w klauzuli 11 usuwa się fakultatywny język; vi. w klauzuli 17 zastosowanie ma wariant 1, a standardowe klauzule umowne podlegają przepisom państwa członkowskiego, w którym siedzibę ma Administrator; vii. w zakresie klauzuli 18 lit. b) spory rozstrzygane będą przed sądami państwa członkowskiego, w którym siedzibę ma Administrator; viii. Załącznik I i Załącznik II uznaje się za zawierające informacje określone odpowiednio w Załączniku 1 do niniejszej Umowy DPA; oraz ix. jeśli standardowe klauzule umowne stoją w sprzeczności z jakimkolwiek postanowieniem Umowy (w tym niniejszej Umowy DPA), standardowe klauzule umowne mają pierwszeństwo w zakresie takiej sprzeczności. W tej części Standardowe Klauzule Umowne określone Decyzją Wykonawczą Komisji (UE) 2021/914 zostały włączone przez

odniesienie i są dostępne tutaj xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx- protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

9.1.2. W odniesieniu do Danych osobowych, które podlegają przepisom o ochronie danych osobowych obowiązującym w Wielkiej Brytanii, zastosowanie ma Międzynarodowa umowa o przekazywaniu danych („IDTA”) z następującymi zmianami: i. informacje umowne dotyczące stron Umowy są informacjami umownymi IDTA; ii. Administrator danych jest podmiotem przekazującym dane, a Podmiot Przetwarzający jest podmiotem odbierającym dane; iii. prawem regulującym IDTA oraz miejscem, w którym można wnosić roszczenia prawne, jest Anglia x Xxxxx; iv. brytyjskie rozporządzenie RODO nie ma zastosowania do przetwarzania przekazanych danych przez podmiot odbierający dane; v. Strony nie korzystają z dodatkowych klauzul bezpieczeństwa lub klauzul handlowych IDTA; oraz vi. informacje zawarte w niniejszej Umowie DPA oraz Załączniku 1 mogą być wykorzystywane w Tabelach 1–4. W tej części Standardowe Klauzule Umowne określone przez Biuro Komisarza ds. Informacji zostały włączone przez odniesienie i są dostępne tutaj: xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx- protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and- guidance/.

9.1.3. W odniesieniu do Danych osobowych, które podlegają szwajcarskiej ustawie o ochronie danych osobowych, Standardowe Klauzule Umowne, o których mowa w pkt 9.1.1 będzie stosować się z następującymi zmianami i. odniesienia do „Rozporządzenia (UE) 2016/679” będzie interpretować się jako odniesienia do szwajcarskiego rozporządzenia RODO; ii. odniesienia do „UE”, „Unii” i „prawa państwa członkowskiego” będzie interpretować się jako odniesienia do prawa szwajcarskiego; oraz iii. odniesienia do „właściwego organu nadzorczego” i „właściwych sądów” zastępuje się odniesieniami do „szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji” i

„właściwych sądów w Szwajcarii”.

9.2. Alternatywne mechanizmy przesyłania danych. Strony uznają, że przepisy ustawowe, wykonawcze i wykonawcze dotyczące międzynarodowego przekazywania danych ulegają szybkim zmianom. W przypadku gdy Administrator przyjmie inny mechanizm dozwolony przez obowiązujące przepisy prawa, zasady lub regulacje w celu przekazywania Danych Osobowych (każdy „Alternatywny Mechanizm Przekazywania Danych”), Strony uzgodnią współpracę w dobrej wierze w celu wprowadzenia wszelkich zmian do niniejszej Umowy niezbędnych do wdrożenia Alternatywnego Mechanizmu Przekazywania Danych.

10. POSTANOWIENIA RÓŻNE

10.1. Zmiany. Niniejsza Umowa DPA nie podlega zmianom ani uzupełnieniom, ani też żadne z jej postanowień nie może być uznane za uchylone lub zmienione w inny sposób, za wyjątkiem formy pisemnej należycie sporządzonej przez upoważnionych przedstawicieli obu stron.

10.2 Prawo właściwe. Niniejsza Umowa DPA podlega prawu właściwemu określonemu w Umowie.

W DOWÓD CZEGO Xxxxxx niniejszej Umowy zawarły ją w Dniu Wejścia w Życie.

ADMNISTRATOR: IVANTI

Podpis:   Podpis:                

Imię i nazwisko:   Xxxx i nazwisko:             

Stanowisko:   Stanowisko:               

Data:   Data:                 

Lista załączników:

Załącznik 1: Opis Przetwarzania

ZAŁĄCZNIK 1

Opis Przetwarzania

Informacje kontaktowe spółki Ivanti:

Ivanti

00000 Xxxxx Xxxxxx Xxxxxxx Xxxxx 000

Xxxxx Xxxxxx, Xxxx 00000

Kontakt do IOD: xxxxxxx@xxxxxx.xxx

Przedmiot

Przedmiot Przetwarzania:

Dostarczanie licencji na oprogramowanie informatyczne, usługi wsparcia i wdrażania, zarówno w siedzibie klienta, jak i w formie hostowanego rozwiązania SaaS odnoszące się do administrowania i ułatwiania podstawowych procesów biznesowych w zakresie ujednoliconego zarządzania punktami końcowymi, zarządzania usługami informatycznymi, zarządzania aktywami informatycznymi, bezpieczeństwa, raportowania i analizy oraz łańcucha dostaw.

Usługi informatyczne obejmują korzystanie z oprogramowania w formie instalacji lokalnej lub rozwiązania SaaS, w tym instalację modułów (x.xx. modułów zarządzania incydentami, zmianami, aktywami, konfiguracją i wydaniami); samoobsługę i katalogi usług; wsparcie i konserwację, w tym x.xx. dostęp zdalny; oraz poprawki, kontrolę aplikacji, bezpieczeństwo punktów końcowych/mobilnych i zarządzanie uprawnieniami.

Częstotliwość Przetwarzania:

W sposób ciągły.

Okres trwania

Okres trwania Przetwarzania:

Zgodnie z postanowieniami Umowy.

Zakres, rodzaj i cel Przetwarzania Danych

Zakres, rodzaj i cel Przetwarzania Danych jest następujący:

Zgodnie z postanowieniami Umowy.

Podmioty Danych

Przetwarzanie Danych Osobowych może dotyczyć następujących kategorii Podmiotów Danych:

Klienci, potencjalni klienci, pracownicy, dostawcy, przedstawiciele handlowi, osoby kontaktowe, wykonawcy (w tym pracownicy tymczasowi), wolontariusze, pracownicy tymczasowi i dorywczy, wolni strzelcy, agenci, konsultanci i inni respondenci profesjonalni oraz osoby pozostające na ich utrzymaniu, beneficjenci i osoby kontaktowe w nagłych wypadkach, przyszli pracownicy i pracownicy tymczasowi klientów, skarżący, korespondenci i osoby składające zapytania, doradcy, konsultanci i inni profesjonalni eksperci, pracownicy lub osoby kontaktowe potencjalnych klientów, klientów, partnerów biznesowych i sprzedawców eksportera danych, partnerzy biznesowi i sprzedawcy eksportera danych (będący osobami fizycznymi), a nadto użytkownicy podmiotu przekazującego dane upoważnieni przez podmiot przekazujący dane do korzystania z oprogramowania i związanych z nim usług.

Kategorie Danych

Przetwarzane Dane Osobowe mogą dotyczyć następujących kategorii Danych: Dane Klienta przesłane do Usług w ramach usług i kont Klienta.

Środki techniczne i organizacyjne

Poniżej opisano techniczne i organizacyjne środki bezpieczeństwa wdrożone przez Podmiot Przetwarzający:

Szkolenie z zakresu świadomości bezpieczeństwa

Podmiot Przetwarzający przeprowadza szkolenia w zakresie świadomości bezpieczeństwa, które obejmują obowiązkowe szkolenia w zakresie bezpieczeństwa dotyczące postępowania z informacjami poufnymi i wrażliwymi, takimi jak informacje umożliwiające identyfikację osób, informacje o kontach finansowych i informacje o stanie zdrowia zgodnie z obowiązującym prawem oraz okresowe komunikaty i kursy w zakresie świadomości bezpieczeństwa, które koncentrują się na świadomości użytkowników końcowych.

Regulaminy i procedury bezpieczeństwa

Podmiot Przetwarzający wdraża politykę bezpieczeństwa informacji, ich wykorzystania i zarządzania nimi, która określa działania pracowników i wykonawców w zakresie odpowiedniego wykorzystania, dostępu i przechowywania informacji poufnych i wrażliwych. Ogranicza on dostęp do informacji poufnych i wrażliwych do tych członków personelu Podmiotu Przetwarzającego, którzy „muszą znać” takie informacje. Uniemożliwia on pracownikom, z którymi rozwiązano umowę o pracę, dostęp do informacji Podmiotu Przetwarzającego po zakończeniu zatrudnienia oraz nakłada środki dyscyplinarne za nieprzestrzeganie tej polityki. Dostęp do zasobów Podmiotu Przetwarzającego jest niemożliwy bez przeprowadzenia szczególnej oceny i przyznania dostępu. Podmiot Przetwarzający sprawdza zgodnie z prawem przeszłość swoich pracowników w momencie ich zatrudniania.

Fizyczne i środowiskowe mechanizmy kontroli dostępu

Podmiot Przetwarzający ogranicza fizyczny dostęp do swoich systemów informatycznych i obiektów za pomocą fizycznych środków kontroli (np. kodowanych przepustek), które zapewniają wystarczającą pewność, że dostęp do jego centrów danych jest ograniczony do uprawnionych osób, a także stosuje kamery lub systemy nadzoru wideo w krytycznych punktach wejścia wewnętrznego i zewnętrznego. Podmiot Przetwarzający stosuje kontrolę temperatury i wilgotności powietrza w swoich centrach danych oraz zabezpiecza je przed stratami spowodowanymi awarią zasilania.

Logiczne kontrole dostępu

Podmiot Przetwarzający stosuje technologię rejestrowania i monitorowania, aby pomóc w wykrywaniu i zapobieganiu próbom nieautoryzowanego dostępu do swoich sieci i systemów produkcyjnych. Monitorowanie przez Podmiot Przetwarzający obejmuje przegląd zmian mających wpływ na systemy obsługi uwierzytelniania, autoryzacji i audytu; uprzywilejowany dostęp do systemów produkcyjnych Podmiotu Przetwarzającego.

Kontrole szyfrowania

Podmiot Przetwarzający stosuje w swoich produktach odpowiednie dla biznesu mechanizmy szyfrowania. Podmiot Przetwarzający ocenia i stosuje szyfrowanie w tranzycie i w stanie spoczynku, wykorzystując najlepsze praktyki branżowe w zakresie szyfrów. Wdraża się najlepsze praktyki w zakresie zarządzania cyklem życia kluczy szyfrujących, w tym ich generowania, przechowywania, kontroli dostępu i rotacji.

Zarządzanie podatnością na zagrożenia

Podmiot Przetwarzający regularnie przeprowadza skanowanie podatności i zajmuje się wykrytymi podatnościami odpowiednio do ich ryzyka. Produkty Podmiotu Przetwarzającego są również poddawane okresowej ocenie podatności na ataki i testom penetracyjnym.

Odzyskiwanie danych w przypadku awarii i kontrola kopii zapasowych

Podmiot Przetwarzający wykonuje okresowe kopie zapasowe produkcyjnych systemów plików i baz danych zgodnie ze zdefiniowanym harmonogramem oraz utrzymuje formalny plan odzyskiwania danych po awarii centrum danych w chmurze produkcyjnej, a także regularnie przeprowadza testy.

Plan reagowania na incydenty cybernetyczne

Podmiot Przetwarzający stosuje plan reagowania na incydenty w celu zarządzania i minimalizowania skutków nieplanowanych zdarzeń cybernetycznych, obejmujący procedury, które należy stosować w przypadku rzeczywistego lub potencjalnego naruszenia bezpieczeństwa, w tym: wewnętrzny zespół reagowania na incydenty z liderem reagowania, zespół dochodzeniowy przeprowadzający analizę przyczyn źródłowych i identyfikujący strony, których dotyczy incydent, wewnętrzne procesy raportowania i powiadamiania, dokumentowanie działań zaradczych i planów naprawczych oraz przegląd zdarzeń po incydencie.

Bezpieczeństwo przechowywania i przesyłania danych

Podmiot Przetwarzający stosuje techniczne środki bezpieczeństwa w celu ochrony przed nieuprawnionym dostępem do danych w dyspozycji Podmiotu Przetwarzającego, które są przesyłane za pośrednictwem publicznej sieci łączności elektronicznej lub przechowywane elektronicznie.

Bezpieczne Usuwanie

Podmiot Przetwarzający wdraża regulaminy i procedury dotyczące usuwania własności materialnej i niematerialnej zawierającej dane Podmiotu Przetwarzającego, tak aby nie można było w praktyce odczytać ani odtworzyć danych Podmiotu Przetwarzającego.

Identyfikacja i ocena ryzyka

Podmiot Przetwarzający stosuje program oceny ryzyka, który ma pomóc w rozsądnym określeniu przewidywalnego wewnętrznego i zewnętrznego ryzyka dla zasobów informacyjnych Podmiotu Przetwarzającego oraz w ustaleniu, czy istniejące kontrole, polityki i procedury są odpowiednie do przeciwdziałania zidentyfikowanemu ryzyku.

Dostawcy i usługodawcy

Zewnętrzni dostawcy usług lub sprzedawcy (zwani łącznie „Dostawcami”), którzy mają dostęp do poufnych informacji Podmiotu Przetwarzającego, podlegają ocenie ryzyka w celu określenia wrażliwości udostępnianych informacji Podmiotu Przetwarzającego. Od Dostawców oczekuje się przestrzegania wszelkich stosownych warunków umowy dotyczących bezpieczeństwa danych Podmiotu Przetwarzającego, a także wszelkich stosownych polityk lub procedur Podmiotu Przetwarzającego. Podmiot Przetwarzający może okresowo zwracać się do Dostawcy o ponowną ocenę jego postawy w zakresie bezpieczeństwa w celu zapewnienia zgodności z przepisami.