UMOWA Z FIRMĄ IDEXX O OCHRONIE DANYCH
UMOWA Z FIRMĄ IDEXX O OCHRONIE DANYCH
(wersja z maja 2018 r.)
(A) IDEXX Europe B.V. lub podmiot stowarzyszony spółki IDEXX Europe B.V. (zależnie od przypadku, dalej
„IDEXX”) i użytkownik co najmniej jednej z usług opisanych w Suplemencie A do niniejszej Umowy o ochronie danych („klient”) zawarli umowę o świadczenie przedmiotowych usług przez IDEXX. W kontekście umowy firma IDEXX będzie przetwarzać dane osobowe w imieniu i na rzecz klienta, działając w charakterze podmiotu przetwarzającego;
(B) Ponadto, jeżeli zostanie to wskazane w załącznikach do niniejszej Umowy o ochronie danych w odniesieniu do konkretnej usługi firmy IDEXX, będzie ona przetwarzać dane osobowe w zakresie umowy także jako (współ-) administrator, w sytuacji gdy (wspólnie) ustala cele i sposoby przetwarzania danych osobowych;
(C) Uzgodnienia między stronami dotyczące przetwarzania danych osobowych zostały określone w niniejszej Umowie o ochronie danych zgodnie z obowiązującym prawem;
(D) IDEXX i klient będą łącznie zwani „stronami”, a odrębnie „stroną”,
1 Stosunek do umowy
1.1 Niniejsza Umowa o ochronie danych stanowi aneks do umowy, o której mowa w Suplemencie A, i uchyla wszelkie ewentualne (ustne lub pisemne) wcześniejsze uzgodnienia dotyczące przetwarzania danych osobowych między klientem działającym w charakterze administratora danych a firmą IDEXX działającą w charakterze podmiotu przetwarzającego lub (współ-) administratora w odniesieniu do danych osobowych.
1.2 O ile niniejsza Umowa o ochronie danych nie stanowi wyraźnie inaczej, w przypadku rozbieżności między postanowieniami umowy, polityki prywatności, o której mowa w umowie, a niniejszą Umową o ochronie danych, obowiązuje następująca hierarchia:
2. Umowa;
3. Polityka prywatności, o której mowa w umowie;
4. Wszelkie inne istotne umowy bądź inne umowy obowiązujące między stronami.
2 Struktura niniejszej Umowy o ochronie danych
2.1 Część A zawiera definicje i część ogólną dotyczącą przetwarzania danych osobowych w kontekście niniejszej Umowy o ochronie danych. Część ta odnosi się zarówno do sytuacji, w której firma IDEXX działa w charakterze podmiotu przetwarzającego dane, jak i do sytuacji, w której działa w charakterze administratora danych w stosunku do danych osobowych.
2.2 Część B zawiera postanowienia mające zastosowanie wyłącznie do sytuacji, w której firma IDEXX działa w charakterze podmiotu przetwarzającego dane w stosunku do danych osobowych.
2.3 Część C zawiera postanowienia mające zastosowanie wyłącznie do sytuacji, w której firma IDEXX działa w charakterze administratora danych w stosunku do danych osobowych, w stosownych przypadkach, jak określono w załącznikach do niniejszego dokumentu.
2.4 Część D zawiera postanowienia końcowe. Część ta odnosi się zarówno do sytuacji, w której firma IDEXX działa w charakterze podmiotu przetwarzającego dane, jak i do sytuacji, w której działa w charakterze administratora danych w stosunku do danych osobowych.
CZĘŚĆ A – Postanowienia ogólne
3 Definicje
3.1 Wszystkie definicje ujęte w umowie mają także zastosowanie do niniejszej Umowy o ochronie danych, chyba że niniejsza Umowa o ochronie danych stanowi inaczej. Ponadto do niniejszej Umowy o ochronie danych zastosowanie mają poniższe definicje:
3.2 Podmiot stowarzyszony: osoba lub podmiot (dalej „osoba”) kontrolująca inną osobę, kontrolowana przez inną osobę lub pozostająca z inną osobą pod wspólną kontrolą. Do powyższych celów termin „kontrola” odnosi się do (i) posiadania, w sposób bezpośredni lub pośredni, uprawnień do kierowania zarządzaniem lub politykami danego podmiotu, w drodze własności papierów wartościowych z prawem głosu, na podstawie umowy lub na innej podstawie, albo (ii) własności, bezpośredniej lub pośredniej, co najmniej pięćdziesięciu procent (50%) papierów wartościowych z prawem głosu lub innego udziału we własności danego podmiotu, a jeżeli dany podmiot ma siedzibę w państwie, w którym taki pozom własności nie jest dozwolony – maksymalnego dozwolonego tam udziału procentowego we własności;
3.3 Naruszenie ochrony danych: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
3.4 Umowa o ochronie danych: niniejsza Umowa o ochronie danych oraz wszelkie jej zmiany, zastąpienia, aktualizacje lub późniejsze wersje;
3.5 System przetwarzania danych: system wykorzystywany do przetwarzania danych osobowych przez firmę IDEXX lub jej podwykonawców;
3.6 Xxxxx, której dane dotyczą: osoba, której dotyczą dane osobowe;
3.7 Pracownicy: pracownicy i inne osoby zaangażowane przez IDEXX do realizacji umowy;
3.8 Organ państwowy: właściwy organ państwowy;
3.9 Podmiot spoza EOG: każdy podmiot zaangażowany przez IDEXX w charakterze podwykonawcy, zarejestrowany lub przetwarzający dane osobowe kontrolowane przez klienta w państwie poza Europejskim Obszarem Gospodarczym lub w państwie, które nie zostało uznane za zapewniające odpowiedni poziom ochrony danych w drodze decyzji Komisji Europejskiej lub które nie spełnia wymogów Tarczy Prywatności UE-USA;
3 . 1 0 Dane osobowe: wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej;
4 Przedmiot niniejszej Umowy o ochronie danych
4.1 Firma IDEXX będzie przetwarzać dane osobowe w imieniu i na rzecz klienta, działając w charakterze podmiotu przetwarzającego. Ponadto, w stosownych przypadkach, jak określono w załącznikach do niniejszego dokumentu, firma IDEXX będzie przetwarzać dane osobowe w charakterze (współ-) administratora, oprócz klienta, w sytuacji gdy (wspólnie) ustala cele i sposoby przetwarzania danych osobowych;
4.2 Niniejsza Umowa o ochronie danych jest uzgodniona w imieniu i na rzecz firmy IDEXX oraz jej podmiotów stowarzyszonych. Jeżeli w niniejszej Umowie o ochronie danych jest mowa o firmie IDEXX, odnosi się to także do każdego podmiotu stowarzyszonego firmy IDEXX. Firma IDEXX ma prawo egzekwować postanowienia niniejszej Umowy o ochronie danych na własną rzecz i na rzecz każdego z jej podmiotów stowarzyszonych. Ponadto podmioty stowarzyszone firmy IDEXX są uprawnione do egzekwowania niniejszej Umowy o ochronie danych, jakby były jej stronami.
5 Przetwarzanie danych osobowych
5.1 Załączniki do niniejszej Umowy o ochronie danych zawierają opis czynności przetwarzania. Strony będą prowadzić odpowiednio chronioną pisemną lub elektroniczną ewidencję wszystkich kategorii czynności przetwarzania przeprowadzanych zgodnie z obowiązującym prawem, o ile taka ewidencja nie jest jeszcze objęta niniejszą Umową o ochronie danych.
5.2 Klient gwarantuje, że przetwarza lub będzie przetwarzał dane osobowe zgodnie z obowiązującym prawem. Na pierwsze żądanie firmy IDEXX klient przedstawi firmie IDEXX wszystkie stosowne żądane informacje na piśmie, co może obejmować format elektroniczny. Firma IDEXX nie odpowiada za przestrzeganie zobowiązań klienta wynikających z obowiązującego prawa, w tym w szczególności zobowiązań klienta wobec jego klientów, takich jak zobowiązanie klienta do informowania swoich klientów o odbiorcach ich danych osobowych.
5.3 Uwzględniając charakter przetwarzania danych oraz dostępne stronom informacje, strony udzielą sobie wzajemnie wszelkiej pomocy w realizacji obowiązków nałożonych na strony na mocy obowiązującego prawa, w szczególności obowiązków dotyczących bezpieczeństwa danych osobowych, obowiązków w zakresie zgłaszania naruszeń ochrony danych, obowiązku informacyjnego oraz dokonania oceny skutków dla ochrony danych, w tym uprzednich konsultacji ze stosownym organem państwowym.
CZĘŚĆ B – Podmiot przetwarzający dane
6 Przetwarzanie danych osobowych w charakterze podmiotu przetwarzającego dane
6.1 Firma IDEXX będzie przetwarzać dane osobowe wyłącznie w imieniu klienta i zgodnie z udokumentowanymi poleceniami przekazanymi przez klienta, co dotyczy też przekazywania danych osobowych do państwa trzeciego. Firma IDEXX niezwłocznie powiadomi klienta, jeżeli jej zdaniem wydane jej polecenie klienta stanowi naruszenie obowiązującego prawa. Firma IDEXX nie ma niezależnego głosu w odniesieniu do przetwarzanych przez nią danych osobowych. Firma IDEXX nie będzie przetwarzać danych osobowych dla korzyści bądź celów własnych lub osób trzecich ani dla innych celów, chyba że będzie to wymagane na mocy obowiązującego prawa.
6.2 W załącznikach wymieniono (grupy) pracowników firmy IDEXX lub innych osób zaangażowanych przez firmę IDEXX, które mogą mieć dostęp do danych osobowych, oraz opisano rodzaje danych osobowych i czynności przetwarzania danych, które osoby te mogą wykonywać; pozostałe czynności przetwarzania są
wyraźnie zabronione. Firma IDEXX dopilnuje, by osoby takie zobowiązały się do zachowania poufności w zakresie, w jakim osoby te nie są związane stosownym ustawowym obowiązkiem zachowania poufności. Firma IDEXX dopilnuje, by wzmiankowani pracownicy lub inne zaangażowane przez nią osoby przestrzegały wszystkich zobowiązań określonych w niniejszej Umowie o ochronie danych oraz w umowie.
7 Podwykonawcy
7.1 Firma IDEXX może angażować podwykonawców (podwykonawców przetwarzania danych). Informacje dotyczące podwykonawców firmy IDEXX, w tym ich funkcje i lokalizacje, są dostępne na stronie xxx.xxxxx.xx/xxxx (w wersji okresowo aktualizowanej przez firmę IDEXX). Firma IDEXX będzie powiadamiać klienta w sposób ustalony przez firmę IDEXX o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia takich podwykonawców. Klient może zgłosić sprzeciw wobec nowego podwykonawcy w drodze rozwiązania umowy za pisemnym wypowiedzeniem przekazanym firmie IDEXX, o ile klient przekaże takie wypowiedzenie w terminie 60 dni od dnia, w którym firma IDEXX powiadomiła klienta o zaangażowaniu podwykonawcy. Powyższe prawo do wypowiedzenia stanowi wyłączy i jedyny środek prawny przysługujący klientowi, jeżeli klient zgłosi sprzeciw wobec nowego podwykonawcy.
7.2 W przypadku podwykonawstwa w zakresie czynności przetwarzania danych osobowych (a) firma IDEXX zawrze i będzie egzekwować pisemną umowę o podwykonawstwo przetwarzania danych z tym podwykonawcą, zawierającą obowiązki w zakresie ochrony prywatności i bezpieczeństwa danych co najmniej tak surowe jak obowiązki określone w niniejszej Umowie o ochronie danych; oraz (b) firma IDEXX pozostanie odpowiedzialna za realizację swoich zobowiązań wynikających z umowy, niniejszej Umowy o ochronie danych osobowych oraz obowiązującego prawa.
8 Środki bezpieczeństwa
8.1 Firma IDEXX wdroży odpowiednie środki techniczne i organizacyjne, by zapewnić odpowiedni poziom bezpieczeństwa danych osobowych, między innymi w świetle obowiązku administratora w zakresie odpowiadania na żądania osób, których dane dotyczą, które wykonują swoje prawa. Techniczne i organizacyjne środki bezpieczeństwa, które firma IDEXX ma wdrożyć, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, opisano w Dodatku dotyczącym bezpieczeństwa. Firma IDEXX może okresowo aktualizować lub modyfikować swoje środki bezpieczeństwa, o ile takie aktualizacje i modyfikacje nie skutkują zmniejszeniem ogólnego bezpieczeństwa usług.
8.2 Firma IDEXX będzie dokonywać regularnej oceny swoich technicznych i organizacyjnych środków bezpieczeństwa oraz w stosownych przypadkach je aktualizować. Na pisemny wniosek klienta firma IDEXX przedstawi klientowi poufne sprawozdanie podsumowujące dokonaną przez firmę IDEXX ocenę jej środków bezpieczeństwa.
9 Zgłaszanie naruszeń ochrony danych
9.1 Firma IDEXX będzie utrzymywać właściwe procedury stworzone do wykrywania naruszeń ochrony danych i reagowania na nie zgodnie z obowiązującym prawem.
9.2 Zobowiązanie firmy IDEXX do powiadomienia klienta o naruszeniu ochrony danych oraz podjęciu działań w związku z naruszeniem ochrony danych nie skutkuje uznaniem wady ani odpowiedzialności ze strony firmy IDEXX w związku z danym naruszeniem ochrony danych.
9.3 Z chwilą wykrycia przez firmę IDEXX naruszenia ochrony danych, o którym klient nie został jeszcze poinformowany, firma IDEXX niezwłocznie poinformuje o nim klienta w sposób ustalony przez IDEXX. Firma IDEXX poinformuje osobę do kontaktów ze strony klienta wskazaną przez klienta w związku z usługami.
9.4 Kiedy klient sam jest świadomy naruszenia ochrony danych istotnego dla świadczenia usług przez firmę IDEXX, klient niezwłocznie poinformuje o nim firmę IDEXX, wskazując, jakie środki zostały lub zostaną podjęte przez klienta.
9.5 Z chwilą wykrycia naruszenia ochrony danych przez firmę IDEXX, IDEXX przekaże klientowi wszelkie zasadne informacje zwrotne na temat możliwego wpływu naruszenia ochrony danych na klienta oraz dotknięte naruszeniem osoby, których dane dotyczą. Takie informacje zwrotne obejmują opis charakteru i zakresu naruszenia ochrony danych, planowanych środków i środków już podjętych w celu zapobieżenia szkodom.
9.6 Na wniosek klienta firma IDEXX zapewni też zasadnie potrzebną pomoc w gromadzeniu stosownej dokumentacji dotyczącej naruszenia ochrony danych. Jednak prowadzenie wewnętrznego zestawienia naruszeń ochrony danych, które miały miejsce, pozostaje obowiązkiem klienta.
9.7 Jeżeli klient zażąda od firmy IDEXX poinformowania dotkniętych naruszeniem osób, których dane dotyczą, lub właściwego organu państwowego o naruszeniu ochrony danych, firma IDEXX dokona tego dopiero po otrzymaniu od klienta szczegółowych poleceń na piśmie. Nie skutkuje to żadną odpowiedzialnością ze strony firmy IDEXX w związku z naruszeniem ochrony danych (zawiadomieniem o naruszeniu ochrony danych).
10 Prawa klienta do audytu
1 0 . 1 Klient może, na własny koszt i za uprzednim porozumieniem z firmą IDEXX, przeprowadzić audyt systemu przetwarzania danych w celu sprawdzenia, czy uzasadnione techniczne i organizacyjne środki bezpieczeństwa, które zostały podjęte w związku z danymi osobowymi przetwarzanymi w kontekście niniejszej Umowy o ochronie danych, są zgodne ze środkami opisanymi w art. 8.
1 0 . 2 Firma IDEXX udostępni klientowi wszelkie informacje zasadnie niezbędne do wykazania spełniania obowiązków klienta co do zawarcia umowy dotyczącej przetwarzania danych zgodnie z odpowiednimi wymaganiami ujętymi w tym zakresie w przepisach obowiązującego prawa oraz umożliwi klientowi lub audytorowi upoważnionemu przez klienta przeprowadzanie audytów, w tym inspekcji, i przyczyni się do nich. W porozumieniu z firmą IDEXX klient może angażować osobę trzecią (eksperta) do realizacji swoich praw do audytu, o ile taka osoba trzecia będzie zobowiązana do zachowania poufności.
1 0 . 3 Przeprowadzanie audytu przez klienta lub w imieniu klienta nie będzie się wiązać z żadnymi opóźnieniami dla działalności firmy IDEXX ani jej podwykonawców.
11 Przekazywanie danych osobowych
1 1 . 1 Firma IDEXX może przekazywać dane osobowe do swoich lokalizacji w Stanach Zjednoczonych i przechowywać je w takich lokalizacjach. Firma IDEXX dokonała certyfikacji w ramach Tarczy Prywatności UE-USA i przestrzega jej wymogów, a przekazywanie danych osobowych do lokalizacji firmy IDEXX w Stanach Zjednoczonych wchodzi w zakres takiej certyfikacji.
1 1 . 2 Jeżeli firma IDEXX będzie zamierzała przekazać dane osobowe podmiotowi spoza EOG, poinformuje klienta o takich zamiarach. Firma IDEXX niniejszym informuje klienta o takim zamiarze w zakresie, w jakim podwykonawcy, o których mowa w art. 7 niniejszej Umowy o ochronie danych, są podmiotami spoza EOG.
1 1 . 3 Przekazanie do podmiotu spoza EOG może być uzasadnione w oparciu o Tarczę Prywatności UE-USA, o ile dotyczy przekazania do podmiotu z USA, który dokonał samocertyfikacji w ramach Tarczy Prywatności UE-USA, a przekazanie wchodzi w zakres takiej certyfikacji.
1 1 . 4 W zależności od przypadku przekazanie podmiotowi spoza EOG może także być uzasadnione w oparciu o niezmienione, zalecane przez UE standardowe klauzule umowne dotyczące przekazywania danych przez administratora podmiotowi przetwarzającemu. Powyższe standardowe klauzule umowne, bez klauzul nieobowiązkowych, uznaje się za włączone przez odniesienie do niniejszego dokumentu i stosuje się w relacjach między klientem a podmiotem spoza EOG, jeżeli i w zakresie w jakim dane osobowe, do których stosuje się przepisy prawa ochrony danych państwa członkowskiego EOG, są przekazywane z EOG podmiotowi spoza EOG. Włączenie obowiązujących standardowych klauzul umownych do niniejszego dokumentu zgodnie z niniejszym artykułem jest uzgodnione w imieniu i na rzecz podmiotu spoza EOG przez firmę IDEXX działającą w charakterze pełnomocnika tego podmiotu spoza EOG.
1 1 . 5 Żadne z postanowień (zasadniczej części) umowy ani niniejszej Umowy o ochronie danych nie będzie interpretowane jako nadrzędne nad jakąkolwiek sprzeczną klauzulą standardowych klauzul umownych. Klient potwierdza, że miał możliwość dokonać przeglądu standardowych klauzul umownych lub żądać ich pełnego egzemplarza od firmy IDEXX.
12 Żądania osób, których dane dotyczą
Firma IDEXX zapewni wszelką uzasadnioną pomoc w celu ułatwienia klientowi spełnienia jego obowiązków jako administratora danych, jeżeli osoba, której dane dotyczą, wykona swoje prawa przysługujące jej na mocy obowiązujących przepisów.
CZĘŚĆ C – Administrator danych
13 Firma IDEXX działająca w charakterze (współ-) administratora danych
W zakresie, w jakim firma IDEXX ustali cele i sposoby przetwarzania danych osobowych lub zrobi to (wspólnie) z klientem, będzie wówczas działała w charakterze (współ-) administratora danych w zakresie takich czynności przetwarzania danych, jak opisano w stosownym załączniku.
14 Obowiązki informacyjne wobec osób, których dane dotyczą, i prawa osób, których dane dotyczą
1 4 . 1 W przypadku współadministracji danymi klient poinformuje osoby, których dane dotyczą, o przetwarzaniu ich danych osobowych oraz o zasadniczej treści uzgodnień między stronami niniejszego dokumentu, zgodnie z poleceniami przekazanymi (które mają być przekazane) przez firmę IDEXX. Klient gwarantuje, że poinformuje osoby, których dane dotyczą, zgodnie z poleceniami firmy IDEXX oraz niezwłocznie przedstawi firmie IDEXX wszelkie żądane w tym zakresie informacje na piśmie.
1 4 . 2 Strony będą też ze sobą w pełni współpracować, by obie strony mogły wypełniać swoje obowiązki ustawowe nałożone na nie jako administratorów danych, jeżeli osoba, której dane dotyczą, wykona swoje prawa wynikające z obowiązujących przepisów.
1 4 . 3 Strony przyznają, że niezależnie od postanowień Umowy o ochronie danych osoby, których dane dotyczą, nie mogą być pozbawione uprawnienia do wykonywania swoich praw wobec stron wynikających z obowiązujących przepisów.
CZĘŚĆ D – Postanowienia ogólne
15 Koszty
1 5 . 1 Koszty, które firma IDEXX może ponieść w wyniku realizacji swoich obowiązków wynikających z niniejszej Umowy o ochronie danych (na przykład zapewniania pomocy klientowi w zakresie udzielania odpowiedzi na żądania osób, których dane dotyczą) mogą skutkować naliczeniem klientowi opłaty przez firmę IDEXX z tytułu dodatkowej pracy. W takim przypadku firma IDEXX powiadomi klienta o powyższym.
16 Zwolnienie z odpowiedzialności
1 6 . 1 Klient w pełni zwolni firmę IDEXX z odpowiedzialności z tytułu wszelkich roszczeń ze strony osób trzecich, w tym osób, których dane dotyczą, wniesionych przeciwko firmie IDEXX w wyniku naruszenia obowiązujących przepisów, które można przypisać klientowi lub dowolnemu z jego pracowników bądź wykonawców.
17 Okres obowiązywania i rozwiązanie
1 7 . 1 Niniejsza Umowa o ochronie danych wchodzi w życie w pierwszym dniu przetwarzania danych osobowych przez firmę IDEXX w imieniu klienta w ramach realizacji umowy.
1 7 . 2 Niniejsza Umowa o ochronie danych będzie obowiązywać przez czas obowiązywania umowy. W przypadku zakończenia obowiązywania umowy niniejsza Umowa o ochronie danych także przestanie obowiązywać z mocy prawa, bez podejmowania dalszych czynności prawnych.
1 7 . 3 O ile nie istnieje obowiązujący firmę IDEXX minimalny ustawowy okres zatrzymywania danych osobowych, firma IDEXX, z chwilą rozwiązania niniejszej Umowy o ochronie danych osobowych lub w terminie wcześniejszym, w którym klient zdecyduje, że dane osobowe w całości lub w dowolnej części nie są już wymagane do świadczenia usług, dopilnuje, by – zgodnie z decyzją klienta – (i) dane osobowe zostały zwrócone lub przekazane klientowi lub (ii) dane osobowe zostały zniszczone, na żądanie klienta przekazane w formie pisemnej, w tym formie elektronicznej. Taki zwrot lub zniszczenie odbędzie się w terminie 90 dni od daty rozwiązania lub żądania klienta, w zależności od przypadku.
1 7 . 4 Firma IDEXX zobowiązuje się niezwłocznie zaprzestać wszelkiego przetwarzania (stosownych) danych osobowych po przekazaniu, zwróceniu lub zniszczeniu danych osobowych.
1 7 . 5 Wszelkie zobowiązania wynikające z niniejszej Umowy o ochronie danych, które – ze swej natury – mają skutek po rozwiązaniu stosunku umownego, będą nadal obowiązywać po rozwiązaniu niniejszej Umowy o ochronie danych.
18 Odstępstwa i renegocjacje
1 8 . 1 Odstępstwa od niniejszej Umowy o ochronie danych i jej uzupełnienia są ważne, jedynie gdy zostały wyraźnie uzgodnione w formie pisemnej, w tym formie elektronicznej.
1 8 . 2 Klient niezwłocznie powiadomi firmę IDEXX o wszelkich zmianach, które są lub mogą być istotne dla umowy i przetwarzania danych osobowych.
1 8 . 3 Strony są uprawnione do renegocjowania niniejszej Umowy o ochronie danych, jeżeli wynikałoby to w sposób uzasadniony ze zmiany okoliczności.
1 8 . 4 Jeżeli niniejsza Umowa o ochronie danych zostanie przetłumaczona na kilka języków, wersja w języku angielskim będzie uznana za autentyczną do celów interpretacji lub w przypadku sporu bądź niespójności między różnymi tłumaczeniami.
Suplement A
Usługi firmy IDEXX objęte niniejszą Umową o ochronie danych | Umowa | Obowiązujące załączniki |
VetConnect® PLUS | Warunki świadczenia usługi VetConnect® PLUS | Załącznik A |
SmartServiceTM | Umowa SmartServiceTM | Załącznik B |
Załącznik A: VetConnect® PLUS
Opis usług: VetConnect® PLUS | |||
I | Opis czynności przetwarzania, dla których firma IDEXX działa w charakterze podmiotu przetwarzającego dane | 1. | Raportowanie wyników laboratoryjnych i klinicznych w trybie online oraz prezentacja w formacie łączonym, zamówienia laboratoryjne, prośby o konsultacje kliniczne, prezentacja obrazów elektronicznych oraz drukowanie i udostępnianie (także za pośrednictwem wiadomości e-mail) podsumowań i wyników klinicznych właścicielom zwierząt. Przekazywanie klientowi analizy wyników lub wykorzystania usługi, niezależnie przez klienta albo w porównaniu z innymi zanonimizowanymi klinikami. Monitorowanie, wykrywanie i usuwanie usterek oraz diagnozowanie usługi. Archiwizowanie i przechowywanie danych klienta. |
2. | Wszelkie przyszłe funkcje, moduły i dodatki opisane na stronie xxxxx.xxx w formie okresowo aktualizowanej. | ||
II | Opis czynności przetwarzania, dla których firma IDEXX działa w charakterze (współ-) administratora danych | 1. | Przeprowadzanie zagregowanej, pseudonimizowanej analizy rynku przy użyciu danych pierwotnych, których nie można bezpośrednio przypisać osobie fizycznej, przekazanych za pośrednictwem usług w celu przewidywania potrzeb klientów, zyskania wiedzy, która przyczyni się ogólnie praktykom weterynaryjnym, a także świadczenia profesjonalnych usług i zapewniania kształcenia medycznego branży weterynaryjnej. Analiza wykorzystania usługi w celu zwiększenia satysfakcji użytkowników, ulepszania i udoskonalania produktów. |
I Wyszczególnienie dotyczące czynności przetwarzania, dla których firma IDEXX działa w charakterze podmiotu przetwarzającego dane – VetConnect® PLUS | |||||
Cele czynności przetwarzania danych | Czas trwania przetwarzania danych | Kategorie osób, których dane dotyczą | (Rodzaje) danych osobowych przetwarzanych przez firmę IDEXX | (Grupy) pracowników lub innych osób zaangażowanych przez firmę IDEXX, które mają lub mogą mieć dostęp do danych osobowych | (Grupy) pracowników lub innych osób zaangażowanych przez firmę IDEXX, które mają lub mogą mieć dostęp do danych osobowych |
Oprogramowanie | Jak opisano w art. 17, obowiązujący firmę IDEXX minimalny ustawowy okres zatrzymywania danych osobowych. | klient, pracownicy klienta, właściciele zwierząt | imię i nazwisko; adres e-mail; nazwa, adres e- mail i adres fizyczny kliniki | A grupa inżynierii oprogramowania B działania rozwojowe C grupa sprzedaży D grupa konsultacji medycznych | A i B: zbieranie utrwalanie organizowanie porządkowanie przechowywanie adaptowanie/modyfikowanie pobieranie przeglądanie wykorzystywanie ujawnianie poprzez przesłanie rozpowszechnianie ograniczanie usuwanie/niszczenie monitorowanie/rozwiązywanie problemów dopasowywanie/łączenie analizowanie/segmentacja C i D: pobieranie przeglądanie wykorzystywanie ujawnianie poprzez przesłanie rozpowszechnianie monitorowanie/ rozwiązywanie problemów |
obsługa klienta | Jak opisano w art. 17, obowiązujący firmę IDEXX minimalny ustawowy okres zatrzymywania danych osobowych. | klient, pracownicy klienta, właściciele zwierząt | imię i nazwisko; adres e-mail; nazwa, adres e- mail i adres fizyczny kliniki | A szkolenie B obsługa klienta | A i B: zbieranie organizowanie porządkowanie przechowywanie adaptowanie/modyfikowanie pobieranie przeglądanie wykorzystywanie ujawnianie poprzez przesłanie rozpowszechnianie ograniczanie usuwanie/niszczenie monitorowanie/rozwiązywanie problemów analizowanie/segmentacja |
II Wyszczególnienie dotyczące czynności przetwarzania, dla których firma IDEXX działa w charakterze współadministratora danych – VetConnect® PLUS | ||||
Cele czynności przetwarzania danych | Czas trwania przetwarzania danych | Kategorie osób, których dane dotyczą | (Rodzaje) danych osobowych przetwarzanych przez firmę IDEXX | Administrator danych i jego odpowiednie obowiązki wobec danych osobowych |
analiza rynku* | Dane pierwotne, niezwłocznie po dokonaniu ich analizy, są przekształcane w dane zagregowane. Dane zagregowane są zachowywane przez obowiązujący minimalny ustawowy okres zachowywania. | klient | Dane pierwotne, których nie można bezpośrednio przypisać osobie fizycznej, takie jak: nazwa klienta (kliniki), choroba, rasa i wiek zwierzęcia. Dane zagregowane pochodzące z analizy przeprowadzonej na danych pierwotnych, takie jak współzależności między konkretnymi rasami a chorobami. | Firma IDEXX działa w charakterze współadministratora w zakresie analizy rynku, której dokonuje na danych osobowych. W tym zakresie osoby, których dane dotyczą, mogą wykonywać wobec firmy IDEXX swoje prawa wynikające z obowiązujących przepisów, takie jak prawo do dostępu do danych, ich sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu. |
*Ta czynność przetwarzania danych ujmuje moment, w którym dane zagregowane, których nie można bezpośrednio przypisać osobie fizycznej, nie zostały jeszcze zanonimizowane. Po przeprowadzeniu tej czynności dane zagregowane są anonimizowane
Załącznik B: SmartServiceTM
Opis | usług: SmartServiceTM | ||
I | Opis czynności przetwarzania, dla których firma IDEXX działa w charakterze podmiotu przetwarzającego dane | 1. | Diagnoza pracy sprzętu, rozwiazywanie problemów, zdalne monitorowanie, analiza prognostyczna oraz obsługa należącego do klienta sprzętu diagnostycznego firmy IDEXX i podłączonych do niego urządzeń. Aktualizacje oprogramowania sprzętu IDEXX oraz oprogramowania podłączonych do niego urządzeń. Powyższe czynności przetwarzania mogą odbywać się zdalnie za pomocą oprogramowania do zarządzania relacjami między urządzeniami lub mogą być przeprowadzane na sprzęcie bądź urządzeniach do przechowywania zwróconych firmie IDEXX do naprawy lub regeneracji Przekazywanie klientowi analizy wyników lub wykorzystania usługi, niezależnie przez klienta albo w porównaniu z innymi zanonimizowanymi klinikami. Monitorowanie, wykrywanie i usuwanie usterek oraz diagnozowanie usługi. Archiwizowanie i przechowywanie danych klienta. |
2. | Wszelkie przyszłe funkcje, moduły i dodatki opisane na stronie xxxxx.xxx w formie okresowo aktualizowanej. | ||
II | Opis czynności przetwarzania, dla których firma IDEXX działa w charakterze (współ-) administratora danych | 1. | Przeprowadzanie zagregowanej, pseudonimizowanej analizy rynku przy użyciu danych pierwotnych, których nie można bezpośrednio przypisać osobie fizycznej, przekazanych za pośrednictwem usług w celu przewidywania potrzeb klientów, zyskania wiedzy, która przyczyni się ogólnie praktykom weterynaryjnym, a także świadczenia profesjonalnych usług i zapewniania kształcenia medycznego branży weterynaryjnej. Analiza wykorzystania usługi w celu zwiększenia satysfakcji użytkowników, ulepszania i udoskonalania produktów. |
I Wyszczególnienie dotyczące czynności przetwarzania, dla których firma IDEXX działa w charakterze podmiotu przetwarzającego dane – SmartServiceTM | |||||
Cele czynności przetwarzania danych | Czas trwania przetwarzania danych | Kategorie osób, których dane dotyczą | (Rodzaje) danych osobowych przetwarzanych przez firmę IDEXX | (Grupy) pracowników lub innych osób zaangażowanych przez firmę IDEXX, które mają lub mogą mieć dostęp do danych osobowych | Czynności przetwarzania danych, które te osoby mogą wykonywać przy użyciu danych osobowych |
rozwiązywanie problemów | Jak opisano w art. 17, obowiązujący firmę IDEXX minimalny ustawowy okres zatrzymywania danych osobowych. | klient, pracownicy klienta, właściciel zwierzęcia | imię i nazwisko właściciela zwierzęcia; imię i nazwisko pracownika kliniki | A grupa inżynierii oprogramowania B działania rozwojowe C grupa sprzedaży D grupa konsultacji medycznych E. obsługa klienta | A i B: zbieranie utrwalanie organizowanie porządkowanie przechowywanie adaptowanie/modyfikowanie pobieranie przeglądanie wykorzystywanie ujawnianie poprzez przesłanie rozpowszechnianie ograniczanie usuwanie/niszczenie monitorowanie/ rozwiązywanie problemów C, D i E: pobieranie przeglądanie wykorzystywanie ujawnianie poprzez przesłanie rozpowszechnianie monitorowanie/rozwiązywanie problemów |
II Wyszczególnienie dotyczące czynności przetwarzania, dla których firma IDEXX działa w charakterze współadministratora danych – SmartServiceTM | ||||
Cele czynności przetwarzania danych | Czas trwania przetwarzania danych | Kategorie osób, których dane dotyczą | (Rodzaje) danych osobowych przetwarzanych przez firmę IDEXX | Administrator danych i jego odpowiednie obowiązki wobec danych osobowych |
analiza rynku* | Dane pierwotne, niezwłocznie po dokonaniu ich analizy, są przekształcane w dane zagregowane. Dane zagregowane są zachowywane przez obowiązujący minimalny ustawowy okres zachowywania. | właściciel zwierzęcia, klient | Dane pierwotne, których nie można bezpośrednio przypisać osobie fizycznej, pobrane z urządzenia firmy IDEXX, takie jak: wiek zwierzęcia, wyniki diagnostyczne Dane zagregowane pochodzące z analizy przeprowadzonej na danych pierwotnych, takie jak współzależności między konkretnymi rasami a wynikami diagnostycznymi. | Firma IDEXX działa w charakterze współadministratora w zakresie analizy rynku, której dokonuje na danych osobowych. W tym zakresie osoby, których dane dotyczą, mogą wykonywać wobec firmy IDEXX swoje prawa wynikające z obowiązujących przepisów, takie jak prawo do dostępu do danych, ich sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu. |
*Ta czynność przetwarzania danych ujmuje moment, w którym dane zagregowane, których nie można bezpośrednio przypisać osobie fizycznej, nie zostały jeszcze zanonimizowane. Po przeprowadzeniu tej czynności dane zagregowane są anonimizowane.
Dodatek dotyczący bezpieczeństwa
Kontrola fizycznego dostępu
Środki mające na celu zagwarantowanie, że nieupoważnione osoby nie będą miały fizycznego dostępu do systemów używanych do przetwarzania danych osobowych.
• strażnicy, portierzy
• elektroniczne systemy kontroli dostępu wykorzystujące zbliżeniowe karty identyfikacyjne
• monitoring wizyjny (kamery sieciowe)
• kontrole bezpieczeństwa osób odwiedzających
Kontrola dostępu do systemu
Środki mające na celu zapobieżenie wykorzystania systemów przetwarzania danych bez upoważnienia:
• wytyczne dotyczące haseł (w tym jego złożoność, minimalna długość, ponowne użycie oraz minimalny wiek hasła)
• automatyczne wylogowanie lub automatyczny, chroniony hasłem wygaszacz ekranu po określonym czasie bezczynności użytkownika
• uwierzytelnianie i autoryzacja dostępu
• zapora, ochrona antywirusowa
• wykrywanie włamań/zapobieganie włamaniom
• rejestrowanie dostępu
Kontrola dostępu do danych
Środki mające na celu zagwarantowanie, że osoby upoważnione do użycia systemów przetwarzania danych mają dostęp jedynie do tych danych, do których są upoważnione, oraz że dane osobowe nie mogą być przeczytane, kopiowane, zmienione ani usunięte bez upoważnienia w czasie przetwarzania, użycia ani po nich:
• koncepcja kontroli dostępu (prawa dostępu ograniczone dzięki profilom i rolom)
• dokumentacja praw dostępu
• zatwierdzenie i przypisanie praw dostępu dokonywane wyłącznie przez upoważniony personel
Kontrola przekazywania danych
Środki mające na celu zagwarantowanie, że dane osobowe nie mogą być czytane, kopiowane, zmieniane ani usuwane bez upoważnienia w czasie przekazywania drogą elektroniczną, transportu lub w czasie zapisywania na nośniku danych, oraz że można ustalić i sprawdzić, które organy mają otrzymać dane osobowe za pomocą urządzeń do przesyłania danych:
• szyfrowanie transportu (TLS lub VPN)
Kontrola wprowadzania danych
Środki mające na celu zagwarantowanie, że po fakcie istnieje możliwość sprawdzenia i ustalenia, czy dane osobowe zostały wprowadzone do systemów przetwarzania danych, zmienione w nich lub z nich usunięte, a jeżeli tak, to przez kogo:
• Po wprowadzeniu do przechowywania danych w centrum danych firmy IDEXX, dane te są niezbędne wyłącznie do celów sprawozdawczych
Kontrola podmiotów przetwarzających
Środki mające na celu zagwarantowanie, że dane osobowe przetwarzane w imieniu innych osób są przetwarzane w ścisłej zgodności z poleceniami administratora:
• pisemne umowy dotyczące przetwarzania danych (wymagane)
Kontrola dostępności
Środki mające na celu zagwarantowanie, że dane osobowe są chronione przed przypadkowym zniszczeniem lub utraceniem:
• kopia zapasowa w odrębnej lokalizacji
• koncepcja ciągłości działania/odtwarzania awaryjnego
• zasilacz awaryjny (UPS)
• dedykowany generator w centrum danych z kontraktami na wielokrotne dostawy paliwa
• system ochrony przeciwpożarowej i tłumienia pożarów
• wykrywanie wody
• dodatkowa klimatyzacja
Oddzielenie danych
Środki mające na celu zagwarantowanie, że dane zgromadzone do różnych celów mogą być przetwarzane odrębnie:
• przejrzyste, logiczne oddzielenie danych od danych innych administratorów (dedykowany świat danych)